1、園區(qū)網(wǎng)安全技術(shù)通過本章學(xué)習(xí)能夠：1、了解常見的網(wǎng)絡(luò)安全隱患及常用防范技術(shù)；2、熟悉交換機(jī)端口安全功能及配置3、掌握基于IP的標(biāo)準(zhǔn)、擴(kuò)展ACL技術(shù)進(jìn)行網(wǎng)絡(luò)安全訪問控制。本章內(nèi)容網(wǎng)絡(luò)安全隱患交換機(jī)端口安全I(xiàn)P訪問控制列表常見的網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊手段多種多樣，以上是最常見的幾種攻擊不可避免攻擊工具體系化 網(wǎng)絡(luò)攻擊原理日趨復(fù)雜，但攻擊卻變得越來越簡(jiǎn)單易操作額外的不安全因素 DMZ E-Mail File Transfer HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部個(gè)體外部/組織內(nèi)部個(gè)體內(nèi)部/組織現(xiàn)有網(wǎng)絡(luò)安全體制現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS/IPS68%殺毒軟件9

2、9%防火墻98%ACL71%VPN 虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測(cè)交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全安全違例產(chǎn)生于以下情況：如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包

3、Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知配置安全端口 端口安全最大連接數(shù)配置switchport port-security ！打開該接口的端口安全功能switchport port-security maximum value！設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1128，缺省值為128switchport port-security violationprotect|restrict |shutdown！設(shè)置處理違例的方式注意： 1、端口安全功能只能在access端口上進(jìn)行配置。 2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在

4、全局配置模式下使用命令errdisable recovery 來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。配置安全端口端口的安全地址綁定switchport port-security ！打開該接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址注意： 1、端口安全功能只能在access端口上進(jìn)行配置 2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP案例（一）配置接口fastethernet 0/4上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protect

5、Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end案例（

6、二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-add

7、ress 02Switch(config-if)# end查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - f0/3 8 1 Protect查看安全地址信息Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.

8、f800.073c 02 Configured Fa0/3 8 1IP訪問控制列表什么是訪問列表IP Access-list：IP訪問列表或訪問控制列表，簡(jiǎn)稱IP ACLACL就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP 為什么要使用訪問列表內(nèi)網(wǎng)安全運(yùn)行訪問外網(wǎng)的安全控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對(duì)用戶的破壞訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表規(guī)則的分類：1、標(biāo)準(zhǔn)訪

9、問控制列表2、擴(kuò)展訪問控制列表 訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表的入棧應(yīng)用NY是否允許?Y是否應(yīng)用訪問列表?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口S0路由表中是否存在記錄?NY查看訪問列表的陳述是否允許?Y是否應(yīng)用訪問列表?NS0S0 訪問列表的出棧應(yīng)用IP ACL的基本準(zhǔn)則一切未被允許的就是禁止的定義訪問控制列表

10、規(guī)則時(shí)，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕”Y拒絕Y是否匹配規(guī)則條件1?允許N拒絕允許是否匹配規(guī)則條件2?拒絕是否匹配最后一個(gè)條件?YYNYY允許隱含拒絕N 一個(gè)訪問列表多條過濾規(guī)則訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義源地址TCP/UDP數(shù)據(jù)IPeg.HDLC1-99 號(hào)列表 IP標(biāo)準(zhǔn)訪問列表目的地址源地址協(xié)議端口號(hào) IP擴(kuò)展訪問列表

11、TCP/UDP數(shù)據(jù)IPeg.HDLC100-199 號(hào)列表 反掩碼（通配符） 0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111 IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪問列表Router(config)#access-list permit|deny 源地址 反掩碼命名的標(biāo)準(zhǔn)訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩碼2.應(yīng)用ACL到接口Router(conf

12、ig-if)#ip access-group in | out F1/0S1/2F1/1 IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一)配置：access-list 1 permit 55 (access-list 1 deny any)interface serial 1/2ip access-group 1 out標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長(zhǎng)可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ip access-list extended abcpermit host deny 55財(cái)務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校

13、長(zhǎng) IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 命名的擴(kuò)展ACLip access-list extended name permit /deny 協(xié)議 源地址 反掩碼源端口 目的地址 反掩碼 目的端口 2.應(yīng)用ACL到接口Router(config-if)#ip access-group in | out IP擴(kuò)展訪問列表配置實(shí)例(一)如何創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x.x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router (config)# access-list 103 permit tcp 55 host eq www Router # show access-lists 103訪問列表的驗(yàn)證顯示全部的訪問列表Router#show access-lists