網絡工程設計與系統集成楊威

人民郵電出版社

（第3版）NetworkEngineeringDesignandSystemIntegration（3ndEdition）“十二五”普通高等教育本科國家級規劃教材

普通高等教育“十一五”國家級規劃教材

1山西師范大學網絡信息中心問題思考你的電腦安全？

電腦訪問Internet時，受到安全威脅怎么辦？如何解決防御病毒、黑客攻擊？

學習目標：（1）了解網絡安全面臨的問題，解決問題的技術與方法。識別802.1x+Radius及其他的網絡準入/準出控制技術的差異，熟悉防止IP地址盜用方法。能夠按照網絡準入/準出控制需求，設計網絡準入/準出控制技術方案。（2）熟悉WindowsServer2008的安全功能，會安裝與配置WindowsServer2008操作系統的安全機制。理解IIS的安全機制，熟悉Web服務器安全設置方法，能夠充分運用WindowsServer2008的安全機制，設置Web服務器的安全機制。（3）識別防火墻、路由器在網絡邊界安全中的作用，理解建立網絡DMZ的方法。會使用路由器的標準、擴展訪問控制列表，建立網絡邊界安全規則及保護內網服務器的安全。能夠根據中小型網絡安全的需求，設計中小型網絡安全技術方案。第8章網絡安全技術與應用本章重點：802.1x協議及工作機制常用的網絡安全技術措施防止IP地址盜用，網絡防病毒技術使用路由器+防火墻保護網絡邊界擴展訪問列表與應用,NAT協議保護內網的安全WindowsServer2008操作系統安全加固技術，Web服務器安全設置技術本章難點：使用路由器+防火墻保護網絡邊界擴展訪問列表與應用第8章網絡安全技術與應用網絡安全概述網絡準入與準出控制操作系統安全設置Web網站安全設置保護網絡邊界安全第8章網絡安全技術與應用源碼類目標碼類一對一攻擊兌變式攻擊非法權限類蠕蟲類(侵占資源)傳染類操作系統類文件類攻擊手段一對一攻擊兌變式攻擊蠕蟲類(侵占資源)源碼類操作系統類文件類傳染類目標碼類系統欺騙拒絕服務入侵特洛伊木馬竊取非法權限類系統欺騙特洛伊木馬拒絕服務入侵竊取8.1.1網絡安全威脅

非法權限類特洛伊木馬系統欺騙拒絕服務入侵竊取

一種未經授權的程序，或在合法程序中有一段未經授權的程序代碼，或在合法程序中包含有一段用戶不了解的程序功能。上述程序對用戶來說具有惡意的行為。PKZIP300特洛伊木馬非法權限類信息竊取類邏輯炸彈類陷阱入口類功能欺騙類木馬病毒有可能洗劫用戶網上銀行存款、造成網絡游戲玩家裝備丟失、被黑客利用執行不法行為等。如今，針對以上各種現象的危害越來越多，木馬病毒已成為威脅數字娛樂的大敵根據木馬病毒的特點與其危害范圍來講，木馬病毒又分為以下五大類別：針對網游的木馬病毒、針對網上銀行的木馬病毒、針對即時通訊工具的木馬病毒、給計算機開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序網站掛馬從“掛馬”這個詞中可以知道，這和木馬脫離不了關系。掛馬就是黑客入侵了一些網站后，將自己編寫的網頁木馬嵌入被黑網站的主頁中，利用被黑網站的流量將自己的網頁木馬傳播開去，以達到自己不可告人的目的。掛馬使用的木馬大致可以分為兩類。一類是以遠程控制為目的的木馬，黑客使用這種木馬進行掛馬攻擊，其目的是對某些網站實施拒絕服務攻擊或達到其他目的。另一類是鍵盤記錄木馬，通常稱其為盜號木馬，這類木馬用于盜取用戶的游戲賬號或者銀行賬號。信息竊取類

攻擊系統權限對任意用戶進行FINGER請求對一般用戶正常響應，保持原功能wldfingerD對FANG用戶進行FINGER請求識別是用戶FANG，將之賦予ROOT權限wldfingerD擁有ROOT權限信息竊取類—攻擊系統權限-1LOGOUT前釋放權限wldfingerDLOGOUTLOGOUTLOGOUTFANG在退出前注銷ROOT權限，以免被系統人員查出取消ROOT權限信息竊取類—攻擊系統權限-2攻擊口令信息竊取類偽造登錄現場LOGIN特洛伊木馬指示輸入錯誤，重輸入捕獲口令退出LOGIN特洛伊木馬信息竊取類——攻擊口令-1真實登錄現場PaleRider密碼被竊取采用TSR技術也可達到同樣的目的輸入正確進入系統信息竊取類——攻擊口令-2偽造ATM是典型的欺騙類特洛伊木馬案件。信息竊取類——攻擊口令-3邏輯炸彈

邏輯炸彈是程序中的一部分，滿足一定條件時激活某種特定的程序，并產生系統自毀，并附帶破壞。邏輯炸彈-1潛伏代碼滿足條件否？監視滿足而爆炸滿足而爆炸危害程序陷阱正常正常正常正常正常陷阱入口正常路徑限制路徑Internet攻擊模式WORM_SASSER.A染毒電腦未修補漏洞的系統已修補漏洞的系統隨機攻擊隨機攻擊隨機攻擊被感染不被感染不被感染被感染被感染不被感染不被感染撥號用戶B撥號用戶C撥號用戶A撥號用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權接入非法外聯監控安全事件處理IT系統運維面臨的問題導致這些問題的原因是什么？

病毒泛濫：計算機病毒的感染率比例非常高，高達89.73%

軟件漏洞：軟件系統中的漏洞也不斷被發現，從漏洞公布到出現攻擊代碼的時間為5.8天黑客攻擊：世界上目前有20多萬個黑客網站，各種黑客工具隨時都可以找到，攻擊方法達幾千種之多。

移動用戶越來越多：網絡用戶往往跨越多個工作區域以上相關數據來自Symantec。現有網絡安全防御體制現有網絡安全體制IDS68%殺毒軟件99%防火墻98%ACL（規則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute移動用戶D廣域網如何進行信息系統的等級化保護？各信息系統依據重要程度的等級需要劃分不同安全強度的安全域，采取不同的安全控制措施和制定安全策略完成安全設施的重新部署或響應如何從全局角度對安全狀況分析、評估與管理獲得全局安全視圖制定安全策略指導或自動Internetp用戶如何管理現有安全資源并執行策略機制？補丁服務器p打補丁了嗎？更新補丁了嗎？ppppppppppp困境無法知道哪些機器沒有安裝漏洞補丁知道哪些機器但是找不到機器在哪里機器太多不知如何做起Internet用戶如何防止內部信息的泄露？未經安全檢查與過濾，違規接入內部網絡私自撥號上網Internet用戶如何實現積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實時監控病毒與攻擊我們怎么辦?語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段教學網段1網站OA網段教學網段3教學網段2教學網段4網管網段校園網服務器群Internet保戶網絡與基礎設施的安全1、網絡設備2、通訊設備3、通訊線路4、可用性5、機密性6、完整性保護邊界與外部連接邊界進出數據流保護計算環境操作系統數據庫系統保護應用業務系統辦公自動化系統其他應用系統網絡基礎設施保護需求教學網段5內部辦公NIntranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護5邊界內部的網絡掃描與撥號監控3邊界處的網絡入侵檢測1邊界處的認證與授權網絡邊界與外部連接的保護需求6邊界處的垃圾郵件和內容過濾計算環境的保護需求1基于主機的入侵檢測2基于主機的惡意代碼和病毒檢測3主機脆弱性掃描4主機系統加固5主機文件完整性檢查6主機用戶認證與授權7主機數據存儲安全8主機訪問控制看不懂進不來拿不走改不了跑不了可審查信息安全的目的打不垮33山西師范大學網絡信息中心采取的解決辦法一對于非法訪問及攻擊類-----在非可信網絡接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內容過濾系統領導網段Internet防火墻、IPSECVPN、SSLVPN、內容過濾等防DOS/DDOS設備個人安全套件語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段5采取的解決辦法二對于病毒、蠕蟲、木馬類-----實施全網絡防病毒系統對于垃圾郵件類-----在網關處實施防垃圾郵件系統Internet郵件過濾網關、反垃圾郵件系統在MAIL系統中郵件病毒過濾系統、反垃圾郵件系統領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段5采取的解決辦法三對于內部信息泄露、非法外聯、內部攻擊類-----在各網絡中安裝IDS系統-----在系統中安裝安全隱患掃描系統-----在系統中安裝事件分析響應系統-----在主機中安裝資源管理系統-----在主機中安裝防火墻系統-----在重要主機中安裝內容過濾系統

-----在重要主機中安裝VPN系統人事商務網段Internet領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段5采取的解決辦法四對于系統統一管理、信息分析、事件分析響應-----在網絡中配置管理系統-----在網絡中配置信息審計系統-----在網絡中配置日志審計系統-----在網絡中補丁分發系統-----在網絡中配置安全管理中心銷售體系網段NInternet安全審計中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段5安全管理中心專家庫Internet領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3安服網段教學網段4網管網段校園網服務器群教學網段5問題時間8.2網絡安全接入與認證802.1x協議及工作機制基于RADIUS的認證基于802.1x的認證幾種認證方式比較防止IP地址盜用

802.1x+RADIUS的應用案例

8.2.1802.1x協議及工作機制802.1x協議稱為基于端口的訪問控制協議（PortBasedNetworkAccessControlProtocol），該協議的核心內容如下圖所示。靠近用戶一側的以太網交換機上放置一個EAP（ExtensibleAuthenticationProtocol，可擴展的認證協議）代理，用戶PC機運行EAPoE（EAPoverEthernet）的客戶端軟件與交換機通信。802.1x協議包括三個重要部分：客戶端請求系統（SupplicantSystem）認證系統（AuthenticatorSystem）認證服務器（AuthenticationServerSystem）8.2.1802.1x協議及工作機制上圖描述了三者之間的關系以及互相之間的通信。客戶機安裝一個EAPoE客戶端軟件，該軟件支持交換機端口的接入控制，用戶通過啟動客戶端軟件發起802.1x協議的認證過程。認證系統通常為支持802.1x協議的交換機。該交換機有兩個邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPoE協議幀，保證客戶端始終可以發出或接受認證。受控端口只有在認證通過之后才導通，用于傳遞網絡信息。如果用戶未通過認證，受控端口處于非導通狀態，則用戶無法訪問網絡信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應不同的應用環境。8.2.2基于RADIUS的認證衡量RADIUS的標準

RADIUS的性能是用戶該關注的地方，比如，能接受多少請求以及能處理多少事務。同時遵循標準，并具備良好的與接入控制設備的互操作性是RADIUS服務器好壞的重要指標。安全性也是關注的重點，服務器在和網絡接入服務器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實現諸多管理安全特性和策略是非常重要的一環。是否支持強制時間配額，這種功能使網絡管理員可以限制用戶或用戶組能夠通過RADIUS服務器接入網絡多長時間。RADIUS服務器是否都通過ODBC或JDBC，利用SQLServer數據庫保存和訪問用戶配置文件。

RADIUS認證系統的組成RADIUS是一種C/S結構的協議。RadiusClient一般是指與NAS通信的、處理用戶上網驗證的軟件；RadiusServer一般是指認證服務器上的計費和用戶驗證軟件。Server與Client通信進行認證處理，這兩個軟件都是遵循RFC相關Radius協議設計的。RADIUS的客戶端最初就是NAS，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用戶信息，包括用戶名、口令等相關信息。其中用戶口令是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播。RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證。如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。8.2.3基于802.1x的認證（1）用戶開始上網時，啟動802.1x客戶端軟件。該軟件查詢網絡上能處理EAPoE數據包的交換機。當支持802.1x協議的交換機接收到EAPoE數據包時，就會向請求者發送響應的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機的響應后，提供身份標識給認證服務器。由于此時客戶端還未經過驗證，因此認證流只能從交換機未受控邏輯端口經過。交換機通過EAP協議將認證流轉發到AAA服務器，進行認證。（3）如果認證通過，則認證系統的交換機的受控邏輯端口打開。（4）客戶端軟件發起DHCP請求，經認證交換機轉發到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認證系統的服務器，服務器記錄用戶的相關信息，如用戶ID，MAC，IP地址等信息，并建立動態的ACL訪問列表，以限制用戶的權限。（7）當認證交換機檢測到用戶的上網流量，就會向認證服務器發送計費信息，開始對用戶計費。（8）當用戶退出網絡時間，可用鼠標點擊客戶端軟件（在用戶上網期間，該軟件處于運行狀態）的“退出”按鈕。認證系統檢測到該數據包后，會通知AAA（Authentication，Authorization，Accounting）服務器停止計費，并刪除用戶的相關信息（如MAC和IP地址），受控邏輯端口關閉。用戶進入再認證狀態。（9）如果上網的PC機異常死機，當驗證設備檢測不到PC機在線狀態后，則認為用戶已經下線，即向認證服務器發送終止計費的信息。8.2.4幾種認證方式比較

PPPoE+Radius：

PPPoE的本質就是在以太網上運行PPP協議。由于PPP協議認證過程的第一階段是發現階段，廣播只能在二層網絡，才能發現寬帶接入服務器。因此，也就決定了在客戶機和服務器之間，不能有路由器或三層交換機。另外，由于PPPoE點對點的本質，在客戶機和服務器之間，限制了組播協議存在。這樣，將會在一定程度上，影響視頻業務的開展。除此之外，PPP協議需要再次封裝到以太網中，所以效率較低。

Web＋RadiusWeb＋Radius認證是網絡用戶連接Internet時常采用的一種技術方案。如圖8.8所示。這種認證方式是通過IE瀏覽器訪問Radius服務器，用戶在登錄界面輸入“用戶名+口令”。Radius服務器檢查用戶名、口令是否正確，若認證通過，用戶即可訪問外網。該技術方案的優點是客戶機無需配置認證協議，用戶賬號可以在局域網內漫游。其缺點是賬號可能被盜用，也不能防止IP地址盜。與PPPoE一樣，用戶連接外網的性能受制于Radius服務器的性能。802.1x+Radius802.1x+Radius技術方案與前兩種不同。Radius服務器連接在核心交換機，通過支持802.1x協議的交換機，在PC機連接網絡時進行認證。如圖8.9所示。這種認證方式也稱為安全可信接入認證.8.2.5IP地址設置與防盜用IP地址自動設置8.2.5防止IP地址盜用2.使用ARP命令（1）使用操作系統的ARP命令進入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會出現客戶機IP地址被盜用而不能正常使用網絡的情況發生。ARP命令僅對局域網的上網服務器、客戶機的靜態IP地址有效。當被綁定IP地址的計算機宕機后，地址幫綁定關系解除。如果采用Modem撥號上網或是動態IP地址就不起作用。ARP命令的參數的功能如下：ARP-s-d-a-s：將相應的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應的IP地址與物理地址的捆綁。-a：通過查詢ARP協議表顯示IP地址和對應物理地址的情況。（2）使用交換機的ARP命令例如，Cisco的二層和三層交換機。在二層交換機只能綁定與該交換機IP地址具有相同網絡地址的IP地址。在三層交換機可以綁定該設備所有VLAN的IP地址。交換機支持靜態綁定和動態幫綁定，一般采用靜態綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機，進入特權模式；輸入config，進入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。8.2.5防止IP地址盜用3.使用802.1x的安全接入防止IP盜用

（1）采用IP和賬號綁定，防止靜態IP沖突

用戶進行802.1x認證時，用戶還沒有通過認證，該用戶與網絡是隔離的，其指定的IP不會與別的用戶IP沖突。當用戶使用賬號密碼試圖通過認證時，因為認證服務器端該用戶賬號和其IP做了綁定，認證服務器對其不予通過認證，從而同樣不會造成IP沖突。當用戶使用正確的賬號IP通過認證后，再更改IP時，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會造成IP沖突。（2）采用客戶IP屬性校驗，防止動態IP沖突

用戶進行802.1X認證前不用動態獲得IP，而是靜態指定。認證前用戶還沒有通過認證，該用戶與網絡是隔離的，其指定的IP不會與別的用戶IP沖突。當用戶使用賬號密碼試圖通過認證，因為認證服務器端該用戶賬號的IP屬性是動態IP，認證報文中該用戶的IP屬性確是靜態IP，則認證服務器對其不予通過認證，從而同樣不會造成IP沖突。8.3加固操作系統的安全

操作系統是Web服務器的基礎，雖然操作系統本身在不斷完善，對攻擊的抵抗能力日益提高，但是要提供完整的系統安全保證，仍然有許多安全配置和管理工作要做。

8.3操作系統安全設置系統服務包和安全補丁系統賬戶安全配置文件系統安全設置安全模板創建與使用使用安全配置和分析使用安全配置向導8.3.1系統服務包和安全補丁微軟提供的安全補丁有兩類：服務包（ServicePack）和熱補丁（Hotfixes）。服務包已經通過回歸測試，能夠保證安全安裝。每一個Windows的服務包都包含著在此之前所有的安全補丁。微軟公司建議用戶及時安裝服務包的最新版。安裝服務包時，應仔細閱讀其自帶的Readme文件并查找已經發現的問題，最好先安裝一個測試系統，進行試驗性安裝。安全熱補丁的發布更及時，只是沒有經過回歸測試。

在安裝之前，應仔細評價每一個補丁，以確定是否應立即安裝還是等待更完整的測試之后再使用。在Web服務器上正式使用熱補丁之前，最好在測試系統上對其進行測試。

使用360安全衛士修復漏洞8.3.2系統賬戶安全配置

禁止或刪除不必要的賬戶（如Guest）設置增強的密碼策略·密碼長度至少9個字符。·設置一個與系統或網絡相適應的最短密碼存留期（典型的為1～7天）。·設置一個與系統或網絡相適應的最長密碼存留期（典型的不超過42天）。·設置密碼歷史至少6個。這樣可強制系統記錄最近使用過的幾個密碼。設置賬戶鎖定策略

（1）復位賬戶鎖定計數器。用來設置連續嘗試的時限。（2）賬戶鎖定時間。用于定義賬戶被鎖定之后，保持鎖定狀態的時間。（3）賬戶鎖定閾閥值。用于設置允許用戶連續嘗試登錄的次數。

加強管理員賬戶的安全性（1）將Administrator重命名，改為一個不易猜測的名字。（2）為Administrator賬戶設置一個復雜密碼，由多種字符類型（字母、數字和標點符號等）構成，密碼長度不能少于9個字符。（3）建立一個偽賬戶，其名字雖然是Administrator，但是沒有任何權限。定期審查事件日志，查找對該賬戶的攻擊企圖。（4）使用Passprop.exe工具設置管理員賬戶的鎖定閥值。（5）除管理員賬戶外，有必要再增加一個屬于管理員組（Administrators）的賬戶，作為備用賬戶。可使用本地安全策略（或域安全策略）管理器來設置用戶權限指派，檢查、授予或刪除用戶賬戶特權、組成員以及組特權。Web服務器的用戶賬戶盡可能少

嚴格控制賬戶特權

8.3.3文件系統安全設置確保使用NTFS文件系統

安裝Windows2000服務器時，最好將硬盤的所有分區設置為NTFS分區，而不要先使用FAT分區，再轉換為NTFS分區。Web服務器軟件應該安裝在NTFS分區上。設置NTFS權限保護文件和目錄

要使用NTFS權限來保護目錄或文件，必須具備兩個條件。①要設置權限的目錄或文件必須位于NTFS分區中。②對于要授予權限的用戶或用戶組，應設立有效的Windows賬戶。

禁用NTFS的8.3文件名生成

禁用某項系統服務操作：在“計算機管理”控制臺中打開“服務”項目，停止某項系統服務，并更改啟動類型，最好設置為“已禁用”。刪除某組件操作：

要徹底清除某些服務，可通過刪除Windows組件的方式來實現。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”，啟動Windows組件向導來刪除某些組件禁止或刪除不必要的網絡協議

Web服務器系統只保留TCP/IP協議，刪除NetBEUI、IPX/SPX協議。卸載“Microsoft網絡的文件和打印機共享”。從“網絡和撥號連接”文件夾中打開任一連接的屬性設置對話框，鼠標單擊“卸載”按鈕刪除該組件。

卸載“文件和打印機共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應用程序如果不是絕對需要，就應該避免在服務器上安裝應用程序。例如，不要安裝E-mail客戶端、Office產品及工具；或者對于服務器正常運行并不必需的工具。如果已經計劃用服務器提供Web服務，那么不必為服務器添加外部應用程序。然而，當配置Web服務器以及開發Web站點時，為了實現其功能，可能會為其添加必要的工具。

刪除不必要的OS/2和POSIX子系統OS/2和POSIX子系統分別支持為OS/2和POSIX開發的應用程序。在安裝Windows2000的同時這些子系統也會被安裝，應刪除這些子系統。操作系統的任何部分都存在弱點，可能被攻擊，刪除這些額外的部分可以堵住可能出現的漏洞。

8.3.4安全模板創建與使用WindowsServer2008的安全模板是一種用文件形式定義安全策略的方法。安全模板能夠配置賬戶策略、本地策略、事件日志、受限制的組、文件系統、注冊表和系統服務等項目的安全設置。安全模板采用.inf格式的文件，將操作系統安全屬性集合成文檔。管理員可以方便地復制、粘貼、導入和導出安全模板，以及快速批量修改安全選項。1.添加安全配置管理單元單擊“開始”→“運行”→“打開”→“MMC”，進入操作系統管理控制臺（MMC），如圖5.5所示。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置”項，單擊“添加”按鈕，將“安全配置”添加到“所選管理單元”列表中，接著單擊“確定”按鈕。返回控制臺界面，可看到在MMC中已經添加了“安全配置”管理單元。2.創建與保存安全模板在MMC中展開“安全模板”項，右鍵單擊準備創建安全模板的路徑“C:\Users\Administrator\Documents\Security\Templantes”，在彈出菜單中選擇“新添模板”命令，打開創建模板對話框，在對話框內輸入模板名稱（如anquan_1）和描述，單擊“確定”按鈕，完成安全模板的創建，如圖5.6所示。8.3.5使用安全配置和分析“安全配置和分析”是配置與分析本地計算機系統安全性的一個工具。該工具可以將“安全模板”應用效果與本地計算機定義的安全設置進行比較。該工具允許管理員進行快速安全分析。在安全分析過程中，在其視窗中顯示當前配置與建議，包括不安全區域。也可以使用該工具配置本地計算機系統的安全。1.添加安全配置和分析管理單元單擊“開始”→“運行”→“打開”→“MMC”，進入操作系統管理控制臺（MMC）。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置和分析”項，單擊“添加”按鈕，將“安全配置”添加到“所選管理單元”列表中，接著單擊“確定”按鈕。2.安全分析與配置計算機（1）打開數據庫，導入安全模板。在MMC中，右鍵單擊“安全配置與分析”項，在彈出菜單中選擇“打開數據庫”命令，出現“打開數據庫”對話框。在默認路徑“C:\Users\Administrator\Documents\Security\Database”下創建數據庫“aqsjk_1”。單擊“打開”按鈕，出現“導入模板”對話框。再次選擇安全模板文件“anquan_1”，單擊“打開”按鈕，導入模板，如圖5.8所示。計算機系統安全分析結果（2）安全分析，查看結果。在MMC中，右鍵單擊“安全配置和分析”項，在彈出菜單中選擇“立即分析計算機”命令。打開“進行分析”對話框，指定錯誤文件保存位置。單擊“確定”按鈕，開始分析計算機系統的安全配置。分析內容包括用戶權限配置、受限的組、注冊表、文件系統、系統服務及安全策略等。（3）配置計算機右鍵單擊“安全配置和分析”項，在彈出菜單中選擇“立即配置計算機”命令。打開“配置系統”對話框，指定錯誤日志文件保存位置。單擊“確定”按鈕，開始配置計算機系統的安全。該配置內容包括用戶權限配置、受限制的組、文件系統、系統服務及安全策略等。8.3.6使用安全配置向導1．使用安全配置向導應注意的問題使用SCW可禁用不需要的服務，支持高安全性的Windows防火墻。SCW創建的安全策略與安全模板不同，SCW不會安裝或卸載服務器執行角色需要的組件。運行SCW時，所有使用IP協議和端口的應用程序必須在服務器上運行。使用安全配置向導（SCW）創建、編輯、應用安全策略后，如果安全策略無法正常工作，可以回滾上一次應用的安全策略。2．啟動安全配置向導（1）配置操作。單擊“開始”→“管理工具”→“安全配置向導”，出現“歡迎使用安全配置向導”頁面，單擊“下一步”按鈕，進入“配置操作”頁面。在該頁面中選擇“新建安全策略”單選鈕，在計算機上創建新的安全策略，如圖5.10所示。（2）選擇服務器單擊“下一步”按鈕，出現“選擇服務器”頁面，在其中指定一臺服務器作為安全策略的基準。在“服務器”文本框中輸入服務器主機名，如圖5.11所示。（3）處理安全配置數據庫單擊“下一步”按鈕，開始處理安全配置數據庫。對服務器進行掃描，確定服務器上已經安裝的角色、服務器正在執行的角色，以及服務器配置的IP地址和子網掩碼等內容。如圖5.12所示。（4）查看安全配置數據庫處理安全配置數據庫完成后，單擊“查看配置數據庫”按鈕，打開SCW查看器，查看安全配置數據庫，可以查看服務器角色、客戶端功能、管理和其他選項、服務及Windows防火墻設置信息等內容，如圖5.13所示。3．基于角色的服務配置基于角色的服務配置功能項，可以依據所選服務器的角色和功能配置服務器。配置內容包括服務器角色、客戶端功能、管理選項和其他選項、其他服務器，以及處理未指定的服務器及確認服務更改等。（1）服務器角色關閉SCW查看器，單擊“下一步”按鈕，進入“基于角色的服務器配置”頁面。接著單擊“下一步”按鈕，進入“選擇服務器角色”頁面，如圖5.14所示（2）客戶端功能進入“選擇客戶端功能”頁面，如圖5.15所示。該服務器可以是其他服務器的客戶端，客戶端功能必須啟用角色特定服務。安全配置向導（SCW）啟用所選服務器，執行在此頁面上選擇的客戶端功能時所需的服務，禁用不需要的服務。（3）管理項和其他選項此頁面上，可以選擇管理選項（如遠程管理和備份）及使用服務和端口的其他應用程序選項與Windows功能。安全配置向導根據管理員在“選擇服務器角色”頁面中選擇的角色啟用服務器所需的服務，將禁用不需要的服務。如果在SCW的“網絡安全”部分配置了設置，將刪除不需要的防火墻規則。任何依賴于以前未選擇的角色的選項將自動從列表中排除，并且不會出現。（4）選擇其他服務所選服務器執行的角色可能在安全配置數據庫中找不到已安裝服務。如果出現這種情況，安全配置向導將在“選擇其他服務”頁面上提供已安裝服務的列表。（5）處理未指定的服務未指定的服務是指未出現在安全配置數據庫中的服務，這些服務當前未安裝在所選服務器上，但是可能已安裝在要應用安全策略的其他服務器上。這些服務也可能在以后安裝在所選服務器上。任何未知服務均將出現在安全配置向導的“處理未指定的服務”頁面上。在繼續操作之前，要決定如何處理這些服務。可用選項說明如下。①不更改此服務的啟動模式。如果選擇此選項，要應用此安全策略的服務器上已啟用的未指定服務仍會啟用，已禁用的未指定服務仍會禁用。②禁用此服務。如果選擇此選項，未在安全配置數據庫中或未安裝在所選服務器上的所有服務均將禁用。（6）確認服務變更在“確認服務更改”頁面上，可以看到此安全策略將對所選服務器上的服務進行的所有更改的列表。該列表將所選服務器上的服務的當前啟動模式與策略中定義的啟動模式進行比較。啟動模式可以是“禁用”、“手動”或“自動”。在應用安全策略之前，不會對所選服務器進行任何更改。4．設置網絡安全在安全配置向導（SCW）的“網絡安全”部分，可以添加、刪除或編輯與具有高級安全性的Windows防火墻有關的規則。具有高級安全性的Windows防火墻將主機防火墻和Internet協議安全性（IPSec）組合在一起，運行于Windows

Server

2008服務器上，并對可能穿越外圍網絡或源于組織內部的網絡攻擊提供本地保護。它還可要求對通信進行身份驗證和數據保護，從而幫助保護計算機到計算機的連接。（1）網絡安全網絡安全規則5．注冊表設置（1）要求SMB安全簽名。在此頁面中提供有關所選服務器，以及與其進行通信的客戶端的信息。SMB協議為Microsoft文件和打印共享及許多其他網絡操作（如遠程Windows管理）提供基礎。為了避免受到修改傳輸中的SMB數據包的攻擊，SMB協議支持SMB數據包的數字簽名。此策略設置確定在允許與SMB客戶端進行進一步通信之前，是否必須協商SMB數據包簽名。（2）要求LDAP簽名。LDAP是輕量目錄訪問協議。在“選擇服務器角色”頁面上選擇“域控制器（ActiveDirectory）”角色時，將出現此頁面。在“要求LDAP簽名”頁面上，收集域控制器的域中其他計算機的有關信息。（3）出站/入站身份驗證方法。在此頁面上，收集有關用戶可能嘗試從其所選服務器進行身份驗證的計算機的信息。這些安全設置將確定用于網絡登錄的質詢/響應身份驗證協議。此選擇將影響客戶端使用的身份驗證協議級別、協商的會話安全級別，以及服務器接受的身份驗證級別。（4）注冊表設置摘要。通過“注冊表設置摘要”頁面可以查看此安全策略應用于所選服務器時，對特定注冊表設置進行的所有更改。SCW顯示每個注冊表值的當前設置及策略定義的設置值。在應用安全策略之前，不會對所選服務器進行任何更改。如果一個或多個注冊表設置更改不正確，可以通過在此部分的前面幾頁更改選擇，修改這些設置。要確定需要修改哪個選擇以獲得所需的結果，可查看“注冊表值”列。通過選擇修改的注冊表值將列在此部分的各頁面中。返回配置該設置的頁面并進行相應的更改。6．設置審核策略（1）系統審核策略。可以使用此頁面為組織中的服務器創建審核策略。審核是跟蹤用戶活動并在安全日志中記錄所選類型的事件的過程。審核策略定義要收集的事件類型。（2）審核策略摘要。此頁面提供在應用策略后，將對所選服務器上的審核策略進行的所有更改的列表。其中顯示每個審核策略設置的當前設置及策略定義的設置。在應用安全策略之前，不會對所選服務器進行任何更改。7．保存并應用安全策略（1）安全策略文件名。為保存安全策略選擇位置以及擴展名為.xml的文件名。應將安全策略保存在將通過運行SCW應用該策略的管理員可以訪問的位置。（2）查看安全策略。可以單擊“查看安全策略”項打開SCW查看器。通過SCW查看器可以在保存之前瀏覽策略的詳細信息。（3）包括安全模板。除了使用SCW創建的策略設置之外，還可以在安全策略中（包括其他策略）設置。單擊“包括安全模板”項可以包含其他策略設置的安全模板。如果任何模板設置與SCW中創建的策略設置發生沖突，則SCW優先。（4）應用安全策略。可以在創建或編輯策略之后，通過單擊此頁面上的“現在應用”項立即應用安全策略。如果希望更改策略，或不希望將安全策略應用于所選服務器，則單擊“稍后應用”項。如果選擇稍后應用策略，則不會對所選服務器進行任何更改。如果希望應用安全策略，運行SCW，并在“配置操作”頁面上單擊“應用現有安全策略”項。問題時間8.4設置Web服務器的安全IIS的安全機制設置IP地址限制設置用戶身份驗證設置授權規則設置SSL證書驗證設置文件的NTFS權限審核IIS日志記錄8.4.1IIS的安全機制IIS7.0是一種應用級的安全機制，它以WindowsServer2008和NTFS文件系統安全性為基礎的，與WindowsServer系統安全性的緊密集成，從而提供了強大的安全管理和控制功能。訪問控制可以說是IIS安全機制中最主要內容，從用戶和資源（站點、目錄、文件）兩個方面來限制訪問。當用戶訪問Web服務器時，IIS利用其本身及Windows操作系統的多層安全檢查和控制，來實現有效的訪問控制。Web服務器訪問控制過程如圖5.20所示。8.4.2設置IP地址限制通常，Web網站允許匿名訪問時，IIS7.0設置為允許所有IP地址、計算機和域均可訪問該網站。為了增強網站的安全性，有些Web網站不允許匿名訪問，如基于Web的身份認證、工作流計劃系統等。使用“IPv4地址和域限制”功能頁，可以為特定IP地址、IP地址范圍或域名設置允許或拒絕訪問內容的規則IPv4地址和域限制8.4.3設置用戶身份驗證IIS7.0支持匿名訪問、基本驗證、摘要式驗證，以及Windows驗證等多種身份驗證方法。此外，還支持證書驗證。

8.4.4設置授權規則（1）模式，表示規則的類型。其值可以是“允許”和“拒絕”。“模式”值表明該規則是允許對內容的訪問，還是拒絕對它的訪問。如果某個角色、用戶或組已經被某條規則明確拒絕了訪問權限，則它不能由另一條規則授予訪問權限。（2）用戶，表示規則應用于的用戶類型（可選擇所有用戶、所有匿名用戶、指定用戶或角色三種類型其中之一）、用戶名或用戶組。（3）角色，表示規則應用于的MicrosoftWindows角色，如管理員角色或用戶角色。（4）謂詞，表示該規則應用于的HTTP謂詞，例如，GET或POST。（5）條目類型，表示項目是本地項目還是繼承的項目。本地項目是從當前配置文件中讀取的，繼承的項目是從父配置文件中讀取的。8.4.5設置SSL證書驗證8.4.6設置文件的NTFS權限IIS利用NTFS文件系統的安全特性來為特定用戶設置Web服務器目錄和文件的訪問權限，以確保特定的目錄或文件不被未經授權的用戶訪問。NTFS權限Web服務器權限用于擁有Windows賬戶的特定用戶或用戶組面向所有用戶，用于所有訪問Web站點的用戶控制對服務器物理目錄的訪問控制對Web站點虛擬目錄的訪問由Windows操作系統設置由Internet服務管理器設置8.4.7審核IIS日志記錄日志格式和字段設置2．日志審核日志文件摘錄，如圖5.26所示。由#Software開始的一行是IIS版本，#Version表示日志使用的是W3C日志文件格式，#Date是日志創建日期。s-ip表示服務器IP地址，cs-method表示客戶端要求通過HTTP協議連接到服務器上，cs-uri-stem表示訪問的資源，其他字段內容參見圖5.25中的“W3C日志記錄字段”列表框。8.4.8高級安全Windows防火墻高級安全Windows防火墻概述設置入站規則保護Web補充高級安全Windows防火墻概述高級安全Windows防火墻是一種狀態防火墻，檢查并篩選IPv4和IPv6流量的所有數據包。在默認情況下阻止傳入流量，除非是對主機請求（請求的流量）的響應，或者被特別允許（即創建了防火墻規則允許該流量）。通過配置高級安全Windows防火墻的指定端口號、應用程序名稱、服務名稱或其他標準，數據流允許通過。1．Windows防火墻工作原理規則配置時，可以從各種“入站”或“出站”的“訪問控制”屬性頁中進行選擇，例如，應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網絡適配器）、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的訪問控制對象組合在一起，形成一條控制策略，如圖5.27所示。訪問控制對象組合得越多，高級安全Windows防火墻控制網絡行為越精細。2．防火墻配置文件防火墻配置文件是一種分組設置的方法，如防火墻規則和連接安全規則，根據服務器連接到的位置，將其應用于該服務器。在運行WindowsServer2008的服務器上，高級安全Windows防火墻有三個配置文件（域、專用、公用）。一次只能應用其中一個配置文件。配置文件中的“域”表示當服務器連接到其域賬戶所在的網絡。“專用”表示當服務器連接到不包括其域賬戶的網絡時，如家庭網絡。專用配置文件設置，比域配置文件設置更為嚴格。“公用”表示當服務器通過公用網絡（如Internet）連接到域時的應用。由于服務器所連接到的公用網絡無法像IT環境中一樣嚴格控制安全，因此，公用配置文件設置應該最為嚴格。3．防火墻規則高級安全Windows防火墻規則，支持服務器向程序、系統服務、服務器及用戶發送通信，或者從程序、系統服務、服務器及用戶接收通信。防火墻規則，支持匹配“訪問控制（標準）”行為的所有連接。執行以下三個操作之一：允許連接、只允許通過Internet協議安全（IPSec）保護的連接，或者明確阻止連接。4．連接安全規則連接安全規則與單方面操作的防火墻規則不同，連接安全規則要求通信雙方計算機均采用連接安全規則的策略或其他兼容的IPSec策略。連接安全包括：在兩臺計算機開始通信之前，對它們進行身份驗證，并確保在兩臺計算機之間正在發送信息的安全性。高級安全Windows防火墻包含了Internet協議安全（IPSec）技術，通過使用密鑰交換、身份驗證、數據完整性和數據加密（可選）來實現連接安全。5．監視高級安全Windows防火墻Windows防火墻“監視”功能頁，顯示活動的配置文件（域、專用或公用）及該配置文件的設置。使用“監視”功能可以監視高級安全Windows防火墻管理單元創建的防火墻規則和連接安全規則，但無法查看使用IP安全策略管理單元創建的策略。8.4.9設置入站規則保護Web站點一個Web網站安裝就緒后，會有一些服務端口處于開放狀態，例如，允許匿名訪問Web網站的HTTP服務端口80處于開放狀態。合法用戶和攻擊者都使用這些開放端口連接系統。Web網站開放的端口越多，意味著Web網站系統存在更多的安全威脅。為了最大限度地避免黑客攻擊Web網站，可以使用安全高級Windows防火墻，建立一條允許訪問HTTP匿名訪問的“入站”規則，使客戶機只能訪問Web網站的80端口。補充（1）設置入站規則類型（2）設置協議和端口（3）設置允許連接（4）設置配置文件類型（5）指定該規則的名稱和描述（6）設置禁止出站規則問題時間8.5保護網絡邊界安全網絡邊界防火墻和路由器應用使用網絡DMZ構建入侵檢測系統路由器認證技術及應用

防火墻和路由器應用-1邊界安全設備叫做防火墻。防火墻阻止試圖對組織內部網絡進行掃描，阻止企圖闖入網絡的活動，防止外部進行拒絕服務（DoS，DenialofService）攻擊，禁止一定范圍內黑客利用Internet來探測用戶內部網絡的行為。阻塞和篩選規則由網管員所在機構的安全策略來決定。防火墻也可以用來保護在Intranet中的資源不會受到攻擊。不管在網絡中每一段用的是什么類型的網絡（公共的或私有的）或系統，防火墻都能把網絡中的各個段隔離開并進行保護。

雙防火墻體系結構

防火墻和路由器應用-2防火墻通常與連接兩個圍繞著防火墻網絡中的邊界路由器一起協同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設置為執報文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報文檢查，這樣的配置將整體上提高網絡的性能。根據這個網絡結構設置防火墻，最安全也是最簡單的方法就是：首先阻塞所有的端口號并且檢查所有的報文，然后對需要提供的服務有選擇地開放其端口號。通常來說，要想讓一臺Web服務器在Internet上僅能夠被匿名訪問，只開放80端口（http協議）或443端口（https–SSL協議）即可。使用網絡DMZ

把Web服務器放在DMZ中，必須保證Web服務器與的Intranet處于不同的子網。這樣當網絡流量進入路由器時，連接到Internet上的路由器和防火墻就能對網絡流量進行篩選和檢查了。這樣，就證實了DMZ是一種安全性較高的措施；所以除了Web服務器，還應該考慮把E-mail（SMTP/POP）服務器和FTP服務器等，也一同放在DMZ中。8.5.3ACL的作用與分類ACL概貌ACL配置擴展ACLACL應用什么是ACL?ACL是針對路由器處理數據報轉發的一組規則，路由器利用這組規則來決定數據報允許轉發還是拒絕轉發如果不設置ACL路由器將轉發網絡鏈路上所有數據報，當網絡管理設置了ACL以后可以決定哪些數據報可以轉發那些不可以可以利用下列參數允許或拒絕發送數據報：源地址目的地址上層協議(例如：TCP&UDP端口號)ACL可以應用于該路由器上所有的可路由協議，對于一個接口上的不同網絡協議需要配置不同的ACL使用ACL檢測數據報為了決定是轉發還是拒絕數據報，路由器按照ACL中各條語句的順序來依次匹配該數據報當數據報與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數據報將按照當前語句的設定來進行轉發或拒絕轉發的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實時的創建，即實時有效的；因此不能單獨修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個大型的ACL，最好使用文字編輯器編寫好整個ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL（出站）檢查數據報是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數據報交換到出站的接口如果有ACL，按照ACL語句的次序檢測數據報直至有了匹配條件，按照匹配條件的語句對數據報進行數據報的允許轉發或拒絕轉發如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標準ACL處理流程出站數據報進行路由表的查詢接口有ACL?源地址匹配？列表中的下一項更多的項目？執行條件允許Permit拒絕Deny否否無是是有向源站發送ICMP信息轉發數據報在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個基本的步驟（標準ACL）access-list-number參數ACL有多種類型，access-list-number與ACL的類型有關下表顯示了主要的一些ACL類型與access-list-number的關系ACL類型access-list-number標準IP1to99擴展IP100to199AppleTalk600to699標準IPX800to899擴展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny參數在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數來選擇希望路由器采取的動作PermitDeny向源站發送ICMP消息轉發數據報Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}參數在ACL的{testconditions}部分，需要根據存取列表的不同輸入不同的參數使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網、一組地址或單一節點地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網掩碼中的意義是完全不同的0二進制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習處理通配符掩碼，類似于子網掩碼，這需要一段時間掌握計算表示下列網絡中的所有節點的通配符掩碼：

答案：55這個通配符掩碼與C類地址的子網掩碼正好相反注意：針對整個網絡或子網中所有節點的通配符掩碼一般都是這樣的通配符掩碼練習計算表示下列子網中所有節點的通配符掩碼：224答案是：211與24正好相反二進制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網中的節點地址——511000000.00000101.00000101.00110111(5)節點地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習在下面的例子中，藍色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節點地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據通配符掩碼中為0的位，比較數據報的源地址和控制的IP地址中相關的各個位，當每位都相同時，說明兩者匹配針對掩碼為92的4子網的控制IP地址和通配符掩碼?答案：43通配符掩碼練習針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55通配符掩碼練習計算控制的IP地址和通配符掩碼是比較復雜的，尤其是控制網絡中的一部分節點時為了控制網絡中一部分節點往往需要在二進制方式下進行計算例如：學生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網絡中/24怎樣來計算？控制一段地址范圍內的節點對于學生使用的地址范圍首先，以二進制方式寫出第一個和最后一個節點地址。由于前三個8位組是相同的，所以可以忽略它們，在通配符掩碼中相應的位必須為“0”第一個地址：00000000最后一個地址：01111111其次，查找前面的兩者相同的位(下圖的藍色部分)0000000001111111這些相同的位將與前面的網絡地址部分(192.5.5)一樣進行匹配檢驗例子：地址區域到.127和.128到.255控制一段地址范圍內的節點第三，計算剩余節點地址部分的十進制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內的任何一個節點地址，但約定俗成的使用所控制范圍的第一個節點地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區域到.127和.128到.255控制一段地址范圍內的節點控制網絡/24中的所有偶數地址的控制IP地址和通配符掩碼？答案：54控制網絡/24中的所有奇數地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內的節點由于ACL末尾都有一個隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網絡功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網絡管理員需要在ACL處理單獨節點的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標準ACL不處理目的地相關參數，因此，標準ACL應該放置在最接近目的地的地點請參考下圖來考慮上述放置地點的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時，網絡中的數據通訊情況這樣所有網絡向外的通訊數據全部被拒絕標準ACL的正確放置位置擴展ACL的編號為100–199，擴展ACL增強了標準ACL的功能增強ACL可以基于下列參數進行網絡傳輸的過濾目的地址IP協議可以使用協議的名字來設定檢測的網絡協議或路由協議，例如：icmp、rip和igrpTCP/IP協議族中的上層協議可以使用名稱來表示上層協議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個ACL中(與標準ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個步驟（擴展ACL）access-list-number

從100到199中選擇一個{protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實際上有更多的參數選項{sourcesource-wildcard}與標準ACL相同{destinationdestination-wildcard}與標準ACL相同，但是是指定傳輸的目的[protocol-specificoptions]本參數用來指定需要過濾的協議擴展的參數請復習TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號由于擴展ACL可以控制目的地地址，所以應該放置在盡量接近數據發送源放置擴展ACL的正確位置放置擴展ACL的正確位置在下圖中，需要設定網絡中的所有節點不能訪問地址為4服務器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4，但是他們可以繼續訪問InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL；當在一個路由器上使用多于99個ACL時這個功能特別有用當輸入一個命名的ACL，不需要緊接著輸入access-list和access-list-number參數下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當前的路由器的整個配置驗證ACLACL不檢查路由器本身自己產生的數據報ACL只檢查其他來源的數據報ACL的特點8.5.6擴展ACL的應用

某企業網絡信息中心拓撲結構下圖所示。非軍事區（DMZ）包括交換機、企業WWW服務器、E-Mail服務器、防火墻、路由器（Cisco2651）和Internet專線連接設施。企業內網包括認證和計費系統（RADIUS）、網絡OA系統、ERP系統、核心交換機（Catalyst4506）和匯聚交換機（Catalyst2950G）等設施。外網擴展訪問控制列表/*僅允許DMZ區服務器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護內網主機的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*將此訪問控制列表應