锐捷认证网络工程师RCNA第9章 园区网的安全设计.ppt

第9章 园区网的安全设计,锐捷认证网络工程师RCNA,本章内容,网络安全隐患交换机端口安全IP访问列表,课程议题,网络安全隐患交换机端口安全IP访问列表,复杂程度,Internet 技术的飞速增长,时间,网络安全风险,安全需求和实际操作脱离 内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,针对操作系统的攻击,针对应用服务的攻击,应用服务程序,Web服务器 数据库系统 内部办公系统 网络浏览器 ERP 系统 办公文件程序 FTP SMTP POP3,Oracle,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,额外的不安全因素,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球的网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,现有网络安全防御体制,IDS68%,杀毒软件99%,防火墙98%,ACL71%,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,网络安全隐患交换机端口安全IP访问列表,交换机端口安全,利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定,交换机端口安全,如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后;如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。,配置安全端口,端口安全最大连接数配置switchport port-security打开该接口的端口安全功能switchport port-security maximum value设置接口上安全地址的最大个数，范围是1128，缺省值为128。switchport port-security violationprotect|restrict|shutdown设置处理违例的方式,注：1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使 用命令errdisable recovery 来将接口从错误状态 中恢复过来。,配置安全端口,端口的安全地址绑定switchport port-security 打开该接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。,注：1、端口安全功能只能在access端口上进行配置。2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,端口安全配置示例,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。Switch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end,端口安全配置示例,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202Switch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end,验证命令,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。Switch#show port-security Secure Port MaxSecureAddr（count）CurrentAddr（count）Security Action-Gi1/3 8 1 Protect,验证命令,查看安全地址信息。Switch#show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,网络安全隐患交换机端口安全IP访问列表,ISP,什么是访问列表,IP Access-list：IP访问列表或访问控制列表，简称IP ACLIP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。,为什么要使用访问列表,网络安全性,可以是路由器或三层交换机或防火墙,接入层交换机RG-S2126,核心交换机RG-S3512G/RG-S4009,服务器群,路由器RG-NBR1000,Internet,交换机堆叠,接入层交换机RG-S2126,不同部门所属VLAN不同,技术部VLAN20,财务部VLAN10,隔离病毒源,隔离外网病毒,WWWEMAILFTP,为什么要使用访问列表,访问列表的组成,定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表的分类：1、标准访问控制列表2、扩展访问控制列表访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）2.出栈应用（out）,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由表进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是否存在记录?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”,Y,拒绝,Y,是否匹配测试条件1?,允许,N,拒绝,允许,是否匹配测试条件2?,拒绝,是否匹配最后一个测试条件?,Y,Y,N,Y,Y,允许,被系统隐含拒绝,N,一个访问列表多个测试条件,访问列表规则的定义,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码（通配符）,IP标准访问列表的配置,1.定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表 ip access-list standard name denysource source-wildcard|hostsource|any or permit source source-wildcard|hostsource|any2.应用ACL到接口Router(config-if)#ip access-group|name in|out,access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out,172.16.3.0,172.16.4.0,F0,S0,F1,172.17.0.0,IP标准访问列表配置实例,IP扩展访问列表的配置,1.定义扩展的ACL编号的扩展ACL Router(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name deny|permit protocolsource source-wildcard|host source|anyoperator port destination destination-wildcard|host destination|anyoperator port2.应用ACL到接口Router(config-if)#ip access-group|name in|out,IP扩展访问列表配置实例,下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络。Switch(config)#ip access-list extended abc Switch(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch(config-ext-nacl)#end Switch#show access-lists,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,扩展访问列表的应用,利用ACL隔离冲击波病毒,访问列表的验证,显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface,课程回顾,网络安全隐患交换机端口安全IP访问列表,Q&A,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,