学习情境2企业内网安全控制.ppt

《学习情境2企业内网安全控制.ppt》由会员分享，可在线阅读，更多相关《学习情境2企业内网安全控制.ppt（87页珍藏版）》请在三一办公上搜索。

1、企业内网安全控制,学习情境2,复杂程度,Internet飞速增长,时间,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响目标,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,VLAN,北京总部,广州分公司,上海分公司,VLAN,VLAN,VLAN,VLAN,VLAN,VLAN,情景二：构建企业交换式局域网,情景三：企业内部路由

2、配置情景四：企业内网安全控制,情景五：企业广域网接入配置,课程综合项目：Center公司网络改造项目,Internet,情景一：网络设备选型,课程项目进度,本章目标,了解网络安全的基础知识掌握网络互联设备的安全控制保护措施掌握交换机端口的安全知识学习访问控制列表技术区别不同的访问控制列表技术,任务分解,3,配置扩展访问控制列表访问安全技术,任务进度,2.1 网络安全概述,安全威胁窃听、重传、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒 网络攻击方法 获取口令放置木马程序WWW的欺骗技术电子邮件攻击通过一个节点来攻击其他节点网络监听寻找系统漏洞利用帐号进行攻击偷取特权,手段多样的

3、网络攻击：,网络攻击的防御技术,身份认证技术 加解密技术边界防护技术 访问控制技术主机加固技术安全审计技术 检测监控技术,2.2 管理设备控制台安全,对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵

4、犯最根本保护,保护设备控制台的安全措施,通过一根配置线缆连接到交换机的配置端口（Console），另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码 SwitchSwitch#configure terminalSwitch(config)#enable secret mypassword！配置特权密文密码Switch(config)#login！配置登陆时需要验证密码,配置线缆,配置交换机的连接模式,配置线缆,配置交换机远程登录的安全措施,除通过Console端口与设备直接相连管理设备之外，用户还可以通过Telnet程序和交换机RJ45口建立远程连接，以方便管理员对网络

5、设备进行远程管理。配置交换机远程登录密码过程如下（路由器远程登录密码的配置与之相同）。SwitchSwitch#configure terminalSwitch(config)#line vty 0 4！开启Telnet线路Switch(config-line)#password mypassword！配置Telnet登录密码Switch(config-line)#login！配置登陆时需要验证密码,2.3交换机端口安全,端口安全概述 大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口

6、产生的攻击行为，可以通过启用交换机端口安全功能特性加以防范。,广播MAC地址,前3个字节：IEEE分配给网络设备制造厂商的,后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备,MAC地址：链路层唯一标识,接入交换机,MAC Port A 1 B 2 C 3,MAC地址表：空间有限,MAC攻击,攻击：MAC地址表空间是有限，MAC攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包,向所有端口转发，每个连在端口上客户端都可以收到该报文;交换机变成了一个Hub，用户的信息传输也没有安全保障了,MAC攻击,端口安全配置方式,配置安全地址：当开启交换机端口安全功能并为交换机端口配置安

7、全MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。配置安全地址数：交换机安全端口不仅可以配置安全MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全MAC地址。配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全MAC地址。将IP地址绑定到MAC地址：可以在交换机上将IP地址绑定到MAC地址，以实现在特定端口上允许特定的IP终端接入。,端口安全的配置和维护,配置安全端口的过程包括启用端口安全，设置安全MAC地址的最大数量、配置安全地址、设置违例发生后

8、的处理方式、配置老化时间和将MAC地址与IP地址绑定等。对于Cisco交换机，需要注意的是：Cisco系列交换机可以做基于2层的端口安全，即MAC地址与端口进行绑定。Cisco3550以上交换机均可做基于2层和3层的端口安全，即MAC地址与端口绑定以及MAC地址与IP地址绑定。,交换机端口安全功能,交换机的端口安全功能，防止网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。2、限制端口

9、最大连接数，控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。,配置端口安全MAC地址,下面以以Cisco交换机为例，来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用：（1）设定一端口只接受第一次连接该端口的计算机MAC地址，当该端口第一次获得某计算机MAC地址后，其他计算机接入到此端口所发送的数据帧则认为非法，做丢弃处理。Switch#config terminalSwitch(config)#interface interface-id！进入端口Switch(config-if)#switchport mode access！配置端口

10、为交换模式Switch(config-if)#switchport port-security！打开端口安全模式Switch(config-if)#switchport port-security violation protect！设置违例处理,配置端口安全MAC地址,（2）设定一端口只接受某一特定计算机MAC地址，其他计算机均无法接入到此端口。Switch#config terminalSwitch(config)#interface interface-idSwitch(config-if)#switchport mode accessSwitch(config-if)#switchpo

11、rt port-securitySwitch(config-if)#switchport port-security violation protect/以上步骤与第一种应用相同Switch(config-if)#switchport port-security mac-address mac-address/将端口绑定到特定的MAC地址,设置安全端口最大连接数,可以通过MAC地址来限制端口流量。以下配置允许一接口最多通过100个MAC地址，超过100时，来自新主机的数据帧将丢失。具体配置如下：Switch#config terminalSwitch(config)#interface fas

12、tEthernet 0/1Switch(config)#Switchport mode accessSwitch(config-if)#switchport port-security maximum 100/允许通过的最大MAC地址数目为100Switch(config-if)#switchport port-security violation protect/当主机MAC地址数超过100时，交换机继续工作，但来自新主机的数据帧将丢失,配置安全违例,当交换机端口配制成安全端口后，以下情况发生时就产生了一个安全违例事件：端口安全地址数已达最大安全数目，这时，如果有一个安全MAC地址表外的MA

13、C地址试图访问这个端口。如果一个站点试图访问这个端口，而这个站点的源MAC地址已被配置为其他的端口的安全地址。,配置安全违例,当安全违例产生时，可以选择多种方式来处理违例：protect：当MAC地址的数量达到了这个端口所最大允许的数目，带有未知的源地址的数据帧就会被丢弃，直到删除了足够数量的MAC地址为止。restrict：当安全违例发生时，产生一个Trap消息并将“安全违规”计数器增加1。shutdown：一旦违例发生，马上关闭该端口，并且发送Trap消息。安全端口由于违例被关闭后处在error-disable状态。如要恢复该端口，必须敲入全局命令errdisable recovery c

14、ause psecure-violation，或者手动的shutdown然后再no shutdown恢复该端口。这个是Cisco交换机端口安全违例的默认处理方式。,配置安全端口与IP地址绑定,MAC地址与IP地址绑定基本原理是：在交换机内建立MAC地址和IP地址映射的ARP表。端口获得的IP和MAC地址将匹配该表，不符合则丢弃该端口发送的数据帧。具体实现方法如下：Switch#configure terminalSwitch(config)#arp ip地址 mac地址 arpa如下命令建立ip地址和mac地址绑定：Switch(config)#arp 1.1.1.1 0001.0001.11

15、11 arpa注意：需要将网段内所有IP都建立MAC地址映射，没有使用的IP地址可以与建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。,配置端口安全老化,当为端口指定最大安全MAC地址数时，交换机可以不断学习到新MAC地址，并将它添加到该端口的安全MAC地址表中。这时，安全MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用，可以采用设置端口安全老化时间和模式的方式，使系统能够自动删除长时间不活动的MAC地址，从而减少网络维护的工作量。配置端口安全老化的过程如下：Switch(config)#interface interface_id！指定欲配置端

16、口安全老化的接口Switch(config-if)#switchport port-security aging time aging_time/为安全端口配置老化时间Switch(config-if)#switchport port-security aging type absolute|inactivity/为安全端口设置老化类型,查看端口安全设置,在完成端口安全相关设置后，可用下列命令查看端口安全配置：Switch#show port-security！查看哪些接口启用了端口安全Switch#show port-security address！查看安全端口mac地址绑定关系Switc

17、h#show port-security interface f0/x,配置交换机端口安全,某公司拓扑如图所示，为了防止局域网内部用户的IP地址冲突，防范内部网络攻击行为，公司要求网络中心管理员为财务部中每一台计算机配置固定IP地址，并限制只允许局域网内部员工的电脑才可以使用网络，不得随意连接其他主机。此外，公司还需限制业务部的最大连接数目为2。,阶段总结,网络安全概述安全威胁、网络攻击方法、网络攻击的防御技术管理设备控制台安全保护设备控制台的安全措施、配置交换机远程登录的安全措施交换机端口安全端口安全概述、端口安全的配置和维护,任务进度,ISP,1、什么是访问列表,ACL对经过设备的数据包，

18、根据一定的规则，进行数据包的过滤。,FTP,RG-S2126,RG-S3512G/RG-S4009,RG-NBR1000,Internet,RG-S2126,不同部门所属VLAN不同,技术部VLAN20,财务部VLAN10,隔离病毒源,隔离外网病毒,2、为什么要使用访问列表,ACL的功能,通过灵活地应用访问控制列表，可以把ACL作为一种网络控制的有力工具，用来实现以下功能：提供对通讯流量的控制手段。提供网络访问的基本安全手段。在路由器接口处，决定哪种类型的通讯流量被转发，哪种类型的流量被丢弃。,ACL检查数据包,交换机支持的访问控制列表,交换机支持三种访问控制列表的应用过滤传输：端口访问控制列

19、表：也称MAC访问控制列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问控制列表。在三层接口可以应用IP访问控制列表和端口访问控制列表。路由访问控制列表：对VLAN之间以及三层接口之间通信实施访问控制。并且可以控制进、出双向通信。VLAN访问控制列表：也称VLAN映射，对所有包实现访问控制。在同一VLAN的设备之间，可以采用VLAN ACL实施访问控制。VLAN访问控制列表的配置与访问控制均基于IP地址，不支持基于MAC地址的访问控制。,访问控制列表的类型,访问控制列表的分类：1、标准2、扩展3、命名（标准扩展）,访问控制列表工作过程,配置标准访问控制列表,标准ACL的工作过程

20、 标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有流量通过路由器。从路由器某一接口进来的数据包经过检查其源地址和协议类型，并且与ACL条件判断语句相匹配，如果匹配，则执行允许或拒绝。如果该数据包被允许通过，就从路由器的出口转发出去；如果该数据包被拒绝通过，就丢弃它。当网络管理员要允许或阻止来自某一网络的所有通信流量，可以使用标准ACL来实现这一目标。,标准访问列表 只根据源IP地址，进行数据包的过滤。,学生网段,校领导网段,教研网段,标准列表规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,1、定义标准

21、ACLRouter(config)#access-list permit|deny 源地址 反掩码Switch(config)#Ip access-list permit|deny 源地址 反掩码 2、应用ACL到接口Router(config-if)#ip access-group|name in|out,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码（通配符）,通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。,在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。

22、如表示这个网段，使用通配符掩码应为。在通配符掩码用表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。,(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out,F0,S0,F1,Internet,IP标准访问列表配置,只允许网络中的计算机访问互联网络,IP标准访问列表配置技术,阻止主机通过E0访问网络，而允许其他的机器访问Router（config）Router（config）#

23、access-list 1 permit anyRouter（config）#interface ethernet 0Router（config-if）#ip access-group 1 in,配置标准访问控制列表,拓扑如图所示，要实现网络一和网络二隔离，可以在路由器R2上做标准ACL技术控制，以实现网络之间的隔离。,访问控制列表概述,访问表（access list）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。,访问控制列表概述,访问控制列表总的说起来有下面三个作用:安全控制流量过滤数据流量标识,ACL工作原理及规则,ACL语句有两个组件：一个

24、是条件，一个是操作条件：一个组的规则操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。,ACL工作原理及规则,入站ACL,ACL工作原理及规则,出站ACL,ACL工作原理及规则,基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否

25、则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；,ACL工作原理及规则,基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。,ACL工作原理及规则,ACL放置在

26、什么位置:只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；只过滤数据包中的源地址的ACL有两个局限性：即使ACL应用到路由器C的E0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。,ACL的种类,两种基本的ACL：标准ACL和扩展ACL标准IP ACL只能过滤IP数据包头中的源IP地址扩展IP ACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，,访问控制列表

27、,标准ACL,标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。,标准ACL,通过两种方式创建标准ACL：编号或名称 使用编号使用编号创建ACL在接口上应用In：当流量从网络网段进入路由器接口时Out：当流量离开接口到网络网段时,Router(config)#,access-list listnumber permit|deny address wildcardmask,Router(config-if)#,ip access-group id|n

28、ame in|out,允许/拒绝,标准ACL,使用命名定义ACL名称定义规则在接口上应用,Router(config)#,ip access-list standard name,Router(config-std-nacl)#,deny|permit source wildcard any,Router(config-if)#,ip access-group id|name in|out,配置标准ACL示例,访问控制列表,实习项目：配置标准访问列表控制网络流量,【工作任务】如图所示的网络拓扑是某大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（）和行政办公网（）的隔离，

29、可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】,阶段总结,ACL简介访问列表功能、交换机支持的访问控制列表、访问控制列表的类型、访问控制列表工作过程配置标准访问控制列表标准ACL的工作过程、配置标准ACL,任务进度,3,配置扩展访问控制列表访问安全技术,扩展型访问控制列表,扩展型访问控制列表（Extended IP ACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接

30、和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。,ACL分类-扩展访问列表,扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表（1）,扩展访问控制列表,可以通过两种方式为扩展ACL语句分组：通过编号或名称编号的扩展ACL创建扩展ACL接口上应用,Router(config)#,access-list listnumber permit|deny protocol source source-wildcardmask d

31、estination destination-wildcardmask operator operand,Router(config-if)#,ip access-group id|name in|out,扩展访问控制列表,命名的标准ACL定义扩展ACL名称定义规则在接口上应用,Router(config)#,ip acess-list extended name,Router(config-if)#,ip access-group id|name in|out,Router(conig-ext-nacl)#,deny|permit protocol source source-wildcar

32、d|host source|anyoperator port,验证ACL配置,显示所有协议的所有ACL查看接口应用的ACL情况,Router#,show access-lists,Router#,show ip access-group,冲击波（MS Blaster）病毒 蠕虫病毒，大量ICMP扫描，导致网络阻塞利用ACL关闭ICMP服务，以及相应端口。益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。配置示例：access-list101denytcpanyanyeq135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码。access-list101denyudpanyanyeqtf

33、tp 限制目标主机通过tftp下载病毒。access-list101denyicmp any any 阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。,接入交换机RG-S2126G防病毒配置RG-2126G-2(config)#ip access-list extended deny_wormsRG-2126G-2(config-ext-nacl)#deny tcp any any eq 135RG-2126G-2(config-ext-nacl)#deny tcp any any eq 136RG-2126G-2(config-ext-nacl)#deny tcp any an

34、y eq 137RG-2126G-2(config-ext-nacl)#deny tcp any any eq 138RG-2126G-2(config-ext-nacl)#deny tcp any any eq 139RG-2126G-2(config-ext-nacl)#deny tcp any any eq 445RG-2126G-2(config-ext-nacl)#deny udp any any eq 135RG-2126G-2(config-ext-nacl)#deny udp any any eq 136RG-2126G-2(config-ext-nacl)#deny udp

35、any any eq netbios-nsRG-2126G-2(config-ext-nacl)#deny udp any any eq netbios-dgmRG-2126G-2(config-ext-nacl)#deny udp any any eq netbios-ssRG-2126G-2(config-ext-nacl)#deny udp any any eq 445RG-2126G-2(config-ext-nacl)#permit ip any any RG-2126G-2(config-ext-nacl)#exitRG-2126G-2(config)#interface rang

36、e fa 0/1-24RG-2126G-2(config-if-range)#ip access-group deny_worms in,配置扩展ACL示例,配置扩展ACL示例,项目：配置扩展访问列表保护服务器安全,【工作任务】如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（）和学生网（）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】,配置扩展访问控制列表,扩展ACL的工作过程,扩展型访问控制列表,扩展型访

37、问控制列表（Extended IP ACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。,扩展访问列表,扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,IP扩展访问列表的配置,1、定义扩展的ACLRouter(config)#ac

38、cess-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口Router(config-if)#ip access-group|name in|out,实例2.3 配置扩展访问控制列表,拓扑如图所示，某公司销售部的网络和财务部的网络通过路由器R1和R2相连，对整个网络配置RIPv2动态路由协议，保证网络正常通信。,要求在R2上配置扩展ACL，实现以下4个功能：（1）允许销售部网络的主机访问。（2）拒绝销售部网络的主机访问。（3）拒绝销售部网络的主机Telnet路由器R2。,命名访问控制列表,命名ACL不使用编号而使用字符串来定义规则

39、。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。通过字符串组成的名字直观地表示特定ACL；不受编号ACL中100条限制；可以方便的对ACL进行修改，无需删除重新配置,命名访问控制列表,1、定义命名的ACL ip access-list standard|extented name permit|deny source source-wilcardany 2、应用ACL到接口Router(config-if)#ip access-group name in|out,情境分解项目 配置企业内网安全,拓扑如图所示，Center公司北京总部四个部门通过交换机统一连接到核心交换机上

40、，总部设有财务、研发、高管、信息中心四个部门，每个部门属于一个VLAN。为了防止企业网出现ARP攻击，我们需要在二层交换机上配置端口安全。为了保证财务部的敏感数据的安全性，我们需要在在三层交换机上配置安全策略，只允许高管部可以访问财务部。为了防止连接外网的出口路由器出现DoS拒绝服务攻击，我们需要在出口路由器上配置扩展ACL，不允许外网用户ping出口路由器。,情境分解项目拓扑图,阶段总结,配置扩展访问控制列表扩展ACL的工作过程、配置扩展ACL命名访问控制列表,任务进度,3,配置扩展访问控制列表访问安全技术,管理设备控制台安全,本章结构,企业内网安全控制,网络安全概述,访问控制列表技术,交换机端口安全,标准访问控制列表,扩展访问控制列表,命名访问控制列表,端口安全概述,端口安全配置与维护,