1/54第五章网络安全技术2/54中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年,具备完整应用体系和物理架构。但在使用过程中,网络安全面临很多隐患,需要经行安全规划。新规划学院网络安全的实施整体规划,通过在交换机设备上增加访问控制列表技术,实现学院内部网络设备之间安全防范,并增加防火墙设备增加学院网络的整体安全建设规划。工程任务:保护园区网络安全3/54组件一:网络攻击行为保护园区网络安全组件二:管理设备控制台安全组件三:交换机端口安全技术组件四:访问控制列表安全技术4/54组件一:网络攻击行为保护园区网络安全5/54复杂程度Internet飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间6/54第一代•引导性病毒第二代•宏病毒•DOS•电子邮件•有限的黑客攻击第三代•网络DOS攻击•混合威胁(蠕虫+病毒+特洛伊)•广泛的系统黑客攻击下一代•网络基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫波及全球网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响目标1980s1990s今天未来安全事件对我们的威胁越来越快网络安全的演化7/54网络安全隐患网络安全隐患是指借助计算机或其他通信设备,利用网络开放性和匿名性的特征,在进行网络交互操作时,进行的窃听、攻击或其它破坏行为,具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛,如自然火灾、意外事故、人为行为(如使用不当、安全意识等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。一般根据网络安全隐患源头可分为以下几类:(1)非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。(2)人为但属于操作人员无意的失误造成的数据丢失或损坏。(3)来自企业网外部和内部人员的恶意攻击和破坏。8/54常见网络管理中存在的安全问题(1)机房安全。机房是网络设备运行的控制中心,经常发生的安全问题,如物理安全(火灾、雷击、盗贼等)、电气安全(停电、负载不均等)等情况。(2)病毒的侵入。Internet开拓性的发展,使病毒传播发展成为灾难。据美国国家计算机安全协会(NCSA)最近一项调查发现,几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。(3)黑客的攻击。得益于Internet的开放性和匿名性,也给Internet应用造成了很多漏洞,从而给别有用心的人有可乘之机,来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。(4)管理不健全造成的安全漏洞。网络安全不仅仅是技术问题,更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题,必须要有综合的解决方案。9/54网络攻击行为常见的攻击措施主要有:获取网络口令放置特洛伊木马程序欺骗技术电子邮件攻击通过一个节点来攻击其他节点拒绝服务攻击DDOS网络监听寻找系统漏洞利用账号进行攻击偷取特权10/54手段多样的网络攻击:0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击11/54攻击不可避免攻击工具体系化12/54网络进攻简单化全球超过26万黑客站点,提供系统漏洞和攻击知识越来越多易使用攻击软件出现年轻人对网络攻击好奇心年轻人的叛逆心理13/54大量的攻击工具随手拾来攻击工具更加“人性化”14/54现有网络安全防御体制入侵检测系统IDS68%杀毒软件99%防火墙98%ACL71%现有网络安全体制15/54VPN虚拟专用网防火墙包过滤防病毒入侵检测现有网络安全技术16/54保护园区网络安全组件二:管理设备控制台安全17/54管理交换机控制台安全对于大多数企业内部网来说,连接网络中各个节点的互联设备,是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点,对这个接入点的破坏,直接造成整个网络瘫痪。如果网络互联设备没有很好的安全防护措施,来自网络内部的攻击或者恶作剧式的破坏,对网络的打击将是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示,80%的安全破坏事件都是由薄弱的口令引起的,因此为网络互联设备,配置一个恰当口令,是保护网络不受侵犯最根本的保护。18/54配置交换机的登陆密码S2126G(config)#enablesecretlevel10star“0”表示输入的是明文形式的口令,1为分配等级配置交换机的特权密码S2126G(config)#enablesecretlevel150Star“0”表示输入的是明文形式的口令,15为分配等级等级1分配给特权模式;等级15分配给全局模式,登级2-14分配给不同的命令;保护交换机控制台的安全措施19/54配置交换机远程登录的安全措施Switch(config)#enablesecretlevel10star!配置远程登陆密码Switch(config)#enablesecretlevel150star!配置进入特权模式密码Switch(config)#interfacevlan1!配置远程登录地址Switch(config-if)#noshutdownSwitch(config-if)#ipaddress192.168.1.1255.255.255.0Switch(config-if)#end注:两个密码缺一不可20/54路由器控制台安全保护路由器控制台的安全措施配置路由器控制台密码Router(config)#lineconcole0Router(config-line)#loginRouter(config-line)#passwordstar配置路由器的特权登录密码:Router(config)#enablepasswordstarRouter(config)#enablesecretstar“password”表示输入的是明文形式的口令,“secret”为密文形式的口令,密文有最高优先级别。21/54保护路由器远程登陆登录的安全措施Router#configureterminalRouter(config)#Router(config)#lineVTY04Router(config-line)#loginRouter(config-line)#passwordstar22/54保护园区网络安全组件三:交换机端口安全技术23/54FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节:IEEE分配给网络设备制造厂商的后3个字节:网络设备制造厂商自行分配的,不重复,生产时写入设备MAC地址:链路层唯一标识接入交换机MACPortA1B2C3MAC地址表:空间有限MAC地址24/54攻击:MAC地址表空间是有限,MAC攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包,向所有端口转发,每个连在端口上的客户端都可以收到该报文;交换机变成了一个Hub,用户的信息传输也没有安全保障了。MAC地址攻击25/54交换机端口安全功能交换机的端口安全功能,可以防止网络内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数,控制恶意扩展接入例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。26/54交换机端口安全内容安全端口收到不属于端口上安全地址包时,一个安全违例将产生。当安全违例产生时,可以选择多种方式来处理违例:Protect:安全端口将丢弃未知地址的包(不是该端口的安全地址中的任何一个)。RestrictTrap:当违例产生时,将发送一个Trap通知。Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。27/54配置端口的最大连接数配置fa1/3端口安全功能,设置最大地址个数为8,违例方式为protect。Switch(config)#interfacefa1/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotect28/54绑定端口安全地址配置fa0/3安全功能,绑定MAC为00d0.f800.073c,IP为192.168.12.202Switch(config)#interfacefa0/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.20229/54验证命令查看接口安全信息Switch#showport-securitySecurePortMaxSecureAddr(count)CurrentAddr(count)SecurityAction---------------------------------------------------------------fa0/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/38130/54实习项目:配置交换机端口安全【工作任务】如图所示,模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突,防止学院内部的网络攻击行为,学院领导要求网络中心的管理员,为学院中每一台电脑分配固定IP地址(如为某位老师分配的IP地址是172.16.1.55/24,该主机的MAC地址是00-06-1B-DE-13-B4),并限制只允许学院内部的员工才可以使用网络,并不得随意连接其他主机。。【项目设备】交换机(1台),PC(1台)、网线(1条)【实施过程】…………31/5432/54arp绑定运行-cmdtelnet172.16.1.251输入用户名uuuuuu输入密码mmmmmmshowiparp显示ARP状况en进入编辑configt进入配置编辑状态showmac-显示mac号后处的交换口arpip地址mac地址arpagi0/4绑定某IP的mac地址于交换机4口上end结束编辑wr写入配置文件中exit退出noarpip解开绑定33/54保护园区网络安全组件四:访问控制列表技术34/54ISP1、什么是访问列表ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。√FTP35/54RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒2、为什么要使用访问列表36/543、访问列表的组成定义访问列表的步骤第一步:定义规则(哪些数据允许通过,哪些不允许)第二步:将规则应