RCNA09 园区网安全设计

第9章园区网安全设计锐捷认证网络工程师RCNA2园区网安全隐患交换机端口安全如何在路由器配置访问控制列表ACL防火墙基础本章内容3园区网常见安全隐患非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏；。来自园区网外部和内部人员的恶意攻击和破坏。4威胁人自然灾害恶意非恶意不熟练的员工（外部）黑客威胁（内部）不满的员工（外部）战争5漏洞物理自然硬件软件媒介通讯人ExternalattackerCorporateAssetsInternalattackerIncorrectpermissionsVirus6网络安全的演化第一代•引导性病毒第二代•宏病毒•DOS•电子邮件•有限的黑客攻击第三代•网络DOS攻击•混合威胁（蠕虫+病毒+特洛伊）•广泛的系统黑客攻击下一代•网络基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快7现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL71%8常见解决安全隐患的方案交换机端口安全配置访问控制列表ACL在防火墙实现包过滤……9交换机端口安全通过限制允许访问交换机上某个端口的MAC地址以及IP（可选）来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。此外，你还可以限制一个端口上能包含的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。为了增强安全性，你可以将MAC地址和IP地址绑定起来作为安全地址。10交换机端口安全如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。11配置安全端口interfaceinterface-id进入接口配置模式。switchportmodeaccess设置接口为access模式（如果确定接口已经处于access模式，则此步骤可以省略）。switchportport-security打开该接口的端口安全功能switchportport-securitymaximumvalue设置接口上安全地址的最大个数，范围是1－128，缺省值为128。switchportport-securityviolation{protect|restrict|shutdown}设置处理违例的方式当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口上的安全地址。ip-address:可选IP为这个安全地址绑定的地址。12端口安全配置示例下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。Switch#configureterminalSwitch（config）#interfacegigabitethernet1/3Switch（config-if）#switchportmodeaccessSwitch（config-if）#switchportport-securitySwitch（config-if）#switchportport-securitymaximum8Switch（config-if）#switchportport-securityviolationprotectSwitch（config-if）#end13验证命令Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge（mins）---------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredGi1/38100d0.f800.3cc9192.168.12.5ConfiguredGi1/1714验证命令Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction--------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381Protect15访问控制列表标准访问控制列表扩展访问控制列表ISPIPAccess-list：访问列表或访问控制列表，简称IPACL当网络访问流量较大时,需要对网络流量进行管理为什么要使用访问列表17为什么要使用访问列表公网互联网用户对外信息服务器员工上网拒绝信息服务器不能在上班时间进行QQ,MSN等聊天．访问权限控制18为什么要使用访问列表可以是路由器或三层交换机或防火墙网络安全性19路由器应用访问列表对流经它的数据包进行限制1.入栈应用2.出栈应用E0S0是否允许?源地址目的地址协议访问列表的应用以ICMP信息通知源发送方NY选择出口S0路由表中是否存在记录?NY查看访问列表的陈述是否允许?Y是否应用访问列表?NS0S0访问列表的出栈应用Y拒绝Y是否匹配测试条件1?允许N拒绝允许是否匹配测试条件2?拒绝是否匹配最后一个测试条件?YYNYY允许被系统隐含拒绝N一个访问列表多个测试条件22IPACL的基本准则一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”源地址TCP/UDP数据IPeg.HDLC1-99号列表IP标准访问列表目的地址源地址协议端口号100-199号列表TCP/UDP数据IPeg.HDLCIP扩展访问列表0表示检查相应的地址比特1表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111反掩码1.定义标准ACL编号的标准访问列表Router(config)#access-list1-99{permit|deny}源地址[反掩码]命名的标准访问列表ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}2.应用ACL到接口Router(config-if)#ipaccess-group1-99|{name}{in|out}IP标准访问列表的配置27access-list1permit172.16.0.00.0.255.255(access-list1deny0.0.0.0255.255.255.255)interfacefastethernet0ipaccess-group1outinterfacefastethernet1ipaccess-group1out172.16.3.0172.16.4.0F0S0F1172.17.0.0IP标准访问列表配置实例2.应用ACL到接口Router(config-if)#ipaccess-group100-199{in|out}1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]IP扩展访问列表的配置下例显示如何创建一条ExtendedIPACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络。Switch（config）#ipaccess-listextendedallow_0xc0a800_to_172.168.12.3Switch（config-std-nacl）#permittcp192.168.0.00.0.255.255host172.168.12.3eq（config-std-nacl）#endSwitch#showaccess-listsIP扩展访问列表配置实例30扩展访问列表的应用access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyanyinterfacetypenumberipaccess-group115inipaccess-group115out31显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists1-199显示接口的访问列表应用Router#showipinterface接口名称接口编号访问列表的验证32InternetAccessDeniedUnauthorizedService(http,ftp,telnet)FirewallAuthorizedServiceInternalResources企业网络边缘设备置于可信区和不可信区之间保护可信区（内部网）监控穿越防火墙的数据流AlloworDeny什么是防火墙33RG-WALL产品线特性(会话数、端口数等)性能中小型企业、普教行业大中型应用教育城域网等RG-WALL100大型校园网核心与ISP的互连等RG-WALL1000RG-WALL1500大型网络HA应用VPN网关核心的应用等RG-WALL150大中型企业分支、教育城域网VPN分支机构等RG-WALL50普教行业中小型应用34NAT（对内、对外）防止病毒流窜接入时间控制中小型网络应用特点35中小学校园网典型应用WEB服务器MAIL