搜索
园区网的安全技术江南大学信息化管理中心乐红兵2常见的网络攻击:0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击网络攻击手段多种多样,以上是最常见的几种江南大学信息化管理中心乐红兵3攻击不可避免攻击工具体系化网络攻击原理日趋复杂,但攻击却变得越来越简单易操作江南大学信息化管理中心乐红兵4额外的不安全因素DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织江南大学信息化管理中心乐红兵5现有网络安全体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%江南大学信息化管理中心乐红兵6VPN虚拟专用网防火墙包过滤防病毒入侵检测江南大学信息化管理中心乐红兵7交换机端口安全•利用交换机的端口安全功能实现–防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。•交换机端口安全的基本功能–限制交换机端口的最大连接数–端口的安全地址绑定江南大学信息化管理中心乐红兵8交换机端口安全•安全违例产生于以下情况:–如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数–如果该端口收到一个源地址不属于端口上的安全地址的包•当安全违例产生时,你可以选择多种方式来处理违例:–Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包–Restrict:当违例产生时,将发送一个Trap通知–Shutdown:当违例产生时,将关闭端口并发送一个Trap通知江南大学信息化管理中心乐红兵9配置安全端口•端口安全最大连接数配置–switchportport-security!打开该接口的端口安全功能–switchportport-securitymaximumvalue!设置接口上安全地址的最大个数,范围是1-128,缺省值为128–switchportport-securityviolation{protect|restrict|shutdown}!设置处理违例的方式•注意:1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisablerecoverycauseall来将接口从错误状态中恢复过来。江南大学信息化管理中心乐红兵10配置安全端口•端口的安全地址绑定–switchportport-security!打开该接口的端口安全功能–switchportport-securitymac-addressmac-address!手工配置接口上的安全地址•注意:1、端口安全功能只能在access端口上进行配置江南大学信息化管理中心乐红兵11案例(一)•下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect–Switch#configureterminal–Switch(config)#interfacegigabitethernet1/3–Switch(config-if)#switchportmodeaccess–Switch(config-if)#switchportport-security–Switch(config-if)#switchportport-securitymaximum8–Switch(config-if)#switchportport-securityviolationprotect–Switch(config-if)#end江南大学信息化管理中心乐红兵12案例(二)•下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c–Switch#configureterminal–Switch(config)#interfacefastethernet0/3–Switch(config-if)#switchportmodeaccess–Switch(config-if)#switchportport-security–Switch(config-if)#switchportport-securitymac-address00d0.f800.073c–Switch(config-if)#end江南大学信息化管理中心乐红兵13查看配置信息查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect江南大学信息化管理中心乐红兵14查看配置信息查看安全地址信息Switch#showport-securityaddressSecureMacAddressTable------------------------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------1001b.000c.0123SecureConfiguredGi2/2-------------------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):3072江南大学信息化管理中心乐红兵15什么是访问列表•IPAccess-list:IP访问列表或访问控制列表,简称IPACL–ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√江南大学信息化管理中心乐红兵16访问列表•访问控制列表的作用:–内网布署安全策略,保证内网安全权限的资源访问–内网访问外网时,进行安全的数据过滤–防止常见病毒、木马、攻击对用户的破坏江南大学信息化管理中心乐红兵17访问列表的组成•定义访问列表的步骤–第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)–第二步,将规则应用在路由器(或交换机)的接口上•访问控制列表规则的分类:–1、标准访问控制列表–2、扩展访问控制列表江南大学信息化管理中心乐红兵18访问列表规则的应用•路由器应用访问列表对流经接口的数据包进行控制–1.入栈应用(in)•经某接口进入设备内部的数据包进行安全规则过滤–2.出栈应用(out)•设备从某接口向外发送数据时进行安全规则过滤•一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT江南大学信息化管理中心乐红兵19访问列表的入栈应用NY是否允许?Y是否应用访问列表?N查找路由表进行选路转发以ICMP信息通知源发送方江南大学信息化管理中心乐红兵20以ICMP信息通知源发送方NY选择出口S0路由表中是否存在记录?NY查看访问列表的陈述是否允许?Y是否应用访问列表?NS0S0访问列表的出栈应用江南大学信息化管理中心乐红兵21IPACL的基本准则•一切未被允许的就是禁止的–定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过•按规则链来进行匹配–使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配•规则匹配原则–从头到尾,至顶向下的匹配方式–匹配成功马上停止–立刻使用该规则的“允许/拒绝……”江南大学信息化管理中心乐红兵22Y拒绝Y是否匹配规则条件1?允许N拒绝允许是否匹配规则条件2?拒绝是否匹配最后一个条件?YYNYY允许隐含拒绝N一个访问列表多条过滤规则江南大学信息化管理中心乐红兵23访问列表规则的定义•标准访问列表–根据数据包源IP地址进行规则定义•扩展访问列表–根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义江南大学信息化管理中心乐红兵24源地址TCP/UDP数据IPeg.HDLC1-99号列表IP标准访问列表江南大学信息化管理中心乐红兵25目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IPeg.HDLC100-199号列表江南大学信息化管理中心乐红兵260表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码(通配符)江南大学信息化管理中心乐红兵27IP标准访问列表的配置1.定义标准ACL–编号的标准访问列表Router(config)#access-list1-99{permit|deny}源地址[反掩码]–命名的标准访问列表switch(config)#ipaccess-liststandardnameswitch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口–Router(config-if)#ipaccess-group1-99{in|out}江南大学信息化管理中心乐红兵28172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0IP标准访问列表配置实例(一)•配置:–access-list1permit172.16.3.00.0.0.255(access-list1denyany)–interfaceserial1/2–ipaccess-group1out江南大学信息化管理中心乐红兵29标准访问列表配置实例(二)•需求:–你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。•配置:–ipaccess-liststandardabc–permithost192.168.2.8–deny192.168.2.00.0.0.255财务192.168.1.0教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长江南大学信息化管理中心乐红兵30IP扩展访问列表的配置1.定义扩展的ACL–编号的扩展ACL•Router(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]–命名的扩展ACL•ipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口–Router(config-if)#ipaccess-group100-199{in|out}江南大学信息化管理中心乐红兵31IP扩展访问列表配置实例(一)•如何创建一条扩展ACL–该ACL有一条ACE,用于允许指定网络(192.168.x..x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络•Router(config)#access-list103permittcp192.168.0.00.0.255.255host172.168.12.3eq•Router#showaccess-lists103江南大学信息化管理中心乐红兵32access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137ac