-园区网安全（精）

园区网安全,学习目标,通过本章的学习，希望您能够： 了解园区网安全隐患 掌握交换机端口安全原理及配置方法 掌握ACL的工作原理及配置方法,本章内容,交换机端口安全 交换机端口安全概述 端口安全的配置 访问控制列表 访问控制列表概述 ACL的种类 配置ACL,课程议题,交换机端口安全,交换机端口安全概述,交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。 限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 配置端口安全存在以下限制： 一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。 一个安全端口不能是一个聚合端口（Aggregate Port）。 一个安全端口不能是SPAN的目的端口。,交换机端口安全概述,当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式： protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMP Trap报文 shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMP Trap报文，而且将端口关闭。,端口安全的配置,打开该接口的端口安全功能 设置接口上安全地址的最大个数 配置处理违例的方式,Switch(conifg-if)#,switchport port-security,Switch(conifg-if)#,switchport port-security maximum number,Switch(conifg-if)#,switchport port-security violation protect | restrict | shutdown ,配置安全端口上的安全地址,配置安全端口上的安全地址 当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态： 设置端口从“err-disabled”状态自动恢复所等待的时间,Switch(conifg-if)#,switchport port-security mac-address mac-address ip-address ip-address,Switch(conifg)#,errdisable recovery,Switch(conifg)#,errdisable recovery interval time,配置安全地址的老化时间 关闭一个接口的安全地址老化功能（老化时间为0） 使老化时间仅应用于动态学习到的安全地址,Switch(conifg-if)#,switchport port-security agingstatic | time time ,Switch(conifg-if)#,no switchport port-security aging time,Switch(conifg-if)#,no switchport port-security aging static,查看端口安全信息,显示所有接口的安全设置状态、违例处理等信息 来查看安全地址信息，显示安全地址及老化时间 显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等,Router#,show port-security interface interface-id,Router#,show port-security address,Router#,show port-security,课程议题,访问控制列表,访问控制列表概述,访问表（access list）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。,访问控制列表概述,访问控制列表总的说起来有下面三个作用: 安全控制 流量过滤 数据流量标识,ACL工作原理及规则,ACL语句有两个组件：一个是条件，一个是操作。 条件：条件基本上一个组规则 操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。,ACL工作原理及规则,入站ACL,ACL工作原理及规则,出站ACL,ACL工作原理及规则,基本规则、准则和限制 ACL语句按名称或编号分组； 每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句； 如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句； 如果在ACL组的一条语句中找到匹配，则不再处理后面的语句； 如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包； 由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝； 语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；,ACL工作原理及规则,基本规则、准则和限制 一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句； 只能在每个接口、每个协议、每个方向上应用一个ACL； 在数据包被路由到其它接口之前，处理入站ACL； 在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL； 当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。,ACL工作原理及规则,ACL放置在什么位置: 只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方； 过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方； 只过滤数据包中的源地址的ACL有两个局限性： 即使ACL应用到路由器C的E0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。 流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。,ACL的种类,两种基本的ACL：标准ACL和扩展ACL 标准IP ACL只能过滤IP数据包头中的源IP地址 扩展IP ACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，,标准ACL,标准ACL只能过滤IP数据包头中的源IP地址 标准ACL通常用在路由器配置以下功能： 限制通过VTY线路对路由器的访问（telnet、SSH）； 限制通过HTTP或HTTPS对路由器的访问； 过滤路由更新。,标准ACL,通过两种方式创建标准ACL：编号或名称 使用编号 使用编号创建ACL 在接口上应用 In：当流量从网络网段进入路由器接口时 Out：当流量离开接口到网络网段时,Router(config)#,access-list listnumber permit | deny address wildcardmask ,Router(config-if)#,ip access-group id|name in|out,标准ACL,使用命名 定义ACL名称 定义规则 在接口上应用,Router(config)#,ip access-list standard name,Router(config-std-nacl)#,deny|permit source wildcard any ,Router(config-if)#,ip access-group id|name in|out,扩展访问控制列表,扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。,扩展访问控制列表,可以通过两种方式为扩展ACL语句分组：通过编号或名称 编号的扩展ACL 创建扩展ACL 接口上应用,Router(config)#,access-list listnumber permit | deny protocol source source- wildcardmask destination destination-wildcardmask operator operand,Router(config-if)#,ip access-group id|name in|out,扩展访问控制列表,命名的标准ACL 定义扩展ACL名称 定义规则 在接口上应用,Router(config)#,ip acess-list extended name,Router(config-if)#,ip access-group id|name in|out,Router(conig-ext-nacl)#,deny|permit protocol source source-wildcard |host source| anyoperator port,配置标准ACL示例,配置扩展ACL示例,配置扩展ACL示例,验证ACL配置,显示所有协议的所有ACL 查看接口应用的ACL情况,Router#,show access-lists,Router#,show ip access-group,基于MAC的ACL,标识方式 编号：700799 名称 过滤元素 源MAC地址、目的MAC地址、以太网类型,配置MAC ACL,配置MAC ACL,mac access-list extended name | access-list-number ,Switch(config)#,应用MAC ACL,mac access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL规则, permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name ,Switch(config-mac-nacl)#,MAC ACL配置示例,只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d） 。,MAC ACL配置示例,专家ACL,标识方式 编号：27002899 名称 过滤元素 源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口 用于复杂的、高级的访问控制,配置专家ACL,配置专家ACL,expert access-list extended name | access-list-number ,Switch(config)#,应用MAC ACL,expert access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL规则, permit | deny protocol | ethernet-type VID vid any | source source-wildcard host source-mac-address | any operator port any | destination destination-wildcard host destination-mac-address | any operator port precedence precedence tos tos time-range time-range-name dsc