锐捷认证网络工程师RCNA第9章 园区网的安全设计.ppt

第第9章章 园区网的安全设计园区网的安全设计 锐捷认证网络工程师锐捷认证网络工程师锐捷认证网络工程师锐捷认证网络工程师RCNARCNA本章内容Ø网络安全隐患Ø交换机端口安全ØIP访问列表 课程议题Ø网络安全隐患Ø交换机端口安全ØIP访问列表 复杂程度复杂程度Internet 技术的飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间网络安全风险Ø安全需求和实际操作脱安全需求和实际操作脱离离 Ø内部的安全隐患内部的安全隐患Ø动态的网络环境动态的网络环境Ø有限的防御策略有限的防御策略Ø安全策略和实际执行之安全策略和实际执行之间的巨大差异间的巨大差异针对网络通讯层的攻击通讯通讯 & 服务层服务层• • TCP/IP TCP/IP• • IPX IPX• • X.25 X.25• • Ethernet Ethernet• • FDDI FDDI• • Router Configurations Router Configurations• • Hubs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet 企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对操作系统的攻击操作系统操作系统• • UNIXUNIX• • Windows Windows • • Linux Linux• • FreebsdFreebsd• • Macintosh Macintosh• • Novell NovellDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对应用服务的攻击应用服务程序应用服务程序• • WebWeb服务器服务器服务器服务器• • 数据库系统数据库系统数据库系统数据库系统• • 内部办公系统内部办公系统内部办公系统内部办公系统• • 网络浏览器网络浏览器网络浏览器网络浏览器• • ERP ERP 系统系统系统系统• • 办公文件程序办公文件程序办公文件程序办公文件程序• • FTP SMTP POP3FTP SMTP POP3SAP R/3OracleOracleDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织额外的不安全因素网络的普及使学习网络进攻变得容易Ø全球超过全球超过2626万个黑客站点提供系统漏洞和攻击万个黑客站点提供系统漏洞和攻击知识知识Ø越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现第一代第一代第一代第一代• •引导性病毒引导性病毒引导性病毒引导性病毒第二代第二代第二代第二代• •宏病毒宏病毒宏病毒宏病毒• •DOSDOS• •电子邮件电子邮件电子邮件电子邮件• •有限的黑客有限的黑客有限的黑客有限的黑客攻击攻击攻击攻击第三代第三代第三代第三代• •网络网络网络网络DOSDOS攻攻攻攻击击击击• •混合威胁混合威胁混合威胁混合威胁（蠕虫（蠕虫（蠕虫（蠕虫+ +病病病病毒毒毒毒+ +特洛伊）特洛伊）特洛伊）特洛伊）• •广泛的系统广泛的系统广泛的系统广泛的系统黑客攻击黑客攻击黑客攻击黑客攻击下一代下一代下一代下一代• •网络基础网络基础网络基础网络基础设施黑客设施黑客设施黑客设施黑客攻击攻击攻击攻击• •瞬间威胁瞬间威胁瞬间威胁瞬间威胁• •大规模蠕大规模蠕大规模蠕大规模蠕虫虫虫虫• •DDoSDDoS• •破坏有效破坏有效破坏有效破坏有效负载的病负载的病负载的病负载的病毒和蠕虫毒和蠕虫毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化IDSIDS68%68%杀毒软件杀毒软件杀毒软件杀毒软件99%99%防火墙防火墙防火墙防火墙98%98%ACLACL71%71%现有网络安全体制VPNVPN 虚拟专用网虚拟专用网防火墙防火墙防火墙防火墙包过滤包过滤包过滤包过滤防病毒防病毒防病毒防病毒入侵检测入侵检测入侵检测入侵检测课程议题Ø网络安全隐患Ø交换机端口安全ØIP访问列表 交换机端口安全Ø利用交换机的端口安全功能可以防止局域网大利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。

部分的内部攻击对用户、网络设备造成的破坏如如MACMAC地址攻击、地址攻击、ARPARP攻击、攻击、IP/MACIP/MAC地址欺地址欺骗等Ø交换机端口安全的基本功能交换机端口安全的基本功能l l限制交换机端口的最大连接数限制交换机端口的最大连接数l l端口的安全地址绑定端口的安全地址绑定交换机端口安全ØØ如果一个端口被配置为一个安全端口，当其安全地址的数如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后目已经达到允许的最大个数后; ;ØØ如果该端口收到一个源地址不属于端口上的安全地址的包如果该端口收到一个源地址不属于端口上的安全地址的包时，时，一个安全违例将产生一个安全违例将产生一个安全违例将产生一个安全违例将产生 ØØ当安全违例产生时，你可以选择多种方式来处理违例：当安全违例产生时，你可以选择多种方式来处理违例：l lProtectProtect：：当当安安全全地地址址个个数数满满后后，，安安全全端端口口将将丢丢弃弃未未知知名名地地址址（（不不是该端口的安全地址中的任何一个）的包是该端口的安全地址中的任何一个）的包l lRestrictTrapRestrictTrap：：当违例产生时，将发送一个当违例产生时，将发送一个TrapTrap通知。

通知l lShutdownShutdown：：当违例产生时，将关闭端口并发送一个当违例产生时，将关闭端口并发送一个TrapTrap通知配置安全端口 Ø端口安全最大连接数配置端口安全最大连接数配置l lswitchportswitchport port-security port-security打开该接口的端口安全打开该接口的端口安全功能功能l lswitchportswitchport port-security maximum port-security maximum valuevalue设置接口设置接口上安全地址的最大个数，范围是上安全地址的最大个数，范围是1 1－－128128，缺省值为，缺省值为128128l lswitchportswitchport port-security violation{ port-security violation{protectprotect| | restrict restrict | | shutdownshutdown} }设置处理违例的方式设置处理违例的方式注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。

端口上进行配置 2 2、当端口因为违例而被关闭后，在全局配置模式下使、当端口因为违例而被关闭后，在全局配置模式下使 用命令用命令errdisableerrdisable recovery recovery 来将接口从错误状态来将接口从错误状态 中恢复过来中恢复过来配置安全端口Ø端口的安全地址绑定端口的安全地址绑定l lswitchportswitchport port-security port-security 打开该接口的端口安全功能打开该接口的端口安全功能l lswitchportswitchport port-security [ port-security [macmac-address -address macmac-address-address] ] [ [ipip-address -address ipip-address-address] ]手工配置接口上的安全地手工配置接口上的安全地址注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。

端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有: :单单MACMAC、单、单IPIP、、MAC+IPMAC+IP端口安全配置示例Ø下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端上的端口安全功能，设置最大地址个数为口安全功能，设置最大地址个数为8 8，设置违例方，设置违例方式为式为protectprotectl lSwitch# configure terminal Switch# configure terminal l lSwitch(configSwitch(config)# interface )# interface gigabitethernetgigabitethernet 1/3 1/3 l lSwitch(configSwitch(config-if)# -if)# switchportswitchport mode access mode access l lSwitch(configSwitch(config-if)# -if)# switchportswitchport port-security port-security l lSwitch(configSwitch(config-if)# -if)# switchportswitchport port-security maximum 8 port-security maximum 8 l lSwitch(configSwitch(config-if)# -if)# switchportswitchport port-security violation port-security violation protect protect l lSwitch(configSwitch(config-if)# end-if)# end端口安全配置示例Ø下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口安上的端口安全功能，配置端口绑定地址，主机全功能，配置端口绑定地址，主机MACMAC为为00d0.f800.073c00d0.f800.073c，，IPIP为为192.168.12.202192.168.12.202l lSwitch# configure terminalSwitch# configure terminall lSwitch(configSwitch(config)# interface )# interface fastethernetfastethernet 0/3 0/3l lSwitch(configSwitch(config-if)# -if)# switchportswitchport mode access mode accessl lSwitch(configSwitch(config-if)# -if)# switchportswitchport port-security port-securityl lSwitch(configSwitch(config-if)# -if)# switchportswitchport port-security port-security macmac- -address 00d0.f800.073c address 00d0.f800.073c ipip-address 192.168.12.202-address 192.168.12.202l lSwitch(configSwitch(config-if)# end-if)# end验证命令Ø查看所有接口的安全统计信息，包括最大安全地查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。

址数，当前安全地址数以及违例处理方式等l lSwitch#showSwitch#show port-security port-security Secure Port Secure Port MaxSecureAddrMaxSecureAddr（（countcount）） CurrentAddrCurrentAddr（（countcount）） Security Action Security Action ------------ -------------------- ---------------------------- -------------------- ----------------- -------------- - -------------- Gi1/3 8 1 Protect Gi1/3 8 1 Protect验证命令Ø查看安全地址信息。

查看安全地址信息l lSwitch# Switch# show port-security addressshow port-security addressVlanVlan Mac Address IP Address Type Port Remaining Mac Address IP Address Type Port Remaining Age(minsAge(mins) )---- --------------- --------------- ---------- -------- ---- --------------- --------------- ---------- -------- ------------------------------------1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 11 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1课程议题Ø网络安全隐患Ø交换机端口安全ØIP访问列表 ISP什么是访问列表ØIP Access-listIP Access-list：：IPIP访问列表或访问控制列表，简称访问列表或访问控制列表，简称IP ACLIP ACLØIP ACLIP ACL就是对经过网络设备的数据包根据一定的规就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。

则进行数据包的过滤√ 为什么要使用访问列表网络安全性网络安全性可以是路由器或三层交换机或防火墙接入层交换机接入层交换机RG-S2126核心交换机核心交换机RG-S3512G /RG-S4009服务器群服务器群路由器路由器RG-NBR1000Internet交交换换机机堆堆叠叠接入层交换机接入层交换机RG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒WWWEMAILFTP为什么要使用访问列表访问列表的组成Ø定义访问列表的步骤定义访问列表的步骤l l第一步，定义规则（哪些数据允许通过，哪些数据不第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）允许通过）l l第二步，将规则应用在路由器（或交换机）的接口上第二步，将规则应用在路由器（或交换机）的接口上Ø访问控制列表的分类：访问控制列表的分类：l l1 1、标准访问控制列表、标准访问控制列表l l2 2、扩展访问控制列表、扩展访问控制列表Ø访问控制列表规则元素访问控制列表规则元素l l源源IPIP、目的、目的IPIP、源端口、目的端口、协议、源端口、目的端口、协议 访问列表规则的应用Ø路由器应用访问列表对流经接口的数据包进行控路由器应用访问列表对流经接口的数据包进行控制制l l1.1.入栈应用（入栈应用（inin））l l2.2.出栈应用（出栈应用（outout））访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL的基本准则Ø一切未被允许的就是禁止的。

一切未被允许的就是禁止的l l路由器或三层交换机缺省允许所有的信息流通过路由器或三层交换机缺省允许所有的信息流通过; ; 而防火墙缺省封锁所有的信息流，然后对希望提而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放供的服务逐项开放Ø按规则链来进行匹配按规则链来进行匹配l l使用源地址、目的地址、源端口、目的端口、协使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配议、时间段进行匹配Ø从头到尾，至顶向下的匹配方式从头到尾，至顶向下的匹配方式Ø匹配成功马上停止匹配成功马上停止Ø立刻使用该规则的立刻使用该规则的“ “允许、拒绝允许、拒绝……”……”Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 一个访问列表多个测试条件访问列表规则的定义Ø标准访问列表标准访问列表l l根据数据包源根据数据包源IPIP地址进行规则定义地址进行规则定义Ø扩展访问列表扩展访问列表l l根据数据包中源根据数据包中源IPIP、目的、目的IPIP、源端口、目的端口、协议、源端口、目的端口、协议进行规则定义进行规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111 反掩码（通配符） IP标准访问列表的配置Ø1.1.定义标准定义标准ACLACLl l编号的标准访问列表编号的标准访问列表Router(config)#accessRouter(config)#access-list <-list <1-991-99> {> {permit|denypermit|deny} } 源地址源地址 [ [反掩码反掩码] ]l l命名的标准访问列表命名的标准访问列表 ipip access-list standard { name} access-list standard { name} 　　denydeny　　{source source-{source source-wildcard|hostwildcard|host　　source|anysource|any} } or permit {source source-or permit {source source-wildcard|hostwildcard|host　　source|anysource|any} }Ø2.2.应用应用ACLACL到接口到接口l lRouter(config-if)#ipRouter(config-if)#ip access-group <1-99>|{name} { in access-group <1-99>|{name} { in | out }| out }access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out172.16.3.0172.16.4.0F0S0F1172.17.0.0 IP标准访问列表配置实例 IP扩展访问列表的配置Ø1.1.定义扩展的定义扩展的ACLACLl l编号的扩展编号的扩展ACLACL Router(config)#accessRouter(config)#access-list <-list <100-199100-199> > { permit /deny } { permit /deny } 协议协议 源地址源地址 反掩码反掩码 [ [源端口源端口] ] 目的地址目的地址 反掩码反掩码 [ [ 目的端口目的端口 ] ]l l命名的扩展命名的扩展ACLACL ipip access-list extended { name} access-list extended { name} { {deny|permitdeny|permit} protocol} protocol　　{source{source　　 source-wildcard source-wildcard |host source| |host source| any}[operatorany}[operator port] {destination port] {destination destination-wildcard |host destination |destination-wildcard |host destination |any}[operatorany}[operator port]port]Ø2.2.应用应用ACLACL到接口到接口l lRouter(config-if)#ipRouter(config-if)#ip access-group <100-199> |{name} access-group <100-199> |{name} l l{ in | out }{ in | out } IP扩展访问列表配置实例Ø下例显示如何创建一条下例显示如何创建一条Extended IP ACLExtended IP ACL，该，该ACLACL有一条有一条ACEACE，用于允许指定网络（，用于允许指定网络（192.168.x..x192.168.x..x））的所有主机以的所有主机以HTTPHTTP访问服务器访问服务器172.168.12.3172.168.12.3，但，但拒绝其它所有主机使用网络。

拒绝其它所有主机使用网络 l lSwitch (Switch (configconfig)# )# ipip access-list extended access-list extended abcabc l lSwitch (Switch (config-ext-naclconfig-ext-nacl)# permit )# permit tcptcp 192.168.0.0 192.168.0.0 0.0.255.255 host 172.168.12.3 0.0.255.255 host 172.168.12.3 eqeq www www l lSwitch (Switch (config-ext-nacl)#endconfig-ext-nacl)#end l lSwitch # show access-listsSwitch # show access-lists　　　　access-list 115 deny access-list 115 deny udpudp any any any any eqeq 69 69 　　　　access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 135 135　　　　access-list 115 deny access-list 115 deny udpudp any any any any eqeq 135 135　　　　access-list 115 deny access-list 115 deny udpudp any any any any eqeq 137 137　　　　access-list 115 deny access-list 115 deny udpudp any any any any eqeq 138 138　　　　access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 139 139　　　　access-list 115 deny access-list 115 deny udpudp any any any any eqeq 139 139　　　　access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 445 445　　　　access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 593 593　　　　access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 4444 4444　　　　access-list 115 permit access-list 115 permit ipip any any any any 　　　　interface interface 　　　　ipip access-group 115 in access-group 115 in 　　　　ipip access-group 115 out access-group 115 out 扩展访问列表的应用利用利用ACLACL隔离冲击波病毒隔离冲击波病毒 访问列表的验证Ø显示全部的访问列表显示全部的访问列表l lRouter#showRouter#show access-lists access-listsØ显示指定的访问列表显示指定的访问列表l lRouter#showRouter#show access-lists <1-199> access-lists <1-199>Ø显示接口的访问列表应用显示接口的访问列表应用l lRouter#showRouter#show ipip interface < interface <接口名称接口名称> <> <接口编号接口编号> > 课程回顾Ø网络安全隐患Ø交换机端口安全ØIP访问列表 。