1、第9章 园区网的安全技术,RCNA_T009,教学目标,通过本章学习使学员能够:1、了解常见的网络安全隐患及常用防范技术;2、熟悉交换机端口安全功能及配置3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,本章内容,网络安全隐患 交换机端口安全 IP访问控制列表,课程议题,网络安全隐患,常见的网络攻击:,网络攻击手段多种多样,以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,DMZE-Mail File TransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中
2、继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例: Pr
3、otect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知,配置安全端口,端口安全最大连接数配置 switchport port-security !打开该接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect|restrict |shutdown!
4、设置处理违例的方式 注意:1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security !打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 注意:1、端口安全功能只能在access端口上进行配置2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,
5、案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)#
6、 switchport port-security violation protect Switch(config-if)# end,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport por
7、t-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect 查看安全地址信息 Switch#
8、 show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,IP访问控制列表,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,为什么要使用访问列表,内网安全运行,访问外网的安全控制,访问列表,访问控制列表的作用: 内网布署安全策略,保证内
9、网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表的入
10、栈应用,N,Y,是否允许 ?,Y,是否应用 访问列表 ?,N,查找路由表 进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口 S0,路由表中是 否存在记录 ?,N,Y,查看访问列表 的陈述,是否允许 ?,Y,是否应用 访问列表 ?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝”,Y,拒绝,
11、Y,是否匹配 规则条件1 ?,允许,N,拒绝,允许,是否匹配 规则条件2 ?,拒绝,是否匹配 最后一个 条件 ?,Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问列表多条过滤规则,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,0表示检查相应的地址比特1表示不检查相应的地址比特,128,64,
12、32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码(通配符),IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,172.16.3.0,172.16.4.0,F1/0,S1/2,F1
13、/1,172.17.0.0,IP标准访问列表配置实例(一),配置: access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny any) interface serial 1/2 ip access-group 1 out,标准访问列表配置实例(二),需求: 你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置: ip access-list extended abc permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,IP扩展访问
14、列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,IP扩展访问列表配置实例(一),如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(192.168.xx)的所有主机以HTTP访问
15、服务器172.168.12.3,但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any
16、any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any anyinterface ip access-gr
17、oup 115 in ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口,只能配置入栈应用(In) 针对SVI(虚拟VLAN)接口,可以配置入栈(In)和
18、出栈(Out)应用 3、访问列表的缺省规则是:拒绝所有,课程回顾,网络安全隐患 交换机端口安全 IP访问控制列表,课后习题1,分析网络安全隐患应该从哪些方面进行考虑?常见的网络安全隐患和防范手段有哪些? 有一个网络安全需求,某企业局域网中有很多用户在做于工作无关的事情,但很多服务端口很杂,无法进行统计,请问可以采用ACL的什么方法来缓解这种问题。 请总结一下在锐捷的设备上配置ACL时的注意事项。 请说明一下,应用访问控制列表规则时的建议方法是什么?原因? 交换机的端口安全功能配置时是否有一些限制? 交换机的端口安全功能可以配置哪些?可以实现什么功能?,课后习题2,某学员在做ACL实验时,VLAN10连接客户端,VLAN100连接外网,配置了以下规则 Ip access-list extended abc Deny 192.168.1.0 0.0.0.255 192.168.100.5 0.0.0.0 eq 80 Permit any 192.168.100.5 0.0.0.0 eq 80 Interface vlan 100 Ip access-group abc in 请分析学员所配置ACL的问题及解决方法?,谢 谢!,
