收藏
下载资源 加入VIP免费专享

第9部分园区网的安全技术.ppt

上传人:本田雅阁 文档编号:3138129 上传时间:2019-07-16 格式:PPT 页数:41 大小:2.50MB
返回 下载 相关 举报
第9部分园区网的安全技术.ppt_第1页
第1页 / 共41页
第9部分园区网的安全技术.ppt_第2页
第2页 / 共41页
第9部分园区网的安全技术.ppt_第3页
第3页 / 共41页
第9部分园区网的安全技术.ppt_第4页
第4页 / 共41页
第9部分园区网的安全技术.ppt_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《第9部分园区网的安全技术.ppt》由会员分享,可在线阅读,更多相关《第9部分园区网的安全技术.ppt(41页珍藏版)》请在三一文库上搜索。

1、第9章 园区网的安全技术,RCNA_T009,教学目标,通过本章学习使学员能够: 1、了解常见的网络安全隐患及常用防范技术; 2、熟悉交换机端口安全功能及配置 3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,本章内容,网络安全隐患 交换机端口安全 IP访问控制列表,课程议题,网络安全隐患,常见的网络攻击:,网络攻击手段多种多样,以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Inter

2、net,中继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违

3、例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知,配置安全端口,端口安全最大连接数配置 switchport port-security !打开该接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect|restrict |shut

4、down !设置处理违例的方式 注意: 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security !打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 注意: 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单

5、IP、MAC+IP,案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(c

6、onfig-if)# switchport port-security violation protect Switch(config-if)# end,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# swit

7、chport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect 查看安全地

8、址信息 Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,IP访问控制列表,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,为什么要使用访问列表,内网安全运行,访问外网的安全控制,访问列表,访问控制列表的作用

9、: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1

10、,IN,OUT,访问列表的入栈应用,N,Y,是否允许 ?,Y,是否应用 访问列表 ?,N,查找路由表 进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口 S0,路由表中是 否存在记录 ?,N,Y,查看访问列表 的陈述,是否允许 ?,Y,是否应用 访问列表 ?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则

11、的“允许/拒绝”,Y,拒绝,Y,是否匹配 规则条件1 ?,允许,N,拒绝,允许,是否匹配 规则条件2 ?,拒绝,是否匹配 最后一个 条件 ?,Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问列表多条过滤规则,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,0表示检查相应的地址比特 1表示不检查

12、相应的地址比特,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码(通配符),IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,172.16.3.0,172.16.

13、4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问列表配置实例(一),配置: access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out,标准访问列表配置实例(二),需求: 你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置: ip access-list extended abc permit host 192.168.2.8 deny 192.168.2.0

14、 0.0.0.255,IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,IP扩展访问列表配置实例(一),如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(192.16

15、8.xx)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-lis

16、t 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any

17、 any interface ip access-group 115 in ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口,只能配置入栈应用(In) 针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用 3、访问列表的缺省规则是:拒绝所有,课程回顾,网络安全隐患 交换机端口安全 IP访问控制列表,谢 谢!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1