收藏
下载资源 加入VIP免费专享

第七章 园区网安全技术.ppt

上传人:韩长文 文档编号:5030389 上传时间:2020-01-29 格式:PPT 页数:72 大小:2.18MB
返回 下载 相关 举报
第七章 园区网安全技术.ppt_第1页
第1页 / 共72页
第七章 园区网安全技术.ppt_第2页
第2页 / 共72页
第七章 园区网安全技术.ppt_第3页
第3页 / 共72页
第七章 园区网安全技术.ppt_第4页
第4页 / 共72页
第七章 园区网安全技术.ppt_第5页
第5页 / 共72页
点击查看更多>>
资源描述

《第七章 园区网安全技术.ppt》由会员分享,可在线阅读,更多相关《第七章 园区网安全技术.ppt(72页珍藏版)》请在三一文库上搜索。

1、第七章 园区网安全技术,教学目标,了解常见的网络安全隐患及常用防范技术; 熟悉交换机端口安全功能及配置 掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,本章内容,网络安全隐患 交换机端口安全 IP访问控制列表,课程议题,网络安全隐患,常见的网络攻击,网络攻击手段多种多样,以下是最常见的几种,攻击不可避免,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,现

2、有网络安全 防御体制,IDS/IPS 68%,杀毒软件 99%,防火墙 98%,ACL 71%,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,园区网常见攻击,网络攻击对各网络层次的影响,二层交换机工作原理,交换机初始化时MAC地址表是空的;,二层交换机工作原理,主机之间互相发送数据,交换机会学习数据帧的源MAC地址。,F0/1: 0260.8c01.1111,二层交换机工作原理,F0/1: 0260.8c01.1111,交换机MAC地址表中没有目的地址记录 执行广播操作Flooding,二层交换机工作原理,F0/1: 0260.8c01.1111,F0/2:

3、 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,主机之间互相发送数据,交换机会学习数据帧的源MAC地址。,二层交换机工作原理,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,已知单播帧: 过滤操作Filtering,二层交换机工作原理,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,未知单播

4、帧,广播帧: 执行广播操作Flooding,二层攻击和防范,网络攻击对二层交换机产生的严重影响有: MAC攻击; DHCP攻击; ARP攻击; IP/MAC欺骗攻击; STP攻击; 网络设备管理安全;,三层攻击和防范,网络攻击对三层交换机产生的严重影响有: MAC攻击; DHCP攻击; ARP攻击; IP/MAC欺骗攻击; DoS/DDoS攻击; IP扫描攻击; 网络设备管理安全;,MAC攻击,MAC地址:链路层唯一标识,接入交换机,MAC攻击,流量:CB,流量:CB,流量:CB,单播流量在交换机内部以广播方式在所有端口转发,非法者也能够接收这些报文,MAC攻击,MAC攻击: 交换机内部的MA

5、C地址表空间是有限的,MAC攻击会很快占满交换机内部的MAC地址表; 使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发; 每个连接在交换机端口的客户端都会收到该数据包,交换机变成了一个HUB,用户的信息传输也没有了安全保障,DHCP攻击,DHCP协议,有DHCP服务器吗?,我是DHCP服务器,我需要你说的IP地址,你可以使用这个IP,DHCP协议相关标准请查阅RFC2131,DHCP攻击,DHCP攻击之一: 恶意用户通过更换MAC地址方式向DHCP Server发送大量的DHCP请求,以消耗DHCP Server的可分配IP地址资源为目的; 使得合法用户的IP地址请求无法实现

6、。,DHCP攻击,PC Client,DHCP Server,DHCP攻击之一:恶意DHCP请求,攻击者不断变化MAC地址,IP Pool被耗尽,DHCP攻击,DHCP攻击之二: 非法DHCP Server,为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息; 不仅导致合法用户的正常通信受到影响;还可能导致合法用户的信息被发往非法DHCP Server,严重影响用户的信息安全。,DHCP攻击,DHCP攻击之二:伪装DHCP Server,PC Client,DHCP Server,攻击者伪装成DHCP Server,ARP攻击,ARP协议 按照IETF的规定,PC机在发出ARP响

7、应时,不需要一定要先收到ARP请求报文; 局域网任何一台计算机都可以向网上发出自己就是IP_A和MAC_A的对应者,这就为攻击者带来了漏洞。,ARP请求,非法ARP响应: IP_A MAC_C,ARP攻击,ARP攻击之一:ARP欺骗,发送ARP响应,告知192.168.10.2对应MAC C,刷新ARP表: 192.168.10.2MAC C,发送ARP响应,告知192.168.10.1对应MAC C,刷新ARP表: 192.168.10.1MAC C,ARP攻击,ARP攻击之二:ARP流量攻击,利用攻击软件,发送大量ARP请求和响应,报文中的IP地址和MAC均为伪造,随机填入:,IP/MAC

8、欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,STP攻击,DoS/DDoS攻击,DoS/DDoS攻击,DoS/DDoS攻击,课程议题,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全基本概念,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全

9、地址的包 当安全违例产生时,你可以选择多种方式来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知地址(不是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知,配置安全端口,interface interface-id !进入接口配置模式。 switchport port-security !打开接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址数,范围1128,缺省为128 switchport port

10、-security violation protect | restrict | shutdown !设置处理违例的方式 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址。,端口安全最大连接数配置,端口安全最大连接数配置 switchport port-security switchport port-security maximum value switchport port-security violation protect |restrict |shutdown 注意

11、: 端口安全功能只能在access端口上进行配置。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security switchport port-security mac-address mac-address ip-address ip-address 注意: 端口安全功能只能在access端口上进行配置 端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设

12、置最大地址个数为8,设置违例方式为protect,Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect

13、Switch(config-if)# end,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202,Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport por

14、t-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,查看配置信息,Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age (mins) - - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1

15、7,Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action - - - - - Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect,课程议题,IP访问控制列表,什么是访问列表,IP Access-list IP访问列表或访问控制列表,简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,为什么要使用访问列表,内网安全运行,访问外网的安全控制,访问列表,访问控制列表的作用

16、: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类: 标准访问控制列表 扩展访问控制列表,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,

17、访问列表的入栈应用,N,Y,是否 允许 ?,Y,是否应用 访问列表 ?,N,查找路由表 进行 选路转发,以ICMP信息通知源发送方,访问列表的出栈应用,N,Y,选择出口 S0,路由是 否存在 ?,N,Y,查看访问列表 的陈述,是否允许 ?,Y,是否应用 访问列表 ?,N,S0,S0,以ICMP信息通知源发送方,IP ACL的基本准则,一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝”,一

18、个访问列表多个测试条件,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,IP标准访问列表,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP扩展访问列表,目的地址,源地址,协议,端口号,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,反掩码(通配符),0表示检查相应的地址比特 1表示不检查相应的地址比特,IP标准访问列表的配置,定义标准ACL 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩

19、码 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 应用ACL到接口 Router(config-if)#ip access-group in | out ,IP标准访问列表配置实例(一),配置:,access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out,标准访问列表配置实例(二),需求: 你是某

20、校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置:,ip access-list standard abc permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,财务 192.168.1.0,教师 192.168.2.0,192.168.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,校长,IP扩展访问列表的配置,定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址

21、 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 应用ACL到接口 Router(config-if)#ip access-group in | out ,IP扩展访问列表配置实例(一),如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(192.168.xx)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0

22、.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 acces

23、s-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,访问列表的验证,显示全部的访问列表 Router# show access-lists 显示指定的访问列表 Router# show access-lists 显示接口的访问列表应用 Router# show ip interface 接口名称 接口编号,IP访问列表配置注意事项,一个端口在一个方向上只能应用一组ACL 锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口,只能配置入栈应用(In) 针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用 访问列表的缺省规则是:拒绝所有,课程回顾,网络安全隐患 交换机端口安全 IP访问控制列表,休息,Q&A,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 研究报告 > 商业贸易


经营许可证编号:宁ICP备18001539号-1