《网络管理与维护案例教程第5章 网络安全管理》由会员分享,可在线阅读,更多相关《网络管理与维护案例教程第5章 网络安全管理(53页珍藏版)》请在金锄头文库上搜索。
1、第5章 网络安全管理,.,2,园区网常见安全隐患,非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏;。 来自园区网外部和内部人员的恶意攻击和破坏。,.,3,威胁,人,自然灾害,恶意,非恶意,不熟练的员工,(外部) 黑客,威胁,(内部) 不满的员工,(外部) 战争,.,4,漏洞,物理 自然 硬件 软件 媒介 通讯 人,External attacker,Corporate Assets,Internal attacker,Incorrect permissions,Virus,.,5,网络安全的演化,第一代 引导性
2、病毒,第二代 宏病毒 DOS 电子邮件 有限的黑客攻击,第三代 网络DOS攻击 混合威胁(蠕虫+病毒+特洛伊) 广泛的系统黑客攻击,下一代 网络基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDoS 破坏有效负载的病毒和蠕虫,波及全球的网络基础架构 地区网络 多个网络 单个网络 单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,.,6,现有网络安全体制,现有网络安全 防御体制,IDS 68%,杀毒软件 99%,防火墙 98%,ACL 71%,.,7,常见解决安全隐患的方案,交换机端口安全 配置访问控制列表ACL 在防火墙实现包过滤 ,.
3、,8,交换机端口安全,通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何包。 此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。 为了增强安全性,你可以将 MAC地址和IP地址绑定起来作为安全地址。,.,9,交换机端口安全,如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收
4、到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。 当安全违例产生时,你可以选择多种方式来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 RestrictTrap:当违例产生时,将发送一个Trap通知。 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。,.,10,配置安全端口,interface interface-id 进入接口配置模式。 switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)。 switchport p
5、ort-security 打开该接口的端口安全功能 switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1128,缺省值为128。 switchport port-security violationprotect| restrict | shutdown 设置处理违例的方式当端口因为违例而被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。 switchport port-security mac-address mac-address ip-address ip-addr
6、ess 手工配置接口上的安全地址。ip-address: 可选IP 为这个安全地址绑定的地址。,.,11,端口安全的默认配置和限制,默认设置: 端口安全开关 所有端口均关闭端口安全功能 最大安全地址个数 128 安全地址 无 违例处理方式 保护(protect) 配置端口安全限制: 一个安全端口不能是一个aggregate port; 一个安全端口只能是一个access port,.,12,端口安全配置示例,下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect。 Switch# configure terminal
7、 Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,.,13,验证命令,Switch# show port-
8、security address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1 7,.,14,验证命令,Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action - - - Gi1
9、/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect,.,15,访问控制列表,标准访问控制列表 扩展访问控制列表,.,ISP,IP Access-list:访问列表或访问控制列表,简称IP ACL 当网络访问流量较大时,需要对网络流量进行管理,为什么要使用访问列表,.,17,为什么要使用访问列表,公网,互联网用户,对外信息 服务器,员工上网,拒绝,信息 服务器,不能在上班时间进行QQ,MSN等聊天,访问权限控制,.,18,为什么要使用访问列表,可以是路由器或三层交换机或防火墙,网络安全性,.,19,访问列表的应用,路由器应用访问列表对
10、流经它的数据包进行限制 1.入栈应用 2.出栈应用,E0,S0,是否允许?,协议,.,以ICMP信息通知源发送方,N,Y,选择出口 S0,路由表中是否 存在记录 ?,N,Y,查看访问列表 的陈述,是否允许 ?,Y,是否应用 访问列表 ?,N,S0,S0,访问列表的出栈应用,.,Y,拒绝,Y,是否匹配 测试条件1 ?,允许,N,拒绝,允许,是否匹配 测试条件2 ?,拒绝,是否匹配 最后一个 测试条件 ?,Y,Y,N,Y,Y,允许,被系统隐 含拒绝,N,一个访问列表多个测试条件,.,22,IP ACL的基本准则,一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省
11、封锁所有的信息流,然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”,.,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,.,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,.,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码,.,1.定义标准ACL 编号的标准访问列表 Router(config)#ac
12、cess-list permit|deny 源地址 反掩码 命名的标准访问列表 ip access-list standard name deny source source-wildcard|host source|any orpermit source source-wildcard|host source|any,2.应用ACL到接口 Router(config-if)#ip access-group |name in | out ,IP标准访问列表的配置,.,27,access-list 1 permit 172.16.0.0 0.0.255.255 (access-list 1 de
13、ny 0.0.0.0 255.255.255.255) interface fastethernet 0 ip access-group 1 out interface fastethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,F0,S0,F1,172.17.0.0,IP标准访问列表配置实例,.,2.应用ACL到接口 Router(config-if)#ip access-group in | out ,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址
14、 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name deny|permit protocol source source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port,IP扩展访问列表的配置,.,下例显示如何创建一条Extended IP ACL,该ACL有一条ACE,用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.
15、12.3,但拒绝其它所有主机使用网络。 Switch (config)# ip access-list extended allow_0 xc0a800_to_172.168.12.3 Switch (config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch (config-std-nacl)#end Switch # show access-lists,IP扩展访问列表配置实例,.,30,扩展访问列表的应用,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any
