收藏
下载资源

第2部分-路由器配置与管理-4-园区网安全(ACL)修订版

上传人:飞*** 文档编号:56907973 上传时间:2018-10-17 格式:PPT 页数:39 大小:954.50KB
返回 下载 相关 举报
第2部分-路由器配置与管理-4-园区网安全(ACL)修订版_第1页
第1页 / 共39页
第2部分-路由器配置与管理-4-园区网安全(ACL)修订版_第2页
第2页 / 共39页
第2部分-路由器配置与管理-4-园区网安全(ACL)修订版_第3页
第3页 / 共39页
第2部分-路由器配置与管理-4-园区网安全(ACL)修订版_第4页
第4页 / 共39页
第2部分-路由器配置与管理-4-园区网安全(ACL)修订版_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《第2部分-路由器配置与管理-4-园区网安全(ACL)修订版》由会员分享,可在线阅读,更多相关《第2部分-路由器配置与管理-4-园区网安全(ACL)修订版(39页珍藏版)》请在金锄头文库上搜索。

1、石家庄学院 计算机系 网络教研室 2011-4修订,第2部分 路由器配置与管理 4、园区网安全(ACL),通过本章的学习,希望您能够: 了解园区网安全隐患 掌握交换机端口安全原理及配置方法 掌握ACL的工作原理及配置方法,本章内容,园区网安全隐患 园区网的常见安全隐患园区网安全解决方案的整体思路 交换机端口安全 交换机端口安全概述 端口安全的配置 访问控制列表 访问控制列表概述 ACL的种类 配置ACL,课程议题,园区网安全隐患,园区网的常见安全隐患,网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事

2、件。 园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为(如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。,园区网安全解决方案的整体思路,制定一个严格的安全策略 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。 宣传教育,课程议题,交换机端口安全,交换机端口安全概述,交换机的端口

3、安全机制是工作在交换机二层端口上的一个安全特性 只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 配置端口安全存在以下限制: 一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。 一个安全端口不能是一个聚合端口(Aggregate Port)。 一个安全端口不能是SPAN的目的端口。,交换机端口安全概述,当配置完成端口安全之后,如果当违例产生时,可以设置下面几种针对违例的处理模式: protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何

4、一个)的包 restrict:当违例产生时,交换机不但丢弃接收到的帧(MAC地址不在安全地址表中),而且将发送一个SNMP Trap报文 shutdown:当违例产生时,交换机将丢弃接收到的帧(MAC地址不在安全地址表中),发送一个SNMP Trap报文,而且将端口关闭。,端口安全的配置,打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式,Switch(conifg-if)#,switchport port-security,Switch(conifg-if)#,switchport port-security maximum number,Switch(conifg-if

5、)#,switchport port-security violation protect | restrict | shutdown ,配置安全端口上的安全地址,配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后,必须在全局模式下使用如下命令手工将其恢复为UP状态:设置端口从“err-disabled”状态自动恢复所等待的时间,Switch(conifg-if)#,switchport port-security mac-address mac-address ip-address ip-address,Switch(conifg)#,errdisable r

6、ecovery,Switch(conifg)#,errdisable recovery interval time,配置安全地址的老化时间关闭一个接口的安全地址老化功能(老化时间为0)使老化时间仅应用于动态学习到的安全地址,Switch(conifg-if)#,switchport port-security agingstatic | time time ,Switch(conifg-if)#,no switchport port-security aging time,Switch(conifg-if)#,no switchport port-security aging static,查

7、看端口安全信息,显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息,显示安全地址及老化时间显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等,Router#,show port-security interface interface-id,Router#,show port-security address,Router#,show port-security,课程议题,访问控制列表,ISP,1、什么是访问列表, ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。,FTP,RG-S2126,RG-S3512G /RG-S4009,RG-NBR

8、1000,Internet,RG-S2126,不同部门所属VLAN不同,技术部 VLAN20,财务部 VLAN10,隔离病毒源,隔离外网病毒,2、为什么要使用访问列表,访问控制列表概述,访问表(access list)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。,访问控制列表概述,ACL的作用 ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允

9、许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。 例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。,ACL工作原理及规则,ACL语句有两个组件:一个是条件,一个是操作。 条件:条件基本上一个组规则 操作:当ACL语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。,3、访问列表的组成, 定义访问列表的步骤 第一步:定义规则(哪些数据允许通过,

10、哪些不允许) 第二步:将规则应用在设备接口上 访问控制列表的分类: 1、标准 2、扩展 3、命名(标准扩展) 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务,4、访问列表规则的应用,访问列表对流经接口的数据包进行控制:1. 入栈应用(in)2. 出栈应用(out),5、ACL的基本准则, 一切未被允许的就是禁止的。路由器缺省允许所有的信息流通过;防火墙缺省封锁所有的信息流,对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”,Y,拒绝,Y

11、,是否匹配 测试条件1 ?,允许,N,拒绝,允许,是否匹配 测试条件2 ?,拒绝,是否匹配 最后一个 测试条件 ?,Y,Y,N,Y,Y,允许,被系统隐 含拒绝,N,6、一个访问列表多个测试条件, 标准访问列表根据数据包源IP地址进行规则定义 扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,7、ACL分类, 标准访问列表只根据源IP地址,进行数据包的过滤。,学生网段,校领导网段,教研网段,8、标准列表规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表(2),1、定义标准ACLRouter(config)# access-

12、list permit |deny 源地址 反掩码Switch(config)# Ip access-list permit |deny 源地址 反掩码2、应用ACL到接口Router(config-if)#ip access-group |name in | out ,access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0 ip access-group 1 out,172.16.3.0,172.16.4.0,F0,S0,F1,Interne

13、t 172.17.0.0,IP标准访问列表配置(3),只允许172.16.3.0网络中的计算机访问互联网络,IP标准访问列表配置技术(4),题目1: 要求:阻止192.168.0.45 主机通过E0访问网络,而允许其他的机器访问,请问如何实现?(分几个步骤)Router(config) # access-list 1 deny host 192.168.0.45 Router(config) # access-list 1 permit anyRouter(config) # interface ethernet 0 Router(config-if) # ip access-group 1

14、in,0表示检查相应的地址比特1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,9、反掩码(通配符),通配符掩码是一个32比特位。其中0表示“检查相应的位”,1表示“不检查相应的位”。,在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。 通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。在通配符掩码用255.255.255.255表示所有IP地址,全为1说明所有32位都不检查,这是可以用any来取代。0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。,10

15、、ACL分类-扩展访问列表, 扩展ACL可以根据数据包内的源、目的地址,应用服务进行过滤。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表(1),IP扩展访问列表的配置(2),1、定义扩展的ACLRouter(config)# access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口Router(config-if)#ip access-group |name in | out ,IP扩展访问列表配置实例(3),允许网

16、络192.168.0.0内所有主机访问HTTP服务器172.168.12.3,拒绝其它主机使用网络。Switch (config)# access-list 111 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch # show access-lists,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 1

17、15 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any anyinterface ip access-group 115 in ip access-group 115 out,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号