收藏
下载资源

RCNA09园区网安全设计

上传人:宝路 文档编号:6661522 上传时间:2017-08-08 格式:PPT 页数:99 大小:8.71MB
返回 下载 相关 举报
RCNA09园区网安全设计_第1页
第1页 / 共99页
RCNA09园区网安全设计_第2页
第2页 / 共99页
RCNA09园区网安全设计_第3页
第3页 / 共99页
RCNA09园区网安全设计_第4页
第4页 / 共99页
RCNA09园区网安全设计_第5页
第5页 / 共99页
点击查看更多>>
资源描述

《RCNA09园区网安全设计》由会员分享,可在线阅读,更多相关《RCNA09园区网安全设计(99页珍藏版)》请在金锄头文库上搜索。

1、第9章园区网安全设计,锐捷认证网络工程师RCNA,2,园区网安全隐患 交换机端口安全 如何在路由器配置访问控制列表ACL 防火墙基础,本章内容,3,园区网常见安全隐患,非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏;。 来自园区网外部和内部人员的恶意攻击和破坏。,4,威胁,人,自然灾害,恶意,非恶意,不熟练的员工,(外部)黑客,威胁,(内部)不满的员工,(外部)战争,5,漏洞,物理自然硬件软件媒介通讯人,External attacker,Corporate Assets,Internal attacker,I

2、ncorrect permissions,Virus,6,网络安全的演化,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁(蠕虫+病毒+特洛伊)广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球的网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,7,现有网络安全防御体制,现有网络安全体制,IDS68%,杀毒软件99%,防火墙98%,ACL71%,8,常见解决安全隐患的方案,交换机端口安全配置访问控制列

3、表ACL在防火墙实现包过滤 ,9,交换机端口安全,通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何包。此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。为了增强安全性,你可以将 MAC地址和IP地址绑定起来作为安全地址。,10,交换机端口安全,如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最

4、大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。 当安全违例产生时,你可以选择多种方式来处理违例:Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。RestrictTrap:当违例产生时,将发送一个Trap通知。Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。,11,配置安全端口,interface interface-id进入接口配置模式。switchport mode access设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)。switchport

5、 port-security打开该接口的端口安全功能switchport port-security maximum value设置接口上安全地址的最大个数,范围是1128,缺省值为128。switchport port-security violationprotect| restrict | shutdown设置处理违例的方式当端口因为违例而被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。switchport port-security mac-address mac-address ip-address ip-address手

6、工配置接口上的安全地址。ip-address: 可选IP 为这个安全地址绑定的地址。,12,端口安全配置示例,下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect。Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)#

7、switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,13,验证命令,Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9

8、 192.168.12.5 Configured Gi1/1 7,14,验证命令,Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action - - - Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect,15,访问控制列表,标准访问控制列表扩展访问控制列表,ISP,IP Access-list:访问列表或访问控制列表,简称IP ACL当网络访问流量较大时,需要对网络流量进行管理,为什么要使用访问列表

9、,17,为什么要使用访问列表,可以是路由器或三层交换机或防火墙,网络安全性,18,路由器应用访问列表对流经它的数据包进行限制1.入栈应用2.出栈应用,E0,S0,是否允许?,协议,访问列表的应用,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是否存在记录?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,Y,拒绝,Y,是否匹配测试条件1?,允许,N,拒绝,允许,是否匹配测试条件2?,拒绝,是否匹配最后一个测试条件?,Y,Y,N,Y,Y,允许,被系统隐含拒绝,N,一个访问列表多个测试条件,21,IP ACL的基本准则,一切未被允许的

10、就是禁止的。路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾,至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码,1.定义标准ACL编号的标准访

11、问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表ip access-list standard namedenysource source-wildcard|hostsource|any or permit source source-wildcard|hostsource|any,2.应用ACL到接口Router(config-if)#ip access-group |name in | out ,IP标准访问列表的配置,26,access-list 1 permit 172.16.3.0 0.0.0.255(access-

12、list 1 deny 0.0.0.0 255.255.255.255)interface fastethernet 1ip access-group 1 out,172.16.3.0/24,172.16.4.0,F0,S0,F1,IP标准访问列表配置实例,S0,F1,A,B,172.16.2.0/24,F0,2.应用ACL到接口Router(config-if)#ip access-group in | out ,1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的

13、扩展ACLip access-list extended name deny|permit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port,IP扩展访问列表的配置,下例显示如何创建一条Extended IP ACL,该ACL有一条ACE,用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络。 Switch (co

14、nfig)# ip access-list extended allow_0xc0a800_to_172.168.12.3 Switch (config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch (config-std-nacl)#end Switch # show access-lists,IP扩展访问列表配置实例,29,扩展访问列表的应用,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any an

15、y eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any anyeq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号