《企业网络组建与应用 教学课件 ppt 作者 周有丹 梁锦锐 易著梁 项目五 构建安全的园区网络》由会员分享,可在线阅读,更多相关《企业网络组建与应用 教学课件 ppt 作者 周有丹 梁锦锐 易著梁 项目五 构建安全的园区网络(32页珍藏版)》请在金锄头文库上搜索。
1、项目五 构建安全的园区网络,教学目标,通过本章学习使学员能够: 1、了解常见的网络安全隐患及常用防范技术; 2、熟悉交换机端口安全功能及配置 3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,主要内容,项目描述 知识准备 项目实施 项目小结,课程议题,项目描述,课程议题,知识准备,知识准备,网络安全隐患 交换机端口安全 IP访问控制列表,课程议题,网络安全隐患,常见的网络攻击:,网络攻击手段多种多样,以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,DMZ E-Mail File Transfer HTTP,In
2、tranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,配置安全端口,端口安全最大连接数配置 switchport port-security !打开该接口的端口安全功能 switchport po
3、rt-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect|restrict |shutdown !设置处理违例的方式 注意: 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security !打开该接口的端口安全功能 switchport port-secur
4、ity mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 注意: 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect 查看安全地址信息 Switch# show
5、port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,端口安全实现 网络接入安全,实验拓扑,F0/1,F1/0,F0/3,F1/1,B,F0/23,F0/23,VLAN2,S2126,S3550,FTPserver,F0/24,F0/24,企业内部网,外部网,VLAN3,F0/23,F0/23,VLAN4,S2126,S3550,F0/24,F0/24
6、,VLAN3,F0/2,S6810E,实验拓扑,工作目标 在交换机上配置端口安全最大地址数,实现网络接入安全,F0/1,课程议题,IP访问控制列表,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,访问列表,访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2
7、.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,0表示检查相应的地址比特 1表示不检查相应的地址比特,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码(通配符),IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩码 命名
8、的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协
9、议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号,课程议题,项目实施,实验拓扑,你是某医院网管,领导要求你对网络的数据流量进行控制。网络拓朴结构如图: 领导要求门诊部的主机需要正常划价收费,可以访问收银服务器192.168.2.8,但不能访问财务部的其他主机。,门诊部 192.168.1.0,财务办公室 192.168.2.0,192.168.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,收银服务器,课程议题,项目小结,
