收藏
下载资源

网络安全设计课件

上传人:E**** 文档编号:91759027 上传时间:2019-07-01 格式:PPT 页数:44 大小:1.73MB
返回 下载 相关 举报
网络安全设计课件_第1页
第1页 / 共44页
网络安全设计课件_第2页
第2页 / 共44页
网络安全设计课件_第3页
第3页 / 共44页
网络安全设计课件_第4页
第4页 / 共44页
网络安全设计课件_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《网络安全设计课件》由会员分享,可在线阅读,更多相关《网络安全设计课件(44页珍藏版)》请在金锄头文库上搜索。

1、网络安全设计,课程内容,网络安全概述 交换机端口安全 访问控制列表,公司门户,电子商务,电子银行,互动聊天,数据共享,IP电话,网络游戏,流媒体服务,Internet的美妙之处在于你和每个人都能互相连接 Internet的可怕之处在于每个人都能和你互相连接,网络世界,攻击不可避免,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程内容,网络安全概述 交换机端口安全 访问控制列表,交换机端口安全,利用交换机的端口安全功能可以实现网络接入安全 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP

2、攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全违例,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包; Restrict:当违例产生时,将发送一个Trap通知; Shutdown:当违例产生时,将关闭端口并发送一个Trap通知,配置安全端口及违例处理方式,端口安全最大连

3、接数配置 switchport port-security !打开该接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect | restrict | shutdown !设置处理违例的方式 no switchport port-security no switchport port-security maximum no switchport port-security violation 注意: 1、端口

4、安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭(shutdown)后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,案例(一),下面的例子是配置接口gigabitethernet 1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# s

5、witchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,配置安全端口上的安全地址,端口的安全地址绑定 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 no switchport port-security m

6、ac-address mac-address !删除该接口上的安全地址。 注意: 端口的安全地址绑定方式有:单MAC、单IP 、MAC+IP,案例(二),下面的例子是配置接口fastethernet 0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchpor

7、t port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,配置安全地址的老化时间,端口的安全地址绑定 switchport port-security agingstatic | time time !static:表示老化时间将同时应用于手工配置的安全地址和自动学习到的地址,否则只应用于自动学习到的地址。 !time:表示这个端口上安全地址的老化时间,范围是01440,单位分钟。0

8、表示老化功能被关闭。time的默认值为0。 no switchport port-security aging static no switchport port-security aging time,案例(三),下面的例子是配置接口fastethernet 0/3上的端口安全的老化时间,老化时间设置为8分钟,老化时间也应用与静态配置的安全地址。 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport port-security aging time

9、 8 Switch(config-if)# switchport port-security aging static Switch(config-if)# end,查看端口安全信息,show port-security interface interface-id !查看接口的端口安全配置信息。 show port-security address !显示所有的安全地址信息。 show port-security !显示所有安全端口的统计信息。,课程内容,网络安全概述 交换机端口安全 访问控制列表,什么是访问控制列表,访问控制列表ACL( Access control listACL)是应用

10、在路由器(或交换机)接口上的指令列表。这些指令列表用来告诉路由器(或交换机)哪些数据包允许通过、哪些数据包拒绝通过。 ACL最直接的功能就是包过滤。,ISP,访问控制列表的作用:,内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,访问控制列表的组成,定义访问控制列表的步骤 第一步,定义访问控制列表的规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将访问控制列表应用在路由器(或交换机)的接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表,访问控制列表规则的应用,应用访问控制列表对流经接口的数据包

11、进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一个访问控制列表,F1/0,F1/1,IN,OUT,访问控制列表的入栈应用,N,Y,是否允许 ?,Y,是否应用 访问控制列表 ?,N,查找路由表 进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口 S0,路由表中是 否存在记录 ?,N,Y,查看访问控制列表 的陈述,是否允许 ?,Y,是否应用 访问控制列表 ?,N,S0,S0,访问控制列表的出栈应用,ACL的基本准则,规则匹配原则 自顶向下

12、的匹配顺序 某条规则匹配成功马上停止。 立刻使用该规则的“允许|拒绝”动作。 一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过。,Y,拒绝,Y,是否匹配 规则条件1 ?,允许,N,拒绝,允许,是否匹配 规则条件2 ?,拒绝,是否匹配 最后一个 条件 ?,Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问控制列表多条过滤规则,访问控制列表规则的定义,IP标准访问控制列表 根据数据包源IP地址进行规则定义 IP扩展访问控制列表 根据数据包中源IP、目的IP、源端口、目的端口、协议等进行规则定义,6-R1762-2(config)#access-list ? IP

13、standard access list IP extended access list IP standard access list (expanded range) IP extended access list (expanded range) IP address range standard access list IP address range extended access list,通配符掩码(wildcard-mask),通配符掩码通过标记0和1告诉设备应该匹配到哪位。由于跟子网掩码刚好相反,所以也叫反掩码。 反掩码的0(或1)bit可以不连续。 例如: 仅允许来自172

14、.16.1.64 0.255.0.255 的数据包通过。,来自172.16.3.5,192.168.1.0,如何控制192.168.1.偶数的主机访问服务器 如何控制192.168.1.奇数的主机访问服务器,server,F0/1,IP标准访问控制列表的配置,1.定义IP标准访问控制列表 编号的IP标准访问控制列表(在路由器上) Router(config)#access-list listbumber permit | deny source source-wildcard | host source | any listbumber:表示规则序号。范围是199、13001999; perm

15、it:如果匹配,则拒绝通过; deny:如果匹配,则允许通过; source source-wildcard:一组源IP地址通配符掩码 host source 单个源IP地址 any 任意源IP地址,IP标准访问控制列表的配置,命名的IP标准访问控制列表(在交换机上) switch(config)# ip access-list standard name switch(config-std-nacl)# permit | deny source source-wildcard | host source | any,IP标准访问控制列表的配置,2.应用ACL到接口 在路由器上 Router(

16、config-if)#ip access-group listnumber in | out 在交换机上 switch(config-if)#ip access-group name in | out ,172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问控制列表配置实例(一),配置: Router(config)# access-list 1 permit 172.16.3.0 0.0.0.255 隐含有 (Router(config)# access-list 1 deny any) Router(config)# interface serial 1/2 Router(config-if)# ip access-group 1 out,标准访问

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号