收藏
下载资源

网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能

上传人:E**** 文档编号:91759189 上传时间:2019-07-01 格式:PPT 页数:39 大小:2.10MB
返回 下载 相关 举报
网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能_第1页
第1页 / 共39页
网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能_第2页
第2页 / 共39页
网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能_第3页
第3页 / 共39页
网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能_第4页
第4页 / 共39页
网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能》由会员分享,可在线阅读,更多相关《网络安全与防护教学课件作者迟恩宇实训指导3.1-1基于路由器配置基本防护功能(39页珍藏版)》请在金锄头文库上搜索。

1、国家高等职业教育 网络技术专业教学资源库,计算机网络安全技术与实施,学习情境3:实训任务3.1,基于路由器配置基本防护功能(PT+IOS),内容介绍,任务场景,1,任务相关工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景,任务相关工具软件介绍,任务设计、规划,对于一些小型企业网络的接入控制,可以通过基本的包过滤加以实现,任务实施及方法技巧,防火墙相关知识 严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。在建筑中,防火墙是用于防止一侧起

2、火而引起另一侧起火而设置的一道屏障。网络中的防火墙也是由此引申面来的。 由软件和硬件组成的防火墙应该具有以下功能:所有进出网络的通信数据流都应该通过防火墙。所有穿过防火墙的通信数据流都必须有安全策略和计划的确认和授权。理论上说,防火墙是穿不透的,但是由于其自身的漏洞或缺陷也是可能被攻击的。,任务实施及方法技巧,Internet,防火墙,路由器,LAN,WAN,ISP,交换机,内部网络,外部网络,任务实施及方法技巧,任务实施及方法技巧,防火墙定义: 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提

3、供信息安全服务、实现网络和信息安全的基础设施。 防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合,防火墙是作为Internet的第一道防线,是把内部网和公共网分隔的特殊网络互连设备,可以用于网络用户访问控制、认证服务、数据过滤等。 防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。它是网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。,任务实施及方法技巧,防火墙是一种高级访问控制设备,置于不同网

4、络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。如图所示。,任务实施及方法技巧,防火墙技术的发展: 第一代防火墙:采用了包过滤(Packet Filter)技术。 第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。,任务实施及方法技巧,设置防火墙的目的: 确保内部网向外部网的全功能互联和内部网的安全; 所有内部网络与外

5、部网的信息交流必须经过防火墙; 只有按本地的安全策略被授权的信息才允许通过; 防火墙本身具有防止被穿透的能力。,任务实施及方法技巧,防火墙的功能: 防火墙是网络安全的屏障,防火墙是一个安全策略的检查站。 防火墙可以强化网络安全策略。 防火墙能有效地记录因特网上的活动,对网络存取和访问进行监控审计 防止内部信息的外泄,防火墙限制暴露用户点。 防火墙的作用: 过滤进出网络的数据包; 管理进出网络的访问行为; 封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警。,任务实施及方法技巧,防火墙的局限性或不足之处 不能防范恶意的知情者。 防火墙不能防范不通过它的连接-防火

6、墙防外不防内。 防火墙不能防备全部的威胁,防火墙只实现了粗粒度的访问控制。 防火墙不能防范病毒,无法防止数据驱动型攻击。 防火墙难于管理和配置,易造成安全漏洞。 很难为用户在防火墙内外提供一致的安全策略。 防火墙的局限性不止防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。还有防火墙本身的缺陷。,任务实施及方法技巧,防火墙类型1-包过滤型 包过滤路由器基本的思想很简单:对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包;往往配置成双向的。包过滤路由器

7、如何过滤: 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号。 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃。 如果所有规则都不匹配,则根据缺省策略。 安全缺省策略两种基本策略,或缺省策略: 没有被拒绝的流量都可以通过:管理员必须针对每一种新出现的攻击,制定新的规则。 没有被允许的流量都要拒绝:比较保守,根据需要,逐渐开放。,任务实施及方法技巧,包过滤技术在网络层上进行监测,并没有考虑连接状态信息。通常在路由器上实现,实际上是一种网络的访问控制机制。,优点:实现简单、对

8、用户透明、效率高 缺点:正确制定规则并不容易、不可能引入认证机制 举例: ipchains 和iptables Ipchains的用法示例: ipchains -A input -i eth0 -s 192.168.1.0/24 -j DENY ipchains -A input -p tcp -d 162.105.73.192/26 any -y i eth0 -j DENY ipchains A input p tcp d 162.105.73.254 80 -i eth0 j ACCEPT,任务实施及方法技巧,此处实验可以用ACL在PT中完成。,往外包的特性(用户操作信息) IP源是内部

9、地址 目标地址为server TCP协议,目标端口23 源端口1023 连接的第一个包ACK=0,其他包ACK=1 往内包的特性(显示信息) IP源是server 目标地址为内部地址 TCP协议,源端口23 目标端口1023 所有往内的包都是ACK=1,B楼,C楼,E楼,F楼,G楼,宾馆,学生公寓,路由器,某职业技术学院网络拓扑图,任务实施及方法技巧,ACL简介,(1) ACL技术产生背景 网络中数据流的多样性,用户要求对某些特定的数据流采取特殊的策略,需要一种工具来挑选感兴趣的数据流: 只允许特定的主机访问服务器 限制FTP流量占用的带宽 过滤某些路由信息 (2)什么是 ACL? Acces

10、s Control list (访问控制列表),ACL是网络设备处理数据包转发的一组规则,网络设备利用这组规则来决定数据包允许转发还是拒绝转发。,任务实施及方法技巧,ACL简介,(3)ACL过滤依据 源 IP 地址 目的 IP 地址 MAC 地址 协议 应用类型,任务实施及方法技巧,ACL简介,(4)ACL组成 由一组具有相同编号或者名字的访问控制规则组成(ACL规则) 规则中定义检查字段 由Permit/deny定义执行的动作 (5)ACL工作原理 通过编号或者名字调用ACL 网络设备根据ACL规则检查报文,并采取相应操作,任务实施及方法技巧,ACL简介,(6)ACL匹配规则 自上而下 当报

11、文匹配某条规则后,将执行操作,跳出匹配过程 细化的语句放在前面 缺省最后隐含一条“deny any”的规则(一个ACL中至少要有一条Permit规则) (7)ACL规则修改:全局模式下编号ACL规则的修改 新规则添加到ACL的末尾 无法单独删除某条规则 建议: 导出配置文件进行修改 将ACL规则复制到编辑工具进行修改 删除所有ACL规则重新编写,任务实施及方法技巧,ACL简介,(8)ACL处理方法 在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。所谓的入站或出站,总是相对路由器来说的。进入路由器接口的流量称为入站流量,流出接口的则称为出站流量。

12、数据包到达接口时,路由器会检查以下参数: 是否有针对该接口的 ACL? 该 ACL 控制的是入站流量还是出站流量? 此流量是否符合允许或拒绝的条件?,任务实施及方法技巧,防火墙包过滤实验,2,任务实施及方法技巧,(2)定义的字段,对于允许或拒绝 IP 流量的访问列表,标识号的范围是 1 到 99 和 1300 到 1999。,(1)标号范围,根据数据包的源 IP 地址过滤数据包,标准ACL,任务实施及方法技巧,access-list access-list-number deny|permit source address source-wildcard log 删除 ACL: no acce

13、ss-list list number ACL 的应用: 将 ACL 指派到一个或多个接口,指定是入站流量还是出站流量。尽可能靠近目的地址应用标准 ACL。 (config-if)#ip access-group access list number in | out 要从接口中删除 ACL 而不破坏 ACL,使用 no ip access-group interface 命令。,(3)基本配置,标准ACL,任务实施及方法技巧,标准ACL, 通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位 通配符掩码中为“0”的位表示需要检查的位,为“1”的位表示忽略检查的位,这与子网掩码中的意义是完全

14、不同的 举例 计算表示下列网络中的所有节点的通配符掩码:192.5.5.0 255.255.255.0 答案: 192.5.5.0 0.0.0.255 这个通配符掩码与C类地址的子网掩码正好相反 在本例中,根据通配符掩码中为0的位,比较数据包的源地址和控制的IP地址中相关的各个位,当每位都相同时,说明两者匹配 通配符掩码 0.0.0.0 要求 IP 地址的所有 32 个比特位均应完全匹配,作用等同于host参数。 通配符掩码 255.255.255.255,是过滤所有主机,作用等同于any。,(4)通配符掩码(wildcard),任务实施及方法技巧,(2)定义的字段,不仅可以根据源 IP 地址

15、过滤,也可根据目的 IP 地址、协议和端口号过滤流量。扩展 ACL 的编号范围是 100 到 199 和 2000 到 2699。,(1)标号范围,扩展ACL,任务实施及方法技巧,扩展ACL,access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port log 举例: 某公司有一台地址为 192.168.5.25 的服务器。该公司有以下要求: 允许访问 192.168.1.0 局域网中的所有主机 允许访问主机

16、192.168.2.6 拒绝访问 192.168.3.0 局域网中的所有主机 允许访问企业中的所有其它主机 access-list 100 per ip 192.168.1.0 0.0.0.255 host 192.168.5.25 access-list 100 per host 192.168.2.6 0.0.0.255 host 192.168.5.25 access-list 100 deny ip 192.168.3.0 0.0.0.255 host 192.168.5.25 access-list 100 per ip any any,(3)基本配置,任务实施及方法技巧,命名ACL,R (config)#ip access-list standard | extended name R(config-ext-nacl)# permit | deny protocol sourc

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号