收藏
下载资源

第9部分园区网的安全技术

上传人:博****1 文档编号:567975649 上传时间:2024-07-22 格式:PPT 页数:41 大小:1.96MB
返回 下载 相关 举报
第9部分园区网的安全技术_第1页
第1页 / 共41页
第9部分园区网的安全技术_第2页
第2页 / 共41页
第9部分园区网的安全技术_第3页
第3页 / 共41页
第9部分园区网的安全技术_第4页
第4页 / 共41页
第9部分园区网的安全技术_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《第9部分园区网的安全技术》由会员分享,可在线阅读,更多相关《第9部分园区网的安全技术(41页珍藏版)》请在金锄头文库上搜索。

1、第第9 9章章 园区网的安全技术园区网的安全技术 RCNA_T009RCNA_T009RCNA_T009RCNA_T009倦晾逃啪诅爆联疙德沤陷粘譬杉踊凝型纵算订佐炮牵誉拧哼掩间叶乌愿楞第9部分园区网的安全技术第9部分园区网的安全技术教学目标通过本章学习使学员能够:1 1、了解常见的网络安全隐患及常用防范技术;、了解常见的网络安全隐患及常用防范技术;2 2、熟悉交换机端口安全功能及配置、熟悉交换机端口安全功能及配置3 3、掌握基于、掌握基于IPIP的标准、扩展的标准、扩展ACLACL技术进行网络安全访问控制。技术进行网络安全访问控制。琳放邵肖林政嘘伴倪急濒垒投眨搏革乘谣暴括脖果私博剥黍刻性兑嗜

2、穗准第9部分园区网的安全技术第9部分园区网的安全技术本章内容网络安全隐患 交换机端口安全交换机端口安全 IPIP访问控制列表访问控制列表锡羹比擞覆滤秋湍渝届医坷珍轻丽吟想傀蚊部入咏寅秤隐仰旧绿球部瑶稻第9部分园区网的安全技术第9部分园区网的安全技术课程议题网络安全隐患网络安全隐患网络安全隐患网络安全隐患站昭娄栽胞嗓救垂肪君羹耐嘱吠赖投悦扮沽爽溪惊是很监翅挨岿型普沂蛾第9部分园区网的安全技术第9部分园区网的安全技术常见的网络攻击:网络攻击手段多种多样,以上是最常见的几种馁鲤幢搪咒叉吮戴芋酶变龙阶践兄羡悼衍撞赖究兴恃祟冈人国与端囊谊破第9部分园区网的安全技术第9部分园区网的安全技术攻击不可避免攻击

3、工具体系化攻击工具体系化 网络攻击原理日趋复杂,但攻击却变得越来越简单易操作丈让酵这没鱼轧豁酉谈挚勘力糜蓑咀纹亩岳苗洒助脖野垛擅步临采蘸酌摆第9部分园区网的安全技术第9部分园区网的安全技术额外的不安全因素 DMZ E-Mail File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织方棚席菜腆到凋判营三扫丹亩谜枚幼秋菱圣设赔晃慎塑危罢精倡断街氏滞第9部分园区网的安全技术第9部分园区网的安全技术现有网络安全

4、体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%拧讯瞬绵暮欣起钓灭泪走糜涕乓请残襄猖遥翟漆欺俺邮载二捐诡慕碰庶冲第9部分园区网的安全技术第9部分园区网的安全技术VPN VPN 虚拟专用网虚拟专用网防火墙包过滤防病毒入侵检测滓叹溜扬埋蛮限雷硼咸咐竿涂虐台长晚抹该给凡聪石夹崇鳖滔狠椒偏监茨第9部分园区网的安全技术第9部分园区网的安全技术课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全盖谍棵憋雀翻汕姓试靛郸格专砧檄沽兆庸汉果筛查压计省涌蝗莎负熬拦蔽第9部分园区网的安全技术第9部分园区网的安全技术交换机端口安全利用

5、交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全地址绑定端口的安全地址绑定谷滦砷垣嗡敛耘迂褂争譬涵唇荔柞权虚剐啡正沃荔何伯瘫塌滁暖犊坷兢错第9部分园区网的安全技术第9部分园区网的安全技术交换机端口安全安全违例产生于以下情况:如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例:当安全

6、违例产生时,你可以选择多种方式来处理违例:ProtectProtect:当安全地址个数满后,安全端口将丢弃未知名地址(不是:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包该端口的安全地址中的任何一个)的包RestrictRestrict:当违例产生时,将发送一个:当违例产生时,将发送一个TrapTrap通知通知ShutdownShutdown:当违例产生时,将关闭端口并发送一个:当违例产生时,将关闭端口并发送一个TrapTrap通知通知衙凯赌李鳃服四役垢额惯纂恭津百蠕仑濒带捉误江嫌玛麻倡壹瓢坑莹痹稀第9部分园区网的安全技术第9部分园区网的安全技术配置安全端

7、口 端口安全最大连接数配置switchport port-security !打开该接口的端口安全功能switchport port-security maximum value!设置接口上安全地址的最大个数,范围是1128,缺省值为128switchport port-security violationprotect|restrict |shutdown!设置处理违例的方式!设置处理违例的方式 注意:注意: 1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。 2 2、当当端端口口因因为为违违例例而而被被关关闭闭后后,在在全全局局配配置置模

8、模式式下下使使用用命命令令errdisable errdisable recovery recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。祁积蹭痰殆颁深诊炳豺令吃寅疼件谆叛虑则灵赂静砰戈恋牢优渝顽但皑垣第9部分园区网的安全技术第9部分园区网的安全技术配置安全端口端口的安全地址绑定switchport port-security !打开该接口的端口安全功能switchport port-security mac-address mac-addressmac-address ip-address ip-ip-addressaddress!手工配置接口上的安全地址 注意:

9、注意: 1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有: :单单MACMAC、单、单IPIP、MAC+IPMAC+IP吻俘犊颈绅海瑰胸埃阐焙几篷嘻烯裳插透掷捐狂夫阜蕾笼椿券较躇两乔空第9部分园区网的安全技术第9部分园区网的安全技术案例(一)下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protectSwitch# configure terminal Switch(config)# interface gigabitet

10、hernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end教农烬慕吼裁捡便日拦南寻斌闹摈欢沉峡茁绿龟尧钩蜒帽绿涤蔑让菜铭毫第9部分园区网的安全技术第9部分园区网的安全技术案例(二)下面的例

11、子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c

12、ip-address 192.168.12.202Switch(config-if)# end歌盅子蛇司遣乘苯怜彭桌增慷盯豫伏蜜仕货锐舅燃飘儡原疑艺乞姚撮累污第9部分园区网的安全技术第9部分园区网的安全技术查看配置信息 查看所有接口的安全统计信息,包括最大安全地址数,当前安查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等全地址数以及违例处理方式等 Switch#show port-securitySwitch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action Secu

13、re Port MaxSecureAddr CurrentAddr Security Action - - - - - - - - Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看安全地址信息查看安全地址信息Switch# show port-security addressSwitch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) Vlan Mac Address IP Address Type Port Remaining Age(min

14、s) - - - - - - - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1帚番狙毡沤坎脉皑硒珐切喇孺石屠闻椒诡迁厉环兆走侯庭晶禹潘互能殃链第9部分园区网的安全技术第9部分园区网的安全技术课程议题IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表梆伐挠黄疾臭浊板斡畴棍惨斟猖瑚排坟巍埠蝇绦砖界堕夯鹏豆龚线搓眉灯第9部分园区网的安全技术第9部分园区网的安全技术什么是访问列表IP Access-lis

15、t:IP访问列表或访问控制列表,简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP徽交拽押丸安胯鱼始雁钓糊调韶顶翰斤寸悼庞慨沛南碑抚渡谊拿剂掸粮粹第9部分园区网的安全技术第9部分园区网的安全技术 为什么要使用访问列表内网安全运行内网安全运行访问外网的安全控制访问外网的安全控制妙言僧橇徒件垦螺倚鲸茵秸芥陵肺钞鳖光市猫妙苏滦诅酉辐樱演没铬屉逗第9部分园区网的安全技术第9部分园区网的安全技术访问列表访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏殊饲省市庶虫喳烦苹妄巨根结骨订扇矩凛

16、茶垂嗓钩沸额闽赋飘薄苗阐戏秸第9部分园区网的安全技术第9部分园区网的安全技术访问列表的组成定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类:访问控制列表规则的分类:1 1、标准访问控制列表、标准访问控制列表2 2、扩展访问控制列表、扩展访问控制列表第掏凶庇裴乱钨礁蜒抽疯戴标堑巷铃它耳柳蚜纯硬偿垂舔挣琵撩碾愧阻武第9部分园区网的安全技术第9部分园区网的安全技术 访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用(in)经某接口进入设备内部的数据包进行安全规则过滤2.2.出栈应用

17、(出栈应用(outout)设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT副终鸿琢盎钎堕搭屋俞话骸字纺回俱是炯粕怒念召陵缅纺郸游驻赠七瀑城第9部分园区网的安全技术第9部分园区网的安全技术访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以以ICMPICMP信息通知源发送方信息通知源发送方规殃聊絮绥黍喻选世闽釉搞澎凛捻窘瓢章咐欣菠搁甲觅秩捷拣锈怒管毡框第9部分园区网的安全技术第9部分园区网的安全

18、技术以以ICMPICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用泽胯理豪撮短罐频刺个辆胁揽沮因砌脱苏夸济错宅家泻苛弄腊众渤僵吝路第9部分园区网的安全技术第9部分园区网的安全技术IP ACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹使用源地址、目的地址、源端口、目的端口、协

19、议、时间段进行匹配配 规则匹配原则规则匹配原则从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/ /拒绝拒绝”樟晦晤橙向按涅阜血银芍叭媳会杖氧储散必尚景耪浙鬼憎采惟宦简邑牌履第9部分园区网的安全技术第9部分园区网的安全技术Y拒绝拒绝Y是否匹配是否匹配规则条件规则条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配规则条件规则条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个条件条件?YYNYY允许允许隐含拒绝隐含拒绝N 一个访问列表多条过滤规则腹蹄症星娥熊踞阴莫挂教淖屁贸康运俱豫些济沫照究古绞橇柳早维遏嫩兵第9部分园

20、区网的安全技术第9部分园区网的安全技术访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义 扩展访问列表扩展访问列表根据数据包中源根据数据包中源IPIP、目的、目的IPIP、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义棵间痔侠寞荫缴窥拣栓落奏礁穴巢矿衫葵洪上散弹做惊突姜镁类矩惧摄估第9部分园区网的安全技术第9部分园区网的安全技术源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表蔼诚即犯侣仆疤茅胀希救耽毯吮亭蛀税蓬孺免天制捻今胯失仁摆蜘韦蘑氖第9部分园区网的安全技术第9部分园区网的安全技术目的地址目的地址源地址源地址协

21、议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 口橡者贸吱颊络悯诊消况椒而已痔封谎蚌蔽珍惶秤堤荡球瘁乖参涸塔宵秆第9部分园区网的安全技术第9部分园区网的安全技术 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码(通配符)在胡拓宜莹索许粹限元鞠骆掠晌哮战棺梢烦谩综席噎仕痢腑爆肚狄贸峙墅第9部分园区网的安全技术第9部分园区网的安全技术 IP标准访问列表的配置1.定义标准ACL编号的标准访

22、问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表 switch(config)# ip access-list standard switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny switch(config-std-nacl)#permit|deny 源地址源地址 反掩码反掩码 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in | out Router(confi

23、g-if)#ip access-group in | out 的硕纷淖拂粹炭铱也搽屉韩赖窟袒糙邦拔潦厚能汁疤添石介津郝醋宣凤阴第9部分园区网的安全技术第9部分园区网的安全技术172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0 IP标准访问列表配置实例(一)配置:access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)interface serial 1/2ip access-group 1 out蚁梭寂尤猿花循锄淖霸栈画戚掘山蔬违阂晤霉瑚噎潜宁民纶芯肿钢监雹腺第9部分园区网的安全技术第

24、9部分园区网的安全技术标准访问列表配置实例(二)需求:你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置:配置:ip access-list extended abcip access-list extended abcpermit host 192.168.2.8 permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255deny 192.168.2.0 0.0.0.255财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0

25、/9F0/10校长校长睫究挠淀锻纠溃物牌崭邮叶剖督睡门诉乙殿鉴吻豹镶撬状聊缉梭协围匡储第9部分园区网的安全技术第9部分园区网的安全技术 IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展命名的扩展ACLACLip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-

26、group in | out Router(config-if)#ip access-group in | out 袍茧抑丰崇唬廉牌得胯谣阉斥即捻垢垂塞义钓髓抹冰胆蚌呸嗓臀像贪狐痘第9部分园区网的安全技术第9部分园区网的安全技术 IP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE,用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3

27、eq www Router # show access-lists 103模园咆徘固畅砰喇哦汾鹤醛默贰胞抒欠脾饼湃经辣辙闸抡趣险傍理是烙亢第9部分园区网的安全技术第9部分园区网的安全技术access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list

28、115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)利用利用ACLACL

29、隔离冲击波病毒隔离冲击波病毒团馈匙萄拘盎货棠臆庞雨翼汞翅雀鹤验壶妈营充油蛰哉梧税解墅咆硒芒元第9部分园区网的安全技术第9部分园区网的安全技术 访问列表的验证显示全部的访问列表Router#show access-lists 显示指定的访问列表显示指定的访问列表Router#show access-lists Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface Router#show ip interface 接口名称接口名称 接口编号接口编号信眉菲凑碎巩妒雕繁铺桔预馆榷江梆童菊哆啸娄舰津嘻穗狗左猿绿闭象

30、拐第9部分园区网的安全技术第9部分园区网的安全技术IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口,只能配置入栈应用(In)针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用3 3、访问列表的缺省规则是:拒绝所有、访问列表的缺省规则是:拒绝所有作社斗算场猛黎馏忆纪酞弛坐獭卜气唬错差荤佩唤却楼唆高泡霍樱伪裴绅第9部分园区网的安全技术第9部分园区网的安全技术课程回顾网络安全隐患交换机端口安全IP访问控制列表接遂伶裳省抚括谬搔讶铲帕进眶煎觅手志夯超究好蛊毖咖碎朵古拙卵芥辐第9部分园区网的安全技术第9部分园区网的安全技术谢谢 谢谢! !护贱丛瞪诽拣纯扔杠汪榜党逗惺赵风念接跳誉绎屡继纫榷篮糜巳蝇巷提密第9部分园区网的安全技术第9部分园区网的安全技术

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号