1、1園區(qū)網(wǎng)安全隱患 交換機(jī)端口安全 如何在路由器配置訪(fǎng)問(wèn)控制列表ACL 防火墻基礎(chǔ) 本章內(nèi)容第1頁(yè)，共36頁(yè)。2園區(qū)網(wǎng)常見(jiàn)安全隱患 非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。 人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失或損壞；。 來(lái)自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。第2頁(yè)，共36頁(yè)。3威脅人自然災(zāi)害惡意非惡意不熟練的員工（外部）黑客威脅（內(nèi)部）不滿(mǎn)的員工（外部）戰(zhàn)爭(zhēng)第3頁(yè)，共36頁(yè)。4漏洞物理自然硬件軟件媒介通訊人External attackerCorporate AssetsInternal attackerIncorrect permission

2、sVirus第4頁(yè)，共36頁(yè)。5網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲(chóng)+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲(chóng)DDoS破壞有效負(fù)載的病毒和蠕蟲(chóng)波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來(lái)安全事件對(duì)我們的威脅越來(lái)越快第5頁(yè)，共36頁(yè)。6現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL71%第6頁(yè)，共36頁(yè)。7常見(jiàn)解決安全隱患的方案 交換機(jī)端口安全配置訪(fǎng)問(wèn)控制列表ACL在防火墻實(shí)現(xiàn)包過(guò)濾 第7頁(yè)，共

3、36頁(yè)。8交換機(jī)端口安全通過(guò)限制允許訪(fǎng)問(wèn)交換機(jī)上某個(gè)端口的MAC地址以及IP（可選）來(lái)實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的輸入。當(dāng)你為安全端口打開(kāi)了端口安全功能并配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其它任何包。此外，你還可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果你將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站（其地址為配置的安全地址）將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性，你可以將 MAC地址和IP地址綁定起來(lái)作為安全地址。 第8頁(yè)，共36頁(yè)。9交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果

4、該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來(lái)處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿(mǎn)后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。 第9頁(yè)，共36頁(yè)。10配置安全端口 interface interface-id進(jìn)入接口配置模式。switchport mode access設(shè)置接口為access模式（如果確定接口已經(jīng)處于access模式，則此步驟可以省略）。switchpor

5、t port-security打開(kāi)該接口的端口安全功能switchport port-security maximum value設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1128，缺省值為128。switchport port-security violationprotect| restrict | shutdown設(shè)置處理違例的方式當(dāng)端口因?yàn)檫`例而被關(guān)閉后，你可以在全局配置模式下使用命令errdisable recovery 來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái)。switchport port-security mac-address mac-address ip-address ip-address

6、手工配置接口上的安全地址。ip-address: 可選IP 為這個(gè)安全地址綁定的地址。第10頁(yè)，共36頁(yè)。11端口安全配置示例下面的例子說(shuō)明了如何使能接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protect。Switch# configure terminal Switch（config）# interface gigabitethernet 1/3 Switch（config-if）# switchport mode access Switch（config-if）# switchport port-security Switch（conf

7、ig-if）# switchport port-security maximum 8 Switch（config-if）# switchport port-security violation protect Switch（config-if）# end第11頁(yè)，共36頁(yè)。12驗(yàn)證命令Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age（mins） - - - - - - 1 00d0.f800.073c 02 Configured Gi1/3 8 1 00d0.f800.3

8、cc9 Configured Gi1/1 7 第12頁(yè)，共36頁(yè)。13驗(yàn)證命令Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect第13頁(yè)，共36頁(yè)。14訪(fǎng)問(wèn)控制列表標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表擴(kuò)展訪(fǎng)問(wèn)控制列表第14頁(yè)，共36頁(yè)。ISPIP Access-list：訪(fǎng)問(wèn)列表或訪(fǎng)問(wèn)控制列表，簡(jiǎn)稱(chēng)IP ACL當(dāng)網(wǎng)絡(luò)訪(fǎng)問(wèn)流量較大時(shí),需要對(duì)網(wǎng)絡(luò)流量進(jìn)行

9、管理 為什么要使用訪(fǎng)問(wèn)列表第15頁(yè)，共36頁(yè)。16 為什么要使用訪(fǎng)問(wèn)列表公網(wǎng)互聯(lián)網(wǎng)用戶(hù)對(duì)外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時(shí)間進(jìn)行QQ,MSN等聊天訪(fǎng)問(wèn)權(quán)限控制第16頁(yè)，共36頁(yè)。17 為什么要使用訪(fǎng)問(wèn)列表可以是路由器或三層交換機(jī)或防火墻網(wǎng)絡(luò)安全性第17頁(yè)，共36頁(yè)。18 路由器應(yīng)用訪(fǎng)問(wèn)列表對(duì)流經(jīng)它的數(shù)據(jù)包進(jìn)行限制1.入棧應(yīng)用2.出棧應(yīng)用E0S0是否允許?源地址目的地址協(xié)議 訪(fǎng)問(wèn)列表的應(yīng)用第18頁(yè)，共36頁(yè)。以ICMP信息通知源發(fā)送方NY選擇出口S0路由表中是否存在記錄?NY查看訪(fǎng)問(wèn)列表的陳述是否允許?Y是否應(yīng)用訪(fǎng)問(wèn)列表?NS0S0 訪(fǎng)問(wèn)列表的出棧應(yīng)用第19頁(yè)，共36頁(yè)。Y拒絕Y是否

10、匹配測(cè)試條件1?允許N拒絕允許是否匹配測(cè)試條件2?拒絕是否匹配最后一個(gè)測(cè)試條件?YYNYY允許被系統(tǒng)隱含拒絕N 一個(gè)訪(fǎng)問(wèn)列表多個(gè)測(cè)試條件第20頁(yè)，共36頁(yè)。21IP ACL的基本準(zhǔn)則一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過(guò); 而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。按規(guī)則鏈來(lái)進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕”第21頁(yè)，共36頁(yè)。源地址TCP/UDP數(shù)據(jù)IPeg.HDLC1-99 號(hào)列表 IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表第22頁(yè)，共36頁(yè)。目的地址源地址協(xié)議

11、端口號(hào)100-199號(hào)列表 TCP/UDP數(shù)據(jù)IPeg.HDLC IP擴(kuò)展訪(fǎng)問(wèn)列表第23頁(yè)，共36頁(yè)。 0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111 反掩碼第24頁(yè)，共36頁(yè)。1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表Router(config)#access-list permit|deny 源地址 反掩碼命名的標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表ip access-list standard namedenysource source-wildcard|hostsource|any orpermit sou

12、rce source-wildcard|hostsource|any2.應(yīng)用ACL到接口Router(config-if)#ip access-group |name in | out IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表的配置第25頁(yè)，共36頁(yè)。26access-list 1 permit 55(access-list 1 deny 55)interface fastethernet 0ip access-group 1 outinterface fastethernet 1ip access-group 1 outF0S0F1 IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表配置實(shí)例第26頁(yè)，共36頁(yè)。2.應(yīng)用ACL到接口Router(co

13、nfig-if)#ip access-group in | out 1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 命名的擴(kuò)展ACLip access-list extended name deny|permit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port

14、 IP擴(kuò)展訪(fǎng)問(wèn)列表的配置第27頁(yè)，共36頁(yè)。下例顯示如何創(chuàng)建一條Extended IP ACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x.x）的所有主機(jī)以HTTP訪(fǎng)問(wèn)服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。 Switch （config）# ip access-list extended allow_0 xc0a800_to_ Switch （config-std-nacl）# permit tcp 55 host eq www Switch （config-std-nacl）#end Switch # show access-lists IP擴(kuò)展訪(fǎng)問(wèn)列表配置實(shí)例第28頁(yè)，共36

15、頁(yè)。29擴(kuò)展訪(fǎng)問(wèn)列表的應(yīng)用access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 11

16、5 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any anyeq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out 第29頁(yè)，共36頁(yè)。30顯示全部的訪(fǎng)問(wèn)列表Router#show access-lists顯示指定的訪(fǎng)問(wèn)列表Router#show access-lists 顯示接口的訪(fǎng)問(wèn)列表應(yīng)用Router#show ip interface 訪(fǎng)問(wèn)列表的驗(yàn)證第30頁(yè)，共36頁(yè)。31InternetAccess DeniedUnauthorized Service(http, ftp, telnet)FirewallAuthorized ServiceInternal Resources企業(yè)網(wǎng)絡(luò)邊緣設(shè)備置于可信區(qū)和不可信區(qū)之間保護(hù)可信區(qū)（內(nèi)部網(wǎng)）監(jiān)控穿越防火墻的數(shù)據(jù)流Allow or Deny什么是防火墻第31頁(yè)，共36頁(yè)。32RG-WALL 產(chǎn)品線(xiàn)特性 (會(huì)話(huà)數(shù)、端口數(shù)等)性能中小型企業(yè)、普教行業(yè)大中型應(yīng)用教育城域網(wǎng)等RG-WALL100大型校園網(wǎng)核心與ISP的互連等RG-WALL1000RG-WALL150