第9章

園區(qū)網(wǎng)安全設(shè)計(jì)銳捷認(rèn)證網(wǎng)絡(luò)工程師RCNA1園區(qū)網(wǎng)安全隱患交換機(jī)端口安全訪問控制列表ACL防火墻基礎(chǔ)本章內(nèi)容2園區(qū)網(wǎng)安全隱患

交換機(jī)端口安全訪問控制列表ACL防火墻基礎(chǔ)課程議題3園區(qū)網(wǎng)常見安全隱患非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞；。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。4威脅人自然災(zāi)害惡意非惡意不熟練的員工（外部）黑客威脅（內(nèi)部）不滿的員工（外部）戰(zhàn)爭5漏洞物理自然硬件軟件媒介通訊人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirus6網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快7現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL71%8常見解決安全隱患的方案交換機(jī)端口安全配置訪問控制列表ACL在防火墻實(shí)現(xiàn)包過濾……9園區(qū)網(wǎng)安全隱患交換機(jī)端口安全

如何在路由器配置訪問控制列表ACL防火墻基礎(chǔ)課程議題10交換機(jī)端口安全通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP（可選）來實(shí)現(xiàn)嚴(yán)格控制對該端口的輸入。當(dāng)你為安全端口打開了端口安全功能并配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其它任何包。此外，你還可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果你將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站（其地址為配置的安全地址）將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性，你可以將MAC地址和IP地址綁定起來作為安全地址。11交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。

12配置安全端口

interfaceinterface-id 進(jìn)入接口配置模式。switchportmodeaccess 設(shè)置接口為access模式（如果確定接口已經(jīng)處于access模式，則此步驟可以省略）。switchportport-security 打開該接口的端口安全功能switchportport-securitymaximumvalue 設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設(shè)置處理違例的方式當(dāng)端口因?yàn)檫`例而被關(guān)閉后，你可以在全局配置模式下使用命令errdisablerecovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。switchportport-securitymac-addressmac-address[ip-addressip-address] 手工配置接口上的安全地址。ip-address:可選IP為這個(gè)安全地址綁定的地址。13端口安全配置示例下面的例子說明了如何使能接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protect。Switch#configureterminalSwitch（config）#interfacegigabitethernet1/3Switch（config-if）#switchportmodeaccessSwitch（config-if）#switchportport-securitySwitch（config-if）#switchportport-securitymaximum8Switch（config-if）#switchportport-securityviolationprotectSwitch（config-if）#end14驗(yàn)證命令Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge（mins）

---------------------------------------------------------------------100d0.f800.073c02ConfiguredGi1/38100d0.f800.3cc9ConfiguredGi1/1715驗(yàn)證命令Switch#showport-securitySecurePortMaxSecureAddr（count）

CurrentAddr（count）

SecurityAction--------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381Protect16園區(qū)網(wǎng)安全隱患交換機(jī)端口安全訪問控制列表ACL防火墻基礎(chǔ)課程議題17ISPIPAccess-list：訪問列表或訪問控制列表，簡稱IPACL當(dāng)網(wǎng)絡(luò)訪問流量較大時(shí),需要對網(wǎng)絡(luò)流量進(jìn)行管理為什么要使用訪問列表為什么要使用訪問列表公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時(shí)間進(jìn)行QQ,MSN等聊天．訪問權(quán)限控制19為什么要使用訪問列表可以是路由器或三層交換機(jī)或防火墻網(wǎng)絡(luò)安全性20

路由器應(yīng)用訪問列表對流經(jīng)它的數(shù)據(jù)包進(jìn)行限制

1.入棧應(yīng)用

2.出棧應(yīng)用E0S0是否允許?源地址

目的地址協(xié)議

訪問列表的應(yīng)用21以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否

存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0

訪問列表的出棧應(yīng)用Y拒絕Y是否匹配

測試條件1?允許N拒絕允許是否匹配

測試條件2?拒絕是否匹配

最后一個(gè)

測試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N一個(gè)訪問列表多個(gè)測試條件IPACL的基本準(zhǔn)則一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過;而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”24源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號列表

IP標(biāo)準(zhǔn)訪問列表目的地址源地址協(xié)議端口號100-199號列表TCP/UDP數(shù)據(jù)IP

eg.HDLC

IP擴(kuò)展訪問列表0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111反掩碼1.定義標(biāo)準(zhǔn)ACL編號的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}

源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表ipaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}2.應(yīng)用ACL到接口

Router(config-if)#ipaccess-group<1-99>|{name}{in|out}

IP標(biāo)準(zhǔn)訪問列表的配置access-list1permit

55(access-list1deny55)interfacefastethernet0ipaccess-group1outinterfacefastethernet1ipaccess-group1outF0S0F1

IP標(biāo)準(zhǔn)訪問列表配置實(shí)例292.應(yīng)用ACL到接口

Router(config-if)#ipaccess-group<100-199>{in|out}1.定義擴(kuò)展的ACL

編號的擴(kuò)展ACLRouter(config)#access-list<100-199>

{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]

IP擴(kuò)展訪問列表的配置下例顯示如何創(chuàng)建一條ExtendedIPACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。

Switch（config）#ipaccess-listextendedallow_0xc0a800_to_Switch（config-std-nacl）#permittcp55hosteqwwwSwitch（config-std-nacl）#endSwitch#showaccess-lists

IP擴(kuò)展訪問列表配置實(shí)例擴(kuò)展訪問列表的應(yīng)用

access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyany eq4444access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115out32顯示全部的訪問列表Router#showaccess-lists

顯示指定的訪問列表

Router#showaccess-lists<1-199>

顯示接口的訪問列表應(yīng)用

Router#s