Chap6網(wǎng)絡(luò)安全1

中北大學(xué)計算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實施整體規(guī)劃，通過在交換機(jī)設(shè)備上增加訪問控制列表技術(shù)，實現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。

工作任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全2一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全二：訪問控制列表安全技術(shù)3一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全4復(fù)雜程度Internet飛速增長InternetEmailWeb瀏覽Intranet站點電子商務(wù)電子政務(wù)電子交易時間5第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來安全事件對我們的威脅越來越快網(wǎng)絡(luò)安全的演化6網(wǎng)絡(luò)安全隱患是指借助計算機(jī)或其他通信設(shè)備，利用網(wǎng)絡(luò)開放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時，進(jìn)行的竊聽、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險。企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。網(wǎng)絡(luò)安全隱患7（1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。（2）病毒的侵入。Internet開拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國國家計算機(jī)安全協(xié)會（NCSA）最近一項調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過計算機(jī)病毒的危害。（3）黑客的攻擊。得益于Internet的開放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個管理問題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。常見網(wǎng)絡(luò)管理中存在的安全問題8常見的攻擊措施主要有：獲取網(wǎng)絡(luò)口令放置特洛伊木馬程序WWW欺騙技術(shù)電子郵件攻擊通過一個節(jié)點來攻擊其他節(jié)點拒絕服務(wù)攻擊網(wǎng)絡(luò)監(jiān)聽尋找系統(tǒng)漏洞利用賬號進(jìn)行攻擊偷取特權(quán)網(wǎng)絡(luò)攻擊行為9手段多樣的網(wǎng)絡(luò)攻擊：10攻擊不可避免攻擊工具體系化11全球超過26萬黑客站點,提供系統(tǒng)漏洞和攻擊知識越來越多易使用攻擊軟件出現(xiàn)年輕人對網(wǎng)絡(luò)攻擊好奇心年輕人的叛逆心理網(wǎng)絡(luò)進(jìn)攻簡單化12大量的攻擊工具隨手拾來攻擊工具更加“人性化”13現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制14VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測現(xiàn)有網(wǎng)絡(luò)安全技術(shù)15保護(hù)園區(qū)網(wǎng)絡(luò)安全二：訪問控制列表技術(shù)16ISPACL對經(jīng)過設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。1、什么是訪問列表√FTP17RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬VLAN不同12221112技術(shù)部VLAN20財務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問列表18定義訪問列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口／ＶＬＡＮ上訪問控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù)3、訪問列表的組成19

訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制：

1.入棧應(yīng)用（in）

2.出棧應(yīng)用（out）4、訪問列表規(guī)則的應(yīng)用20一切未被允許的就是禁止的

路由器缺省允許所有的信息流通過;

防火墻缺省封鎖所有的信息流，對希望提供的服務(wù)逐項開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”5、ACL的基本準(zhǔn)則21Y拒絕Y是否匹配

測試條件1?允許N拒絕允許是否匹配

測試條件2?拒絕是否匹配

最后一個

測試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N6、一個訪問列表多個測試條件22標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義7、ACL分類23標(biāo)準(zhǔn)訪問列表只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過濾。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)列表規(guī)則定義241）定義標(biāo)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩碼]反掩碼是一個32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。55表示所有IP地址，全為1說明所有32位都不檢查，可以用any來取代。表示所有32位都要進(jìn)行匹配，這樣只表示一個IP地址，可以用host表示。

2）應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}25Router(config)#access-list1permit

55Router(config)#access-list1deny55Router(config)#interfaceserial0Router(config-if)#ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪問列表配置實例1只允許網(wǎng)絡(luò)中的計算機(jī)訪問互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪問列表配置實例2

阻止5主機(jī)通過E0訪問網(wǎng)絡(luò)，而允許其他的機(jī)器訪問Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet1/1Router（config-if）#ipaccess-group1in

27【工作任務(wù)】

如