RCNA認(rèn)證課程-T009-園區(qū)網(wǎng)安全設(shè)計(jì)(v2.0)_第1頁(yè)
RCNA認(rèn)證課程-T009-園區(qū)網(wǎng)安全設(shè)計(jì)(v2.0)_第2頁(yè)
RCNA認(rèn)證課程-T009-園區(qū)網(wǎng)安全設(shè)計(jì)(v2.0)_第3頁(yè)
RCNA認(rèn)證課程-T009-園區(qū)網(wǎng)安全設(shè)計(jì)(v2.0)_第4頁(yè)
RCNA認(rèn)證課程-T009-園區(qū)網(wǎng)安全設(shè)計(jì)(v2.0)_第5頁(yè)
已閱讀5頁(yè),還剩36頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第9章園區(qū)網(wǎng)的平安技術(shù)RCNA_T009教學(xué)目標(biāo)通過(guò)本章學(xué)習(xí)使學(xué)員能夠: 1、了解常見(jiàn)的網(wǎng)絡(luò)平安隱患及常用防范技術(shù); 2、熟悉交換機(jī)端口平安功能及配置 3、掌握基于IP的標(biāo)準(zhǔn)、擴(kuò)展ACL技術(shù)進(jìn)行網(wǎng)絡(luò)平安訪(fǎng)問(wèn)控制。本章內(nèi)容網(wǎng)絡(luò)平安隱患交換機(jī)端口平安IP訪(fǎng)問(wèn)控制列表課程議題網(wǎng)絡(luò)平安隱患常見(jiàn)的網(wǎng)絡(luò)攻擊:

網(wǎng)絡(luò)攻擊手段多種多樣,以上是最常見(jiàn)的幾種攻擊不可防止攻擊工具體系化

網(wǎng)絡(luò)攻擊原理日趨復(fù)雜,但攻擊卻變得越來(lái)越簡(jiǎn)單易操作額外的不平安因素

DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部個(gè)體外部/組織內(nèi)部個(gè)體內(nèi)部/組織現(xiàn)有網(wǎng)絡(luò)平安體制現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS/IPS68%殺毒軟件99%防火墻98%ACL71%VPN虛擬專(zhuān)用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)課程議題交換機(jī)端口平安交換機(jī)端口平安利用交換機(jī)的端口平安功能實(shí)現(xiàn)防止局域網(wǎng)大局部的內(nèi)部攻擊對(duì)用戶(hù)、網(wǎng)絡(luò)設(shè)備造成的破壞,如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口平安的根本功能限制交換機(jī)端口的最大連接數(shù)端口的平安地址綁定交換機(jī)端口平安平安違例產(chǎn)生于以下情況:如果一個(gè)端口被配置為一個(gè)平安端口,當(dāng)其平安地址的數(shù)目已經(jīng)到達(dá)允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的平安地址的包當(dāng)平安違例產(chǎn)生時(shí),你可以選擇多種方式來(lái)處理違例:Protect:當(dāng)平安地址個(gè)數(shù)滿(mǎn)后,平安端口將丟棄未知名地址〔不是該端口的平安地址中的任何一個(gè)〕的包Restrict:當(dāng)違例產(chǎn)生時(shí),將發(fā)送一個(gè)Trap通知Shutdown:當(dāng)違例產(chǎn)生時(shí),將關(guān)閉端口并發(fā)送一個(gè)Trap通知配置平安端口端口平安最大連接數(shù)配置switchportport-security !翻開(kāi)該接口的端口平安功能switchportport-securitymaximumvalue !設(shè)置接口上平安地址的最大個(gè)數(shù),范圍是1-128,缺省值為128switchportport-securityviolation{protect|restrict|shutdown} !設(shè)置處理違例的方式注意:1、端口平安功能只能在access端口上進(jìn)行配置。2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后,在全局配置模式下使用命令errdisablerecovery來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái)。配置平安端口端口的平安地址綁定switchportport-security!翻開(kāi)該接口的端口平安功能switchportport-securitymac-addressmac-addressip-addressip-address !手工配置接口上的平安地址注意:1、端口平安功能只能在access端口上進(jìn)行配置2、端口的平安地址綁定方式有:單MAC、單IP、MAC+IP案例〔一〕下面的例子是配置接口gigabitethernet1/3上的端口平安功能,設(shè)置最大地址個(gè)數(shù)為8,設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例〔二〕下面的例子是配置接口fastethernet0/3上的端口平安功能,配置端口綁定地址,主機(jī)MAC為,IP為Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#end查看配置信息查看所有接口的平安統(tǒng)計(jì)信息,包括最大平安地址數(shù),當(dāng)前平安地址數(shù)以及違例處理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看平安地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381課程議題IP訪(fǎng)問(wèn)控制列表什么是訪(fǎng)問(wèn)列表IPAccess-list:IP訪(fǎng)問(wèn)列表或訪(fǎng)問(wèn)控制列表,簡(jiǎn)稱(chēng)IPACLACL就是對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)那么進(jìn)行數(shù)據(jù)包的過(guò)濾ISP√

為什么要使用訪(fǎng)問(wèn)列表內(nèi)網(wǎng)平安運(yùn)行訪(fǎng)問(wèn)外網(wǎng)的平安控制訪(fǎng)問(wèn)列表訪(fǎng)問(wèn)控制列表的作用:內(nèi)網(wǎng)布署平安策略,保證內(nèi)網(wǎng)平安權(quán)限的資源訪(fǎng)問(wèn)內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)時(shí),進(jìn)行平安的數(shù)據(jù)過(guò)濾防止常見(jiàn)病毒、木馬、攻擊對(duì)用戶(hù)的破壞訪(fǎng)問(wèn)列表的組成定義訪(fǎng)問(wèn)列表的步驟第一步,定義規(guī)那么〔哪些數(shù)據(jù)允許通過(guò),哪些數(shù)據(jù)不允許通過(guò)〕第二步,將規(guī)那么應(yīng)用在路由器〔或交換機(jī)〕的接口上訪(fǎng)問(wèn)控制列表規(guī)那么的分類(lèi):1、標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表2、擴(kuò)展訪(fǎng)問(wèn)控制列表訪(fǎng)問(wèn)列表規(guī)那么的應(yīng)用路由器應(yīng)用訪(fǎng)問(wèn)列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用〔in〕經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行平安規(guī)那么過(guò)濾2.出棧應(yīng)用〔out〕設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行平安規(guī)那么過(guò)濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪(fǎng)問(wèn)控制列表F1/0F1/1INOUT訪(fǎng)問(wèn)列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪(fǎng)問(wèn)列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪(fǎng)問(wèn)列表

的陳述是否允許

?Y是否應(yīng)用

訪(fǎng)問(wèn)列表

?NS0S0

訪(fǎng)問(wèn)列表的出棧應(yīng)用IPACL的根本準(zhǔn)那么一切未被允許的就是禁止的定義訪(fǎng)問(wèn)控制列表規(guī)那么時(shí),最終的缺省規(guī)那么是拒絕所有數(shù)據(jù)包通過(guò)按規(guī)那么鏈來(lái)進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)那么匹配原那么從頭到尾,至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的“允許/拒絕……”Y拒絕Y是否匹配

規(guī)那么條件1?允許N拒絕允許是否匹配

規(guī)那么條件2?拒絕是否匹配

最后一個(gè)

條件

?YYNYY允許隱含拒絕N一個(gè)訪(fǎng)問(wèn)列表多條過(guò)濾規(guī)那么訪(fǎng)問(wèn)列表規(guī)那么的定義標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)那么定義擴(kuò)展訪(fǎng)問(wèn)列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)那么定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99

號(hào)列表IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表目的地址源地址協(xié)議端口號(hào)IP擴(kuò)展訪(fǎng)問(wèn)列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199

號(hào)列表

0表示檢查相應(yīng)的地址比特

1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111反掩碼〔通配符〕IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表的配置1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表配置實(shí)例(一)配置:(access-list1denyany)interfaceserial1/2ipaccess-group1out標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表配置實(shí)例(二)需求:你是某校園網(wǎng)管,領(lǐng)導(dǎo)要你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長(zhǎng)可以訪(fǎng)問(wèn)財(cái)務(wù)的主機(jī),但教師機(jī)不可以訪(fǎng)問(wèn)。配置:財(cái)務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長(zhǎng)IP擴(kuò)展訪(fǎng)問(wèn)列表的配置1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪(fǎng)問(wèn)列表配置實(shí)例(一)如何創(chuàng)立一條擴(kuò)展ACL該ACL有一條ACE,用于允許指定網(wǎng)絡(luò)〔192.168.x..x〕的所有主機(jī)以HTTP訪(fǎng)問(wèn)效勞器,但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyanyeq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115outIP擴(kuò)展訪(fǎng)問(wèn)列表配置實(shí)例(二)利用ACL隔離沖擊波病毒

訪(fǎng)問(wèn)列表的驗(yàn)證顯示全部的訪(fǎng)問(wèn)列表R

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論