第5章

網(wǎng)絡(luò)1園區(qū)網(wǎng)常見安全隱患

非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞；。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。2威脅人自然災(zāi)害惡意非惡意不熟練的員工（外部）黑客威脅（內(nèi)部）不滿的員工（外部）戰(zhàn)爭3漏洞物理自然硬件軟件媒介通訊人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirus4網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快5現(xiàn)有網(wǎng)絡(luò)安全體制現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%6常見解決安全隱患的方案交換機(jī)端口安全配置訪問控制列表ACL在防火墻實(shí)現(xiàn)包過濾……7交換機(jī)端口安全通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP（可選）來實(shí)現(xiàn)嚴(yán)格控制對該端口的輸入。當(dāng)你為安全端口打開了端口安全功能并配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其它任何包。此外，你還可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果你將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站（其地址為配置的安全地址）將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性，你可以將MAC地址和IP地址綁定起來作為安全地址。8大家有疑問的，可以詢問和交流可以互相討論下，但要小聲點(diǎn)9交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。10配置安全端口

11端口安全的默認(rèn)配置和限制

12端口安全配置示例13驗(yàn)證命令14驗(yàn)證命令15訪問控制列表標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表16ISPIPAccess-list：訪問列表或訪問控制列表，簡稱IPACL當(dāng)網(wǎng)絡(luò)訪問流量較大時(shí),需要對網(wǎng)絡(luò)流量進(jìn)行管理

為什么要使用訪問列表17

為什么要使用訪問列表公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時(shí)間進(jìn)行QQ,MSN等聊天．訪問權(quán)限控制18

為什么要使用訪問列表可以是路由器或三層交換機(jī)或防火墻網(wǎng)絡(luò)安全性19

訪問列表的應(yīng)用

路由器應(yīng)用訪問列表對流經(jīng)它的數(shù)據(jù)包進(jìn)行限制

1.入棧應(yīng)用

2.出棧應(yīng)用E0S0是否允許?源地址

目的地址協(xié)議20以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否

存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0

訪問列表的出棧應(yīng)用21Y拒絕Y是否匹配

測試條件1?允許N拒絕允許是否匹配

測試條件2?拒絕是否匹配

最后一個(gè)

測試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N

一個(gè)訪問列表多個(gè)測試條件22IPACL的基本準(zhǔn)則一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過;而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”23源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號(hào)列表

IP標(biāo)準(zhǔn)訪問列表24目的地址源地址協(xié)議端口號(hào)100-199號(hào)列表TCP/UDP數(shù)據(jù)IP

eg.HDLC

IP擴(kuò)展訪問列表250表示檢查相應(yīng)的地址比特

1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111

反掩碼261.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}

源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表ipaccess-liststandard{name}

deny

{sourcesource-wildcard|host

source|any}orpermit{sourcesource-wildcard|host

source|any}2.應(yīng)用ACL到接口

Router(config-if)#ipaccess-group<1-99>|{name}{in|out}

IP標(biāo)準(zhǔn)訪問列表的配置27access-list1permit55(access-list1deny55)interfacefastethernet0ipaccess-group1outinterfacefastethernet1ipaccess-group1outF0S0F1

IP標(biāo)準(zhǔn)訪問列表配置實(shí)例282.應(yīng)用ACL到接口

Router(config-if)#ipaccess-group<100-199>{in|out}1.定義擴(kuò)展的ACL

編號(hào)的擴(kuò)展ACLRouter(config)#access-list<100-199>

{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{deny|permit}protocol

{source

source-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]

IP擴(kuò)展訪問列表的配置29下例顯示如何創(chuàng)建一條ExtendedIPACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。

Switch（config）#ipaccess-listextendedallow_0xc0a800_to_Switch（config-std-nacl）#permittcp55hosteqwwwSwitch（config-std-nacl）#endSwitch#showaccess-lists

IP擴(kuò)展訪問列表配置實(shí)例30擴(kuò)展訪問列表的應(yīng)用31顯示全部的訪問列表Router#showaccess-lists

顯示指定的訪問列表

Router#showaccess-lists<1-199>

顯示接口的訪問列表應(yīng)用

Router#showipinterface<接口名稱><接口編號(hào)>

訪問列表的驗(yàn)證32NAT/NAPT帶來的好處解決IPv4地址空間不足的問題；私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；/8，/12，/16非注冊IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時(shí)分配了全局IP地址－但沒注冊網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險(xiǎn)；TCP流量的負(fù)載均衡33什么是NAT/NAPTNAT就是將網(wǎng)絡(luò)地址從一個(gè)地址空間轉(zhuǎn)換到另外一個(gè)地址空間的一個(gè)行為純軟件NAT防火墻NAT路由器NATNAT的類型NAT（NetworkAddressTranslation）轉(zhuǎn)換后，一個(gè)本地IP地址對應(yīng)一個(gè)全局IP地址NAPT（NetworkAddressPortTranslation）轉(zhuǎn)換后，多個(gè)本地地址對應(yīng)一個(gè)全局IP地址34NAT/NAPT的術(shù)語內(nèi)部網(wǎng)絡(luò) －Inside外部網(wǎng)絡(luò) －Outside內(nèi)部本地地址－InsideLocalAddress內(nèi)部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互聯(lián)網(wǎng)OutsideInside企業(yè)內(nèi)部網(wǎng)外部網(wǎng)35靜態(tài)與動(dòng)態(tài)NAT靜態(tài)NAT需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對一IP地址映射關(guān)系動(dòng)態(tài)NAT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)內(nèi)部主機(jī)數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機(jī)數(shù)決定于全局IP地址數(shù)臨時(shí)的一對一IP地址映射關(guān)系36NAT示例可以是動(dòng)態(tài)或靜態(tài)NAT37配置靜態(tài)NAT38配置動(dòng)態(tài)NATRed-Giant(config)#ipnatpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定義全局IP地址池Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定義訪問列表，只有匹配該列表的地址才轉(zhuǎn)換Red-Giant(config)#ipnatinsidesourcelistaccess-list-numberpooladdress-pool定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定義該接口連接內(nèi)部網(wǎng)絡(luò)Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定義接口連接外部網(wǎng)絡(luò)39什么時(shí)候用NAPT缺乏全局IP地址甚至沒有專門申請的全局IP地址，只有一個(gè)連接ISP的全局IP地址內(nèi)部網(wǎng)要求上網(wǎng)的主機(jī)數(shù)很多提高內(nèi)網(wǎng)的安全性40靜態(tài)與動(dòng)態(tài)NAPT靜態(tài)NAPT需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對一“IP地址+端口”映射關(guān)系動(dòng)態(tài)NAPT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)臨時(shí)的一對一“IP地址＋端口”映射關(guān)系41NAPT示例可以是動(dòng)態(tài)或靜態(tài)NAPT42配置靜態(tài)NAPT43配置動(dòng)態(tài)NAPTRed-Giant(config)#ipnatpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定義全局IP地址池，對于NAPT，一般就定義一個(gè)IP地址

Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定義訪問列表，只有匹配該列表的地址才轉(zhuǎn)換Red-Giant(config)#ipnatinsidesourcelistaccess-list-numberpooladdress-pool[interfaceinterface-typeinterface-number]}overload(與動(dòng)態(tài)NAT的區(qū)別)定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定義該接口連接內(nèi)部網(wǎng)絡(luò)Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定義接口連接外部網(wǎng)絡(luò)44NAT的監(jiān)視和維護(hù)命令顯示命令showipnatstatistics

showipnattranslations[verbose]清除狀態(tài)命令clearipnattranslation*

clearipnattranslationoutside

local-addressglobal-address

更多的命令用clearipnat?45InternetAccessDeniedUnauthorizedService(http,ftp,telnet)FirewallAuthorizedServiceInternalResources

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

什么是防火墻46

1．允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2．可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。

3．可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。

4.是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)。

5．可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。防火墻的五大功能47

1、防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào)，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個(gè)潛在的后門攻擊渠道。

2、防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

防火墻防范不到的地方48常見防火墻的類型主要有兩種：包過濾和代理防火墻包過濾防火墻(IPFiltingFirewall)：

包過濾(PacketFilter)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過。防火墻的類型49下面是某一包過濾防火墻的訪問控制規(guī)則：

(1)允許網(wǎng)絡(luò)123.1.0使用口)訪問主機(jī)；

(2)允許IP地址為8和4的用戶Telnet(23口)到主機(jī)上；

(3)允許任何地址的E－mail(25口)進(jìn)入主機(jī)；