1、指導(dǎo)教師:楊建國,二零零八年十月,網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成,第8章網(wǎng)絡(luò)系統(tǒng)安全部署,本章知識(shí)要點(diǎn)： 網(wǎng)絡(luò)威脅與對策，服務(wù)器威脅與對策 802.1x協(xié)議及工作機(jī)制，基于RADIUS的認(rèn)證計(jì)費(fèi)，幾種認(rèn) 證方式比較 防止IP地址盜用，802.1x+RADIUS的應(yīng)用 網(wǎng)絡(luò)防病毒技術(shù)、毒策略與案例 使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界 使用網(wǎng)絡(luò)DMZ，構(gòu)建入侵檢測系統(tǒng) 路由器認(rèn)證技術(shù)及應(yīng)用 標(biāo)準(zhǔn)訪問列表，擴(kuò)展訪問列表與應(yīng)用 PIX防火墻的配置與應(yīng)用 雙址路由防火墻的應(yīng)用,第8章網(wǎng)絡(luò)系統(tǒng)安全部署,本章重點(diǎn)： 802.1x協(xié)議及工作機(jī)制 基于RADIUS的認(rèn)證計(jì)費(fèi) 網(wǎng)絡(luò)防病毒技術(shù)與策略 使用路由器+防火墻保護(hù)網(wǎng)絡(luò)

2、邊界 構(gòu)建入侵檢測系統(tǒng) 擴(kuò)展訪問列表與應(yīng)用 PIX防火墻的配置與應(yīng)用 本章難點(diǎn)： 構(gòu)建入侵檢測系統(tǒng) 擴(kuò)展訪問列表與應(yīng)用 PIX防火墻的配置與應(yīng)用,8.1 網(wǎng)絡(luò)安全威脅與對策,現(xiàn)有網(wǎng)絡(luò)中存在的問題 導(dǎo)致這些問題的原因是什么 現(xiàn)有網(wǎng)絡(luò)安全體制 網(wǎng)絡(luò)安全的演化 病毒的演化趨勢 木馬程序、黑客 應(yīng)用安全 網(wǎng)絡(luò)安全保護(hù)需求 網(wǎng)絡(luò)安全保護(hù)對策,網(wǎng)絡(luò)的組成元素,網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)終端設(shè)備,網(wǎng)絡(luò)終端設(shè)備,元素說明： 該元素由網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)傳輸設(shè)備組成， 進(jìn)行用戶網(wǎng)絡(luò)數(shù)據(jù)的交換處理。,元素說明：該元素由網(wǎng)絡(luò)服務(wù)器，用戶網(wǎng)絡(luò)客戶端等網(wǎng)絡(luò)終端設(shè)備組成。,網(wǎng)絡(luò)傳輸

3、,網(wǎng)絡(luò)終端設(shè)備,網(wǎng)絡(luò)終端設(shè)備,撥號(hào)用戶 B,撥號(hào)用戶 C,撥號(hào)用戶 A,撥號(hào)用戶 D,Internet,垃圾郵件,病毒破壞,黑客攻擊,資源濫用,信息泄密,DOS攻擊,不良信息,終端安全,信息丟失,未授權(quán) 接入,非法外 聯(lián)監(jiān)控,安全事 件處理,IT 系統(tǒng)運(yùn)行面臨的問題,導(dǎo)致這些問題的原因是什么？,病毒泛濫：計(jì)算機(jī)病毒的感染率比例非常高，高達(dá)89.73% 軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到 出現(xiàn)攻擊代碼的時(shí)間為5.8天 黑客攻擊：世界上目前有20多萬個(gè)黑客網(wǎng)站，各種黑客工具 隨時(shí)都可以找到，攻擊方法達(dá)幾千種之多 移動(dòng)用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個(gè)工作區(qū)域,現(xiàn)有網(wǎng)絡(luò)安全 防御體

4、制,IDS 68%,殺毒軟件 99%,防火墻 98%,ACL（規(guī)則控制）71%,現(xiàn)有網(wǎng)絡(luò)安全體制,第一代 引導(dǎo)性病毒,第二代 宏病毒 DOS 電子郵件 有限的黑客攻擊,第三代 網(wǎng)絡(luò)DOS攻擊 混合威脅（蠕蟲+病毒+特洛伊） 廣泛的系統(tǒng)黑客攻擊,下一代 網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊 瞬間威脅 大規(guī)模蠕蟲 DDoS 破壞有效負(fù)載的病毒和蠕蟲,波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu) 地區(qū)網(wǎng)絡(luò) 多個(gè)網(wǎng)絡(luò) 單個(gè)網(wǎng)絡(luò) 單臺(tái)計(jì)算機(jī),周,天,分鐘,秒,影響的目標(biāo)和范圍,1980s,1990s,今天,未來,安全事件對我們的威脅越來越快,網(wǎng)絡(luò)安全的演化,攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn),郵件/互聯(lián)網(wǎng),Code Red

5、 Nimda,funlove Klez,2001,2002,郵件,Melissa,1999,2000,Love Letter,1969,物理介質(zhì),Brain,1986,1998,CIH,SQL Slammer,2003,2004,沖擊波 震蕩波,病毒的演化趨勢,1990,1991,1994,1996,1998,1999,2000,2001,2002,2003,主流病毒行態(tài) 木馬、蠕蟲,病毒發(fā)展史,Internet,WORM_SASSER.A,染毒電腦,未修補(bǔ)漏洞的系統(tǒng),已修補(bǔ)漏洞的系統(tǒng),被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,攻擊模式,時(shí)間間隔,26 天,185 天,3

6、36 天,18 天,病毒出現(xiàn)越來越快,網(wǎng)絡(luò)病毒的特征 通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán) 在本地硬盤上并不留下文件 由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動(dòng)作，可能會(huì)引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載 如果攻擊屬于常規(guī)的應(yīng)用，例如SQL, IIS等就可能穿過防火墻,木馬程序等間諜軟件成為網(wǎng)絡(luò)與信息安全保密的重要隱患. 在現(xiàn)在的工作中發(fā)現(xiàn),越來越多的木馬程序植入到我國重要 信息系統(tǒng)中,根據(jù)保守估計(jì),國內(nèi)80%的網(wǎng)絡(luò)系統(tǒng),都存在木 馬程序和間諜軟件問題 中國地區(qū)危害最為嚴(yán)重的十種木馬病毒，分別是：QQ木 馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系 列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬 系統(tǒng)

7、漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在 電腦中埋伏下來，而木馬病毒又會(huì)欺騙用戶偽裝成“好 人”，達(dá)到其偷取隱私信息的險(xiǎn)惡目的,木馬程序,木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲 玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針 對以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅 數(shù)字娛樂的大敵 根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分 為以下五大類別：針對網(wǎng)游的木馬病毒、針對網(wǎng)上銀行 的木馬病毒、針對即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī) 開后門的木馬病毒、推廣廣告的木馬病毒,據(jù)國家計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計(jì)： 2003年，我國互聯(lián)網(wǎng)內(nèi)共有272萬臺(tái)主機(jī)受

8、到攻擊，造成 的損失數(shù)以億計(jì),攻擊向縱深發(fā)展,以經(jīng)濟(jì)和商業(yè)利益為目的的網(wǎng)絡(luò)攻擊行為漸為主流,黑客攻擊愈加猖獗,據(jù)中國互聯(lián)網(wǎng)中心統(tǒng)計(jì)，現(xiàn)在，我國用戶平均每周受到的垃 圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百 萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果 它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時(shí)有些郵件還包 括色情和反動(dòng)的內(nèi)容,垃圾郵件成為公害,垃圾郵件的發(fā)展速度和趨勢,在應(yīng)用安全問題中,在Windows平臺(tái)上利用Windows系統(tǒng)新 漏洞的攻擊占70%左右,30%的安全問題與Linux相關(guān) 設(shè)計(jì)階段 開發(fā)階段 實(shí)施階段 使用階段 管理制度 監(jiān)督機(jī)制 使用方法,應(yīng)用安全,移動(dòng)用戶D,

9、廣域網(wǎng),各信息系統(tǒng)依據(jù)重要程度的等級(jí)需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略,如何進(jìn)行信息系統(tǒng)的等級(jí)化保護(hù)？,完成安全設(shè)施的重新部署或響應(yīng),如何從全局角度對安全狀況分析、評(píng)估與管理,獲得全局安全視圖,制定安全策略指導(dǎo)或自動(dòng),Internet,p,補(bǔ)丁服務(wù)器,p,打補(bǔ)丁了嗎？,更新補(bǔ)丁了嗎？,p,p,p,p,p,p,p,p,p,p,p,困境 無法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁 知道哪些機(jī)器但是找不到機(jī)器在哪里 機(jī)器太多不知如何做起,系統(tǒng)安全漏洞 微軟每周都有數(shù)個(gè)修正檔需要更新 2003年Windows 2000 Server有50個(gè)漏洞補(bǔ)丁,用戶如何管理現(xiàn)有安全資源并執(zhí)行

10、策略機(jī)制？,Internet,未經(jīng)安全檢查與過濾， 違規(guī)接入內(nèi)部網(wǎng)絡(luò),私自撥號(hào)上網(wǎng),用戶如何防止內(nèi)部信息的泄露？,Internet,怎樣定位病毒源 或者攻擊源，怎 樣實(shí)時(shí)監(jiān)控病毒 與攻擊,用戶如何實(shí)現(xiàn)積極防御和綜合防范？,我,們,怎,么,辦,?,語音教室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,教學(xué)網(wǎng)段1,網(wǎng)站,OA網(wǎng)段,教學(xué)網(wǎng)段3,教學(xué)網(wǎng)段2,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,Internet,保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全,1、網(wǎng)絡(luò)設(shè)備 2、通訊設(shè)備 3、通訊線路 4、可用性 5、機(jī)密性 6、完整性 7、可管理性,保護(hù)邊界與外部連接,邊界進(jìn)出數(shù)據(jù)流 的有效控制與監(jiān)視,

11、保護(hù)計(jì)算環(huán)境,操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng) 終端,保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng),辦公自動(dòng)化系統(tǒng) 其他應(yīng)用系統(tǒng) .,教學(xué)網(wǎng)段5,內(nèi)部辦公N,網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求,Intranet,邊界處的訪問控制,邊界處的病毒與惡意代碼防護(hù),邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號(hào)監(jiān)控,邊界處的網(wǎng)絡(luò)入侵檢測,邊界處的認(rèn)證與授權(quán),邊界處的垃圾郵件和內(nèi)容過濾,網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求,基于主機(jī)的入侵檢測,基于主機(jī)的惡意代碼和病毒檢測,主機(jī)脆弱性掃描,主機(jī)系統(tǒng)加固,主機(jī)文件完整性檢查,主機(jī)用戶認(rèn)證與授權(quán),主機(jī)數(shù)據(jù)存儲(chǔ)安全,主機(jī)訪問控制,計(jì)算環(huán)境的保護(hù)需求,Modem,管理分析 & 實(shí)施策略,看不懂,進(jìn)不來,改不了,跑不了,可審查,打不垮,信息安全的

12、目的,對于非法訪問及攻擊類 -在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲 墻、Dos/DDos墻、IPsec VPN、SSL VPN、內(nèi)容過濾系統(tǒng),采取的解決辦法一,領(lǐng)導(dǎo)網(wǎng)段,Internet,防火墻、IPSEC VPN、SSL VPN、內(nèi)容過濾等,防DOS/DDOS設(shè)備,個(gè)人安全套件,語音教室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,內(nèi)部辦公N,OA網(wǎng)段,教學(xué)網(wǎng)段3,教學(xué)網(wǎng)段2,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,教學(xué)網(wǎng)段5,對于病毒、蠕蟲、木馬類 -實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng) 對于垃圾郵件類 -在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng),采取的解決辦法二,Internet,郵件過濾網(wǎng)關(guān)

13、、反垃圾郵件系統(tǒng),在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng),領(lǐng)導(dǎo)網(wǎng)段,語音教室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,內(nèi)部辦公N,OA網(wǎng)段,教學(xué)網(wǎng)段3,教學(xué)網(wǎng)段2,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,教學(xué)網(wǎng)段5,對于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類 -在各網(wǎng)絡(luò)中安裝IDS系統(tǒng) -在系統(tǒng)中安裝安全隱患掃描系統(tǒng) -在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng) -在主機(jī)中安裝資源管理系統(tǒng) -在主機(jī)中安裝防火墻系統(tǒng) -在重要主機(jī)中安裝內(nèi)容過濾系統(tǒng) -在重要主機(jī)中安裝VPN系統(tǒng),采取的解決辦法三,人事商務(wù)網(wǎng)段,Internet,領(lǐng)導(dǎo)網(wǎng)段,語音教室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部

14、辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,內(nèi)部辦公N,OA網(wǎng)段,教學(xué)網(wǎng)段3,教學(xué)網(wǎng)段2,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,教學(xué)網(wǎng)段5,對于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng) -在網(wǎng)絡(luò)中配置管理系統(tǒng) -在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng) -在網(wǎng)絡(luò)中配置日志審計(jì)系統(tǒng) -在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng) -在網(wǎng)絡(luò)中配置安全管理中心,采取的解決辦法四,銷售體系 網(wǎng)段N,Internet,安全審計(jì)中心,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,領(lǐng)導(dǎo)網(wǎng)段,語音教

15、室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,內(nèi)部辦公N,OA網(wǎng)段,教學(xué)網(wǎng)段3,教學(xué)網(wǎng)段2,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,教學(xué)網(wǎng)段5,Internet,領(lǐng)導(dǎo)網(wǎng)段,語音教室網(wǎng)段,財(cái)務(wù)網(wǎng)段,多媒體教室網(wǎng)段,內(nèi)部辦公 網(wǎng)段1,數(shù)字圖書館網(wǎng)段,內(nèi)部辦公N,OA網(wǎng)段,教學(xué)網(wǎng)段3,安服網(wǎng)段,教學(xué)網(wǎng)段4,網(wǎng)管網(wǎng)段,校園網(wǎng)服務(wù)器群,教學(xué)網(wǎng)段5,8.2 網(wǎng)絡(luò)安全接入與認(rèn)證,802.1x協(xié)議及工作機(jī)制 基于RADIUS的認(rèn)證計(jì)費(fèi) 基于802.1x的認(rèn)證計(jì)費(fèi) 幾種認(rèn)證方式比較 防止IP地址盜用 802.1x+RADIUS的應(yīng)用案例,8.2.1 802.1x協(xié)議及工作機(jī)制,802.1x協(xié)

16、議稱為基于端口的訪問控制協(xié)議（Port Based Network Access Control Protocol），該協(xié)議的核心內(nèi)容 如下圖所示 靠近用戶一側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP （Extensible Authentication Protocol，可擴(kuò)展的認(rèn)證協(xié) 議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAP over Ethernet） 的客戶端軟件與交換機(jī)通信,802.1x協(xié)議包括三個(gè)重要部分： 客戶端請求系統(tǒng)（Supplicant System） 認(rèn)證系統(tǒng)（Authenticator System） 認(rèn)證服務(wù)器（Authentication Server System）,下圖

17、描述了三者之間的關(guān)系以及互相之間的通信 客戶機(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端 口的接入控制，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議 的認(rèn)證過程,認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī) 該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE 協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證 受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息 如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶 無法訪問網(wǎng)絡(luò)信息 受控端口可配置為雙向受控和僅輸入受控兩種方式，以適 應(yīng)不同的應(yīng)用環(huán)境,8.2.2 基于RADIUS的認(rèn)證計(jì)費(fèi),衡量RADIU

18、S的標(biāo)準(zhǔn) RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請 求以及能處理多少事務(wù) 同時(shí)遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性 是RADIUS服務(wù)器好壞的重要指標(biāo) 安全性也是關(guān)注的重點(diǎn)，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器 （NAS，Network Access Servers）通信的過程中是如何保 證安全和完整性的,另外，RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和 策略是非常重要的一環(huán) 是否支持強(qiáng)制時(shí)間配額，這種功能使網(wǎng)絡(luò)管理員可以限制 用戶或用戶組能夠通過RADIUS服務(wù)器接入網(wǎng)絡(luò)多長時(shí)間 RADIUS服務(wù)器是否都通過ODBC或JDBC，利用SQL Server數(shù)據(jù)庫保存和訪問用

19、戶配置文件,RADIUS認(rèn)證系統(tǒng)的組成 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議 Radius Client一般是指與NAS通信的、處理用戶上網(wǎng)驗(yàn)證的 軟件；Radius Server一般是指認(rèn)證服務(wù)器上的計(jì)費(fèi)和用戶 驗(yàn)證軟件 Server與Client通信進(jìn)行認(rèn)證處理，這兩個(gè)軟件都是遵循 RFC相關(guān)Radius協(xié)議設(shè)計(jì)的,RADIUS的客戶端最初就是NAS，現(xiàn)在任何運(yùn)行RADIUS客 戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端 如下圖,RADIUS的工作原理 用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require 數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息 其中用戶口令

20、是經(jīng)過MD5加密的，雙方使用共享密鑰，這 個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播 RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí) 可以提出一個(gè)Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以 對NAS進(jìn)行類似的認(rèn)證,如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行 下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問 如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請求 Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept， 對用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作,（1）用戶開始上網(wǎng)時(shí)，啟動(dòng)802.1x客戶端軟件。該軟件查 詢網(wǎng)

21、絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x 協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會(huì)向請求者發(fā) 送響應(yīng)的包，要求用戶輸入登錄用戶名及口令 （2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識(shí)給認(rèn)證服 務(wù)器。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此認(rèn)證流只能 從交換機(jī)未受控邏輯端口經(jīng)過。交換機(jī)通過EAP協(xié)議將 認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證,8.2.3 基于802.1x的認(rèn)證計(jì)費(fèi),（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口 打開 （4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到 DHCP Server （5）DHCP Server為用戶分配IP地址,（6）DHCP Server分

22、配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù) 器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP 地址等信息，并建立動(dòng)態(tài)的ACL訪問列表，以限制用戶 的權(quán)限 （7）當(dāng)認(rèn)證交換機(jī)檢測到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù) 器發(fā)送計(jì)費(fèi)信息，開始對用戶計(jì)費(fèi),（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用 戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn) 證系統(tǒng)檢測到該數(shù)據(jù)包后，會(huì)通知AAA （Authentication，Authorization，Accounting）服務(wù)器 停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地 址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài) （9）如果上網(wǎng)的PC機(jī)異常死機(jī)，

23、當(dāng)驗(yàn)證設(shè)備檢測不到PC機(jī) 在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā) 送終止計(jì)費(fèi)的信息,8.2.4 幾種認(rèn)證方式比較,PPPoE： PPPoE的本質(zhì)就是在以太網(wǎng)上運(yùn)行PPP協(xié)議 由于PPP協(xié)議認(rèn)證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二 層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器 因此，也就決定了在客戶機(jī)和服務(wù)器之間，不能有路由器或 三層交換機(jī) 另外，由于PPPoE點(diǎn)對點(diǎn)的本質(zhì)，在客戶機(jī)和服務(wù)器之間， 限制了組播協(xié)議存在。這樣，將會(huì)在一定程度上，影響視頻 業(yè)務(wù)的開展 除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率較低,WebDHCP： 采用旁路方式網(wǎng)絡(luò)架構(gòu)時(shí)，不能對用戶進(jìn)行類似帶寬管理 另外，D

24、HCP是動(dòng)態(tài)分配IP地址，但其本身的成熟度加上設(shè) 備對這種方式支持力度還較小，故在防止用戶盜用IP地址 等方面，還需要額外的手段來控制 除此之外，用戶連接性差，易用性不夠好,802.1x： 802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入交換 機(jī)無須支持802.1q的VLAN，對設(shè)備的整體性能要求不 高，可以有效降低建網(wǎng)成本 業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上，用戶通過認(rèn)證 后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有 特殊要求 在認(rèn)證過程中，802.1x不用封裝幀到以太網(wǎng)中，效率相對 較高,8.2.5 防止IP地址盜用,1. 使用ARP命令 （1）使用操作系統(tǒng)的ARP命令 進(jìn)入“M

25、S-DOS方式”或“命令提示符”，在命令提示符下輸入 命令：ARP s 00-10-5C-AD-72-E3，即可把 MAC地址00-10-5C-AD-72-E3和IP地址捆綁在 一起 這樣，就不會(huì)出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò) 的情況發(fā)生,ARP命令僅對局域網(wǎng)上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效 當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除 如果采用Modem撥號(hào)上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用 ARP命令的參數(shù)的功能如下：ARP -s -d -a -s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子 -d：刪除相應(yīng)的I

26、P地址與物理地址的捆綁 -a：通過查詢ARP協(xié)議表顯示IP地址和對應(yīng)物理地址的情況,（2）使用交換機(jī)的ARP命令 例如，Cisco的二層和三層交換機(jī) 在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址 的IP地址 在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址 交換機(jī)支持靜態(tài)綁定和動(dòng)態(tài)幫綁定，一般采用靜態(tài)綁定 其綁定操作過程是：采用Telnet命令或Console口連接交換 機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入 綁定命令：arp 0010.5CAD.72E3 arpa；至此， 即可完成綁定 綁定的解除，在全局配置模式下輸入：no arp

27、,2. 使用802.1x的安全接入與Radius認(rèn)證 （1）采用IP和賬號(hào)綁定，防止靜態(tài)IP沖突 用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過認(rèn)證，該用戶與網(wǎng) 絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突 當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端 該用戶賬號(hào)和其IP做了綁定，認(rèn)證服務(wù)器對其不予通過認(rèn) 證，從而同樣不會(huì)造成IP沖突 當(dāng)用戶使用正確的賬號(hào)IP通過認(rèn)證后，再更改IP時(shí)， Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下 線，從而不會(huì)造成IP沖突,（2）采用客戶IP屬性校驗(yàn)，防止動(dòng)態(tài)IP沖突 用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP，而是

28、靜態(tài)指定 認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其 指定的IP不會(huì)與別的用戶IP沖突 當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該 用戶賬號(hào)的IP屬性是動(dòng)態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性 確是靜態(tài)IP，則認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣 不會(huì)造成IP沖突,8.2.6 802.1x+RADIUS的應(yīng)用案例,瑞星網(wǎng)絡(luò)版的防殺毒系統(tǒng),8.3 網(wǎng)絡(luò)病毒及防御,網(wǎng)絡(luò)邊界,防火墻和路由器應(yīng)用 使用網(wǎng)絡(luò)DMZ 構(gòu)建入侵檢測系統(tǒng) 路由器認(rèn)證技術(shù)及應(yīng)用,8.4 保護(hù)網(wǎng)絡(luò)邊界,8.4.1 防火墻和路由器應(yīng)用,邊界安全設(shè)備叫做防火墻 防火墻阻止試圖對組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入 網(wǎng)絡(luò)的活

29、動(dòng)，防止外部進(jìn)行拒絕服務(wù)（DoS，Denial of Service）攻擊，禁止一定范圍內(nèi)黑客利用Internet來探測 用戶內(nèi)部網(wǎng)絡(luò)的行為 阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來決定 防火墻也可以用來保護(hù)在Intranet中的資源不會(huì)受到攻擊 不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私 有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個(gè)段隔離開并進(jìn) 行保護(hù),雙防火墻體系結(jié)構(gòu),防火墻通常與連接兩個(gè)圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一 起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障 通常的做法是，將路由器設(shè)置為執(zhí)報(bào)文篩選和NAT，而讓防 火墻來完成特定的端口阻塞和報(bào)文檢查，這樣的配置將整體 上提高

30、網(wǎng)絡(luò)的性能 根據(jù)這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡單的方法就 是：首先阻塞所有的端口號(hào)并且檢查所有的報(bào)文，然后對需 要提供的服務(wù)有選擇地開放其端口號(hào) 通常來說，要想讓一臺(tái)Web服務(wù)器在Internet上僅能夠被匿 名訪問，只開放80端口（http協(xié)議）或443端口（httpsSSL 協(xié)議）即可,8.4.2 使用網(wǎng)絡(luò)DMZ,把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的 Intranet處于不同的子網(wǎng) 這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時(shí)，連接到Internet上的路由器 和防火墻就能對網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了 這樣，就證實(shí)了DMZ是一種安全性較高的措施；所以除了 Web服務(wù)器，還應(yīng)該考慮把E-

31、mail（SMTP/POP）服務(wù)器和 FTP服務(wù)器等，也一同放在DMZ中,8.4.3 構(gòu)建入侵檢測系統(tǒng),IDS Intrusion Detection Systems 入侵檢測系統(tǒng) 專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀 況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻 擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性,入侵檢測系統(tǒng)可分為基于網(wǎng)絡(luò)的IDS，基于主機(jī)的IDS、分 布式IDS和智能IDS 基于網(wǎng)絡(luò)的IDS適應(yīng)能力強(qiáng)，其開發(fā)難度略小于其他幾種 根據(jù)CIDF規(guī)范，一般從功能上將入侵檢測系統(tǒng)劃分為四個(gè) 基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子 系統(tǒng)、數(shù)據(jù)庫管理

32、子系統(tǒng)，如下圖所示,構(gòu)建入侵檢測系統(tǒng)建構(gòu)步驟,（1）獲取libpcap和tcpdump 審計(jì)蹤跡是IDS的數(shù)據(jù)來源，而數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的 基礎(chǔ)，否則，入侵檢測就無從談起 數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán) 境中獲取事件，并向其他部分提供事件 目前比較流行的做法是：使用libpcap和tcpdump，將網(wǎng)卡置 于“混雜”模式，捕獲某個(gè)網(wǎng)段上所有的數(shù)據(jù)流 libpcap和tcpdump在網(wǎng)上廣為流傳，可以到相關(guān)網(wǎng)站下載,libpcap是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備工具， 它是獨(dú)立于系統(tǒng)的API接口，為底層網(wǎng)絡(luò)監(jiān)控提供了一個(gè)可 移植的框架，可用于網(wǎng)絡(luò)統(tǒng)計(jì)

33、收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試 等應(yīng)用 tcpdump是用于網(wǎng)絡(luò)監(jiān)控的工具，是Unix上常用的sniffer 它的實(shí)現(xiàn)基于libpcap接口，通過應(yīng)用布爾表達(dá)式進(jìn)行過濾 轉(zhuǎn)換、包獲取和包顯示等功能,tcpdump可以幫助網(wǎng)管員描述系統(tǒng)的正常行為，并最終識(shí)別 出那些不正常的行為 當(dāng)然，它只是有益于收集關(guān)于某網(wǎng)段上的數(shù)據(jù)流（網(wǎng)絡(luò)流類 型、連接等）信息，至于分析網(wǎng)絡(luò)活動(dòng)是否正常，那是程 序員和管理員所要做的工作,（2）構(gòu)建并配置探測器，實(shí)現(xiàn)數(shù)據(jù)采集 應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備 如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可， 如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺(tái)性能較高

34、的 機(jī)器 在Linux服務(wù)器開出一個(gè)日志分區(qū)，用于采集數(shù)據(jù)的存儲(chǔ), 創(chuàng)建libpcap庫。從網(wǎng)上下載的通常都是libpcap.ta r.z的壓 縮包，所以，應(yīng)先將其解壓縮、解包，然后執(zhí)行配置腳 本，創(chuàng)建適合于自己系統(tǒng)環(huán)境的Makefile，再用make命 令創(chuàng)建ibpcap庫。libpcap安裝完畢之后，將生成一個(gè) libpcap庫三個(gè)include文件和一個(gè)man頁面（用戶手冊） 創(chuàng)建tcpdump。與創(chuàng)建libpcap的過程一樣，先將壓縮包 解壓縮、解包到與libpcap相同的父目錄下，然后配置、 安裝tcpdump,（3）建立數(shù)據(jù)分析模塊 數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，必須具備高度的“

35、智慧” 和“判斷能力” 所以，在設(shè)計(jì)此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏 洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究， 然后制訂出相應(yīng)的安全規(guī)則庫和安全策略；再分別建立濫 用檢測模型和異常檢測模型，讓機(jī)器模擬人腦的分析過 程，識(shí)別確知特征的攻擊和異常行為，最后將分析結(jié)果形 成報(bào)警消息，發(fā)送給控制管理中心,設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大，需要特別注意三個(gè)問題： 應(yīng)優(yōu)化檢測模型和算法的設(shè)計(jì)，確保系統(tǒng)的執(zhí)行效率 安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系 統(tǒng)的伸縮性 報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能 力，切忌隨意制訂消息格式的不規(guī)范做法,（4）構(gòu)建控制臺(tái)子系統(tǒng) 控制臺(tái)

36、子系統(tǒng)的主要任務(wù)有兩個(gè)： 管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù) 據(jù)采集分析中心發(fā)送過來的警報(bào)消息 根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法行為， 確保網(wǎng)絡(luò)的安全 控制臺(tái)子系統(tǒng)的設(shè)計(jì)重點(diǎn)是：警報(bào)信息查詢、探測器管 理、規(guī)則管理及用戶管理,（5）構(gòu)建數(shù)據(jù)庫管理子系統(tǒng) 模塊的數(shù)據(jù)來源有兩個(gè)： 數(shù)據(jù)分析子系統(tǒng)發(fā)來的報(bào)警信息及其他重要信息 管理員經(jīng)過條件查詢后對查詢結(jié)果處理所得的數(shù)據(jù)，如 生成的本地文件、格式報(bào)表等,（6）聯(lián)調(diào) 以上幾步完成之后，一個(gè)IDS的最基本框架已被實(shí)現(xiàn) 但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個(gè)部分之 間安全、順暢地通信和交互，這就是聯(lián)調(diào)工作所要解決的 問題

37、,首先，要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的通 信，二者之間是雙向的通信 控制管理中心顯示、整理數(shù)據(jù)采集分析中心發(fā)送過來的分 析結(jié)果及其他信息，數(shù)據(jù)采集分析中心接收控制管理中心 發(fā)來的配置、管理等命令 注意確保這二者之間通信的安全性，最好對通信數(shù)據(jù)流進(jìn) 行加密操作，以防止被竊聽或篡改 同時(shí)，控制管理中心的控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間 也有大量的交互操作，如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等 聯(lián)調(diào)通過之后，一個(gè)基本的IDS就搭建完畢 后面要做的就是不斷完善各部分功能，尤其是提高系統(tǒng)的 檢測能力,8.4.4 路由器認(rèn)證技術(shù)及應(yīng)用,1. OSPF協(xié)議 OSPF（Open Shortest Path

38、 First）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議 （IGP，Interior Gateway Protocol），用于在單一自治系 統(tǒng)（AS，Autonomous System）內(nèi)決策路由 與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向 量路由協(xié)議,2.OSPF基本配置舉例,由4臺(tái)Cisco 2621路由器組成的網(wǎng)絡(luò)互連拓?fù)洌缟蠄D所示 路由器之間的連接采用OSPF協(xié)議，組成3個(gè)區(qū)域 路由器子網(wǎng)IPv4地址設(shè)置,Router1: interface ethernet 0 ip address 29 92 interface serial 0 ip add

39、ress 52 router ospf 100 network area 0 network 28 3 area 1,Router2: interface ethernet 0 ip address 5 92 interface serial 0 ip address 52 router ospf 200 network area 0

40、 network 4 3 area 2,Router3: interface ethernet 0 ip address 30 92 router ospf 300 network 28 3 area 1,Router4: interface ethernet 0 ip address 6 92 router ospf 400 network 4 3 area 1,為了安全的原因，可以在相同OSPF區(qū)域的路由器上

41、啟用 身份驗(yàn)證的功能，只有經(jīng)過身份驗(yàn)證的同一區(qū)域的路由器 才能互相通告路由信息,3.使用身份驗(yàn)證,在默認(rèn)情況下OSPF不使用區(qū)域驗(yàn)證。通過兩種方法可啟 用身份驗(yàn)證功能，純文本身份驗(yàn)證和消息摘要(md5)身份 驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它 會(huì)被網(wǎng)絡(luò)探測器確定，所以不安全，不建議使用。而消息 摘要(md5)身份驗(yàn)證在傳輸身份驗(yàn)證口令前，要對口令進(jìn) 行加密，因此一般建議使用此種方法進(jìn)行身份驗(yàn)證 使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同 的身份驗(yàn)證方法。為起用身份驗(yàn)證，必須在路由器接口配 置模式下，為區(qū)域的每個(gè)路由器接口配置口令 如下表所示,身份驗(yàn)證案例,例1.使用純文

42、本身份驗(yàn)證： Router1: interface ethernet 0 ip address 29 92 interface serial 0 ip address 52 ip ospf authentication-key cisco router ospf 100 network area 0 network 28 3 area 1 area 0 authentication,Router2: interface eth

43、ernet 0 ip address 5 92 interface serial 0 ip address 52 ip ospf authentication-key cisco router ospf 200 network area 0 network 4 3 area 2 area 0 authentication,例2.消息摘要（md5）身份驗(yàn)證： Router1: interface ethernet 0 ip ad

44、dress 29 92 interface serial 0 ip address 52 ip ospf message-digest-key 1 md5 cisco router ospf 100 network area 0 network 28 3 area 1 area 0 authentication message-digest,Router2: interface ethernet 0 ip address 19

45、5 92 interface serial 0 ip address 52 ip ospf message-digest-key 1 md5 cisco router ospf 200 network area 0 network 4 3 area 2 area 0 authentication message-digest,8.5 訪問控制列表與應(yīng)用,ACL概貌 ACL配置 擴(kuò)展ACL ACL應(yīng)用,什么是ACL?,ACL是針對路

46、由器處理數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)的一組規(guī)則，路由器利 用這組規(guī)則來決定數(shù)據(jù)報(bào)允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā) 如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報(bào)，當(dāng) 網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報(bào)可以轉(zhuǎn)發(fā)那 些不可以 可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報(bào)： 源地址 目的地址 上層協(xié)議(例如：TCP & UDP端口號(hào)) ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對于一個(gè) 接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL,使用ACL檢測數(shù)據(jù)報(bào),為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報(bào)，路由器按照ACL中各條 語句的順序來依次匹配該數(shù)據(jù)報(bào) 當(dāng)數(shù)據(jù)報(bào)與一條語句的條件匹配了，則將忽略ACL中的剩 余所有語句的匹配處理，該數(shù)據(jù)報(bào)將按照當(dāng)前

47、語句的設(shè)定 來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理 在ACL的最后都有一條缺省的“deny any”語句,如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條 缺省的語句 ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改 其中的任何一條或幾條，只能全部重寫 因此，不要在路由器上直接編寫一個(gè)大型的ACL，最好使 用文字編輯器編寫好整個(gè)ACL后傳送到路由器上，傳送的 方法有多種：TFTP、HyperTerm的“Paste to Host”功能,路由器如何使用ACL（出站）,檢查數(shù)據(jù)報(bào)是否可以被路由，可路由地將在路由表中查詢 路由 檢查出站接口的ACL 如果沒有ACL，將數(shù)據(jù)報(bào)交換到出站的接口 如果有ACL

48、，按照ACL語句的次序檢測數(shù)據(jù)報(bào)直至有了匹 配條件，按照匹配條件的語句對數(shù)據(jù)報(bào)進(jìn)行數(shù)據(jù)報(bào)的允許 轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā) 如果沒有任何語句匹配，將怎樣？使用缺省的“deny any”(拒絕所有)語句,出站數(shù)據(jù)報(bào),進(jìn)行路由表的查詢,接口有ACL?,源地址匹配？,列表中的下一項(xiàng),更多的項(xiàng)目？,執(zhí)行條件,允許Permit,拒絕Deny,否,否,無,是,是,有,向源站發(fā)送ICMP信息,轉(zhuǎn)發(fā)數(shù)據(jù)報(bào),出站標(biāo)準(zhǔn)ACL處理流程,兩個(gè)基本的步驟（標(biāo)準(zhǔn)ACL）,在全局配置模式下按序輸入ACL語句 Router(config)#access-list access-list-number permit/deny test-c

49、onditions Lab-D(config)#access-list 1 deny 0 在接口配置模式中配置接口使用的ACL Router(config-if)#protocol access-group access-list- number in/out Lab-D(config-if)#ip access-group 1 out,access-list-number參數(shù),ACL有多種類型，access-list-number與ACL的類型有關(guān) 下表顯示了主要的一些ACL類型與access-list-number的 關(guān)系,Router(config)#a

50、ccess-list access-list-number permit/denytest-conditions,permit/deny參數(shù),Permit,Deny,向源站發(fā)送ICMP消息,轉(zhuǎn)發(fā)數(shù)據(jù)報(bào),在輸入了access-list命令并選擇了正確的 access-list-number 后，需要使用permit或 deny參數(shù)來選擇希望路由器采取 的動(dòng)作,Router(config)#access-list access-list-number permit/denytest-conditions,Lab-A(config)#access-list 1 deny 0 0.0

51、.0.0,IP地址,通配符掩碼,test-conditions參數(shù),Router(config)#access-list access-list-number permit/denytest-conditions,在ACL的test conditions部分，需要根據(jù)存取列表的不同輸 入不同的參數(shù) 使用最多的是希望控制的IP地址和通配符掩碼 IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址 路由器使用通配符掩碼來決定檢查地址的哪些位,通配符掩碼,通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪 些位 通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表 示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完

52、全不同的 0 二進(jìn)制方式的表示如下： 11000000.00000101.00000101.00001010 (源地址) 00000000.00000000.00000000.00000000 (通配符掩碼),通配符掩碼練習(xí),之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng) 掩碼，這需要一段時(shí)間掌握 計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼： 答案： 55 這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反 注意：針對整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般 都是這樣的,計(jì)算表示下列子網(wǎng)中所

53、有節(jié)點(diǎn)的通配符掩碼： 2 24 答案是：2 1 1與24正好相反 二進(jìn)制的形式 11111111.11111111.11111111.11100000 (24) 00000000.00000000.00000000.00011111 (1) 為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點(diǎn)地址 5 11000000.00000101.00000101.00110111 (5) 節(jié)點(diǎn)地址 11000000.

54、00000101.00000101.00100000 (2) IP地址 00000000.00000000.00000000.00011111 (1)通配符掩碼,在下面的例子中，藍(lán)色的位是必須匹配檢查的位 11000000.00000101.00000101.00110111 (5) 節(jié)點(diǎn)地址 11000000.00000101.00000101.00100000 (2) 控制的ip 地址 00000000.00000000.00000000.00011111 (1) 通配符掩碼 必須牢記：通配符掩碼中為“0”的

55、位表示需要檢查的位，為 “1”的位表示忽略檢查的位 在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報(bào)的源地 址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明 兩者匹配 針對掩碼為92的4子網(wǎng)的控制IP地址和 通配符掩碼? 答案：4 3,針對掩碼為的子網(wǎng)的控制IP地址 和通配符掩碼? 答案： 55 針對掩碼為的子網(wǎng)的控制IP地址和 通配符掩碼? 答案： 0.

56、0.3.255 針對掩碼為的子網(wǎng)的控制IP地址和通 配符掩碼? 答案： 55,控制一段地址范圍內(nèi)的節(jié)點(diǎn),計(jì)算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控 制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí) 為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行 計(jì)算 例如：學(xué)生使用到27地址范圍，教師使用 28到55地址范圍。這些地址處在相同的 網(wǎng)絡(luò)中/24 怎樣來計(jì)算？,對于學(xué)生使用的地址范圍 首先，以二進(jìn)制方式寫出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。 由于前三個(gè)8位組

57、是相同的，所以可以忽略它們，在通配 符掩碼中相應(yīng)的位必須為“0” 第一個(gè)地址：00000000最后一個(gè)地址：01111111 其次，查找前面的兩者相同的位(下圖的藍(lán)色部分) 0000000001111111 這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行 匹配檢驗(yàn),第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127) 最后，決定控制的IP地址和通配符掩碼 控制的IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地 址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址 相對于上述相同的位在通配符掩碼中為“0” 27 對于教師部分地址： 28 (100

58、00000) 到 55 (11111111) 答案：28 27 請思考兩者的不同,控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址 和通配符掩碼？ 答案： 54 控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址 和通配符掩碼？ 答案： 54,any命令,由于ACL末尾都有一個(gè)隱含的“deny any”語句，需要在 ACL前面部分寫入其他“允許”的語句 使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允 許，需要如下兩條語句： Lab-A(config)#access-list 1 deny