1、網(wǎng)絡安全控制,本章內(nèi)容,ACL ARP檢查 DHCP監(jiān)聽 DAI,課程議題,ACL提供網(wǎng)絡安全,ACL概述,什么是ACL ACL是對經(jīng)過路由器與交換機的數(shù)據(jù)進行過濾的一種強大的訪問控制工具 ACL的作用 拒絕、允許特定的數(shù)據(jù)流通過網(wǎng)絡設備 防止攻擊 訪問控制 節(jié)省帶寬 對特定的數(shù)據(jù)流、報文、路由條目等進行匹配和標識，以用于其它目的 路由過濾 QoS Route-map ,ACL的分類,根據(jù)過濾層次 基于IP的ACL（IP ACL） 基于MAC的ACL（MAC ACL） 專家ACL（Expert ACL） 根據(jù)過濾字段（元素） 標準ACL（標準IP ACL） 擴展ACL（擴展IP ACL、MAC

2、 ACL、專家ACL） 根據(jù)命名規(guī)則 編號ACL 名稱ACL,ACL的工作機制,ACL的工作機制 由一組訪問控制規(guī)則組成（ACL規(guī)則） 網(wǎng)絡設備根據(jù)ACL規(guī)則檢查收到或發(fā)送的報文，并采取相應操作 ACL規(guī)則匹配順序 從上至下 當報文匹配某條規(guī)則后，將執(zhí)行操作，跳出匹配過程 任何ACL的默認操作是“拒絕所有”,ACL的應用,定義ACL 定義ACL規(guī)則 將ACL應用到網(wǎng)絡設備的接口 ACL的應用規(guī)則 接口的一個方向只能應用一個ACL In方向：對接口收到的數(shù)據(jù)進行檢查 Out方向：對從接口發(fā)送出去的數(shù)據(jù)進行檢查 ACL不對本地生成的外出的數(shù)據(jù)進行檢查！,標準IP ACL,編號規(guī)則 199和1300

3、1399 過濾元素 僅源IP地址信息 用于簡單的訪問控制、路由過濾等,配置標準IP ACL,配置ACL規(guī)則,access-list access-list-number permit | deny any | source source-wildcard time-range time-range-name ,Router(config)#,應用ACL,ip access-group access-list-number in | out ,Router(config-if)#,in表示應用到接口的入方向，對收到的報文進行檢查 out表示應用到接口的外出方向，對發(fā)送的報文進行檢查,標準IP A

4、CL配置示例,要求網(wǎng)段的主機不可以訪問服務器，其它主機訪問服務器不受限制。,擴展IP ACL,編號規(guī)則 100199和20002699 過濾元素 源IP地址、目的IP地址、協(xié)議、源端口、目的端口 用于高級的、精確的訪問控制,配置擴展IP ACL,配置ACL規(guī)則,access-list access-list-number deny | permit protocol any | source source-wildcard operator port any | destination destination-wildcard ope

5、rator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ,Router(config)#,應用ACL,ip access-group access-list-number in | out ,Router(config-if)#,擴展IP ACL配置示例,為公司的文件服務器，要求網(wǎng)段中的主機能夠訪問中的FTP服務和WEB服務，而對服務器的其它服務禁止訪問。,名稱IP ACL,配置標準名稱ACL,ip access-li

6、st standard name | access-list-number ,Router(config)#,應用ACL,ip access-group access-list-number in | out ,Router(config-if)#,配置ACL規(guī)則, permit | deny any | source source-wildcard time-range time-range-name ,Router(config-std-nacl)#,名稱IP ACL（續(xù)）,配置擴展名稱ACL,ip access-list extended name | access-list-numbe

7、r ,Router(config)#,應用名稱ACL,ip access-group name in | out ,Router(config-if)#,配置ACL規(guī)則, permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment ,Router(config-ext-nacl)#,名稱IP ACL配置示例,基于MAC的ACL,

8、標識方式 編號：700799 名稱 過濾元素 源MAC地址、目的MAC地址、以太網(wǎng)類型,配置MAC ACL,配置MAC ACL,mac access-list extended name | access-list-number ,Switch(config)#,應用MAC ACL,mac access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL規(guī)則, permit | deny any | host source-mac-address any | host destination-mac-addres

9、s ethernet-type time-range time-range-name ,Switch(config-mac-nacl)#,MAC ACL配置示例,只允許財務部的主機（000a-000a-000a）能夠訪問財務服務器（000d-000d-000d） 。,MAC ACL配置示例,專家ACL,標識方式 編號：27002899 名稱 過濾元素 源MAC地址、目的MAC地址、以太網(wǎng)類型、源IP地址、目的IP地址、協(xié)議、源端口、目的端口 用于復雜的、高級的訪問控制,配置專家ACL,配置專家ACL,expert access-list extended name | access-list-

10、number ,Switch(config)#,應用MAC ACL,expert access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL規(guī)則, permit | deny protocol | ethernet-type VID vid any | source source-wildcard host source-mac-address | any operator port any | destination destination-wildcard host destination-mac-ad

11、dress | any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ,Switch(config-exp-nacl)#,專家ACL配置示例,只允許財務部的主機（000a-000a-000a）能夠訪問財務服務器（000d-000d-000d）的TCP 5555端口 。,專家ACL配置示例,基于時間的ACL,基于時間的ACL 對于不同的時間段實施不同的訪問控制規(guī)則 在原有ACL的基礎上應用時間段 任何類型的ACL都可以應用時間段 時間段 絕對時間段（absolut

12、e） 周期時間段（periodic） 混合時間段,配置時間段,配置時間段,time-range time-range-name,Router(config)#,配置絕對時間,absolute start time date end time date | end time date ,Router(config-time-range)#,start time date：表示時間段的起始時間。time表示時間，格式為“hh:mm”。date表示日期，格式為“日 月 年” end time date：表示時間段的結束時間，格式與起始時間相同 示例：absolute start 08:00 1 Ja

13、n 2007 end 10:00 1 Feb 2008,配置時間段（續(xù)）,配置周期時間,periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm,Router(config-time-range)#,day-of-the-week：表示一個星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sunday hh:mm：表示時間 weekdays：表示周一到周五 weeken

14、d：表示周六到周日 daily：表示一周中的每一天 示例：periodic weekdays 09:00 to 18:00,配置時間段（續(xù)）,應用時間段 在ACL規(guī)則中使用time-range參數(shù)引用時間段 只有配置了time-range的規(guī)則才會在指定的時間段內(nèi)生效，其它未引用時間段的規(guī)則將不受影響 確保設備的系統(tǒng)時間的正確！,基于時間的ACL配置示例,在上班時間（9：0018：00）不允許員工的主機（/24）訪問Internet，下班時間可以訪問Internet上的Web服務。,ACL的修改和維護,傳統(tǒng)編號ACL的修改問題 新規(guī)則添加到ACL的末尾 刪除所有ACL規(guī)則重

15、新編寫 導出配置文件進行修改 將ACL規(guī)則復制到編輯工具進行修改 ACL配置模式 使用ip access-list命令進入ACL配置模式 可以刪除特定的ACL規(guī)則 在任意位置插入新的ACL規(guī)則,添加和刪除ACL規(guī)則,添加ACL規(guī)則,sequence-number permit | deny ,Router(config-ext-nacl)#,sequence-number ：規(guī)則在ACL中的序號，即排序的位置 默認根據(jù)序號從小到大進行排序,刪除ACL規(guī)則,no sequence-number,Router(config-ext-nacl)#,添加ACL規(guī)則配置示例,刪除ACL規(guī)則配置示例,AC

16、L規(guī)則的重編號,ip access-list resequence name | access-list-number starting-sequence-number increment-number,Router(config)#,starting-sequence-number：ACL規(guī)則的起始序號值，默認為10 increment-number：ACL規(guī)則的遞增序號值，默認為10,mac access-list resequence name | access-list-number starting-sequence-number increment-number,expert ac

17、cess-list resequence name | access-list-number starting-sequence-number increment-number,ACL規(guī)則重編號配置示例,查看ACL信息,show running-config,Router#,show access-lists name | access-list-number ,查看ACL配置信息,查看ACL配置信息示例,查看ACL信息（續(xù)）,show access-group interface interface ,Router#,查看所有ACL的應用信息,show ip access-group int

18、erface interface ,Router#,查看IP ACL的應用信息,show mac access-group interface interface ,Router#,查看MAC ACL的應用信息,show expert access-group interface interface ,Router#,查看專家ACL的應用信息,查看ACL信息示例,課程議題,ARP檢查,ARP協(xié)議,ARP的作用 將IP地址映射到MAC地址,ARP欺騙攻擊,ARP的弱點 ARP無驗證機制，請求者不能判斷收到的ARP應答是否合法,ARP中間人攻擊,ARP中間人攻擊 攻擊者不但偽造網(wǎng)關，而且進行數(shù)據(jù)重

19、定向,ARP檢查,ARP檢查的作用 防止ARP欺騙 基于端口安全 檢查ARP報文中的IP地址是否合法，若不合法，則丟棄報文,配置ARP檢查,手工恢復端口狀態(tài),port-security arp-check,Switch(config)#,啟用端口安全,switchport port-security,Switch(config-if)#,默認情況下，關閉ARP檢查功能,配置安全IP地址,switchport port-security mac-address mac-address ip-address ip-address,Switch(config-if)#,這里配置的ip-address

20、為端口所接入設備的真實IP地址,ARP檢查配置示例,查看ARP檢查狀態(tài),查看ARP檢查狀態(tài),show port-security arp-check,Switch#,查看ARP檢查示例,課程議題,DHCP監(jiān)聽,DHCP攻擊,DHCP的弱點 DHCP無驗證機制 DHCP攻擊 攻擊者使用偽DHCP服務器為網(wǎng)絡分配地址 攻擊者可以發(fā)動一個DHCP DoS攻擊,DHCP攻擊（續(xù)）,DHCP Snooping,DHCP Snooping的作用 過濾偽（非法）DHCP服務器發(fā)送的DHCP報文 DHCP Snooping的工作機制 信任（Trust）端口 允許所有DHCP報文通過 非信任（Untrust）端

21、口 只允許DHCP Discovery、DHCP Request報文通過，過濾DHCP Offer報文 建立DHCP監(jiān)聽數(shù)據(jù)庫 包含客戶端的IP地址、MAC地址、連接的端口、VLAN號、地址租用期限等信息,DHCP Snooping的部署,信任（Trust）端口 用于連接合法的DHCP服務器和上行鏈路端口 非信任（Untrust）端口 用于連接DHCP客戶端和其它接入端口,配置DHCP Snooping,啟用DHCP Snooping,ip dhcp snooping,Switch(config)#,配置端口為信任端口,ip dhcp snooping trust,Switch(config-

22、if)#,默認情況下，關閉DHCP Snooping,默認情況下，所有端口都為Untrust端口,配置DHCP Snooping（續(xù)）,手工配置DHCP Snooping表項,ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface,Switch(config)#,將DHCP Snooping數(shù)據(jù)庫寫入到Flash文件,ip dhcp snooping database write-to-flash,Switch(config)#,默認情況下，關閉DHCP Snooping,DHCP監(jiān)

23、聽數(shù)據(jù)庫的信息是動態(tài)的，通過寫入Flash，可以避免由于系統(tǒng)的重新啟動導致數(shù)據(jù)庫中的信息丟失,配置DHCP Snooping（續(xù)）,配置自動寫入DHCP Snooping綁定信息,ip dhcp snooping database write-delay seconds,Switch(config)#,配置驗證Untrust端口檢查DHCP報文的源MAC地址,ip dhcp snooping verify mac-address,Switch(config)#,默認情況下，不檢查DHCP報文的源MAC地址 可以避免攻擊者發(fā)送偽造源MAC地址的DHCP報文，導致DHCP DoS攻擊,DHCP S

24、nooping配置示例,查看DHCP Snooping狀態(tài),查看DHCP Snooping配置信息,show ip dhcp snooping,Switch#,查看DHCP Snooping數(shù)據(jù)庫信息,show ip dhcp snooping binding,Switch#,此信息將顯示動態(tài)與靜態(tài)的綁定表項 只有Untrust端口才會存在綁定表項,清除DHCP Snooping數(shù)據(jù)庫,clear ip dhcp snooping binding,Switch#,靜態(tài)的綁定表項不會被刪除,查看DHCP Snooping狀態(tài)示例,課程議題,DAI,DAI概述,DAI（Dynamic ARP Inspection） 與ARP檢查一樣，用于防止ARP欺騙 ARP檢查需要靜態(tài)配置安全地址 不適用于動態(tài)IP地址環(huán)境 不適用與移動環(huán)境 DAI依賴于DHCP Snooping數(shù)據(jù)庫 要使用DAI，需要部署DHCP環(huán)境 DAI Trust端口 不檢查ARP報文 DAI Untrust端口 檢查所有收到的ARP報文,DAI部署,Trust端口 連接交換機間的上行鏈路