CCNA第10章-安全.ppt

第10章安全 网络安全的威胁类内部威胁 根据加利福尼亚计算机安全学会的数据近60 80 的网络滥用事件源自内部网络 1内部威胁原因 内部用户了解网络及其可用资源 内部用户由于工作性质而具有相应等级的网络访问权限传统的网络安全机制 如入侵防御系统 ips 和防火墙对源自内部的大多数网络滥用是无效的 2外部威胁原因 因为外部攻击者可能不太熟悉网络 所以攻击的性质更趋于技术性 例如 攻击者可以对网络进行IP扫描 以识别响应连续PING扫描的IP地址等 本章主要介绍能抵御大多数外部威胁的安全机制 封闭式网络 来自网络内部的攻击仍然是一种威胁 开放式网络 威胁能力 更危险 更易于使用 网络安全的三个主要目标 机密性完整性可用性 敌人 敌人动机及攻击类别 常见威胁 物理安装硬件威胁环境危胁电气威胁维护威胁侦测攻击 通过易于获取的信息和应用程序获悉目标网络的相关信息访问攻击 出于以下原因攻击网络或系统 检索数据获得访问权提升其访问权限密码攻击 黑客用于破解易攻击密码的工具 认识安全威胁 一机密性攻击1Ping扫描与端口扫描2垃圾搜寻3窃听4社会工程学等等二完整性攻击1salami攻击2数据欺骗3机器人网络4支持会话5密码攻击 特洛伊木马 分组捕获 键盘记录 暴力破解 字典攻击等 三可用性攻击1拒绝服务 DOS 2分布式拒绝服务 DDOS 3TCPSYN泛洪4ICMP攻击等 访问控制列表ACL ACL概述ACL的工作过程ACL分类ACL配置翻转掩码标准ACL的配置扩展ACL的配置命名 Named ACL的配置使用ACL控制虚拟终端 VTY 的访问 访问控制列表 AccessControlList ACL 应用在路由器接口的指令列表指定哪些数据报可以接收 哪一些需要拒绝ACL用途 1 限制网络流量 提高网络性能 2 提供对通信流量的控制手段 3 提供网络访问的基本安全手段 4 在路由器 交换机 接口处 决定哪种类型的通信流量被转发 哪种被阻塞 ACL概述 ACL的工作过程 ACL的操作过程入站访问控制操作过程出站访问控制操作过程ACL的逻辑测试过程 入站访问控制操作过程 相对网络接口来说 从网络上流入该接口的数据包 为入站数据流 对入站数据流的过滤控制称为入站访问控制 如果一个入站数据包被访问控制列表禁止 deny 那么该数据包被直接丢弃 discard 只有那些被ACL允许 permit 的入站数据包才进行路由查找与转发处理 入站访问控制节省了那些不必要的路由查找转发的开销 出站访问控制操作过程 从网络接口流出的网络数据包 称为出站数据流 出站访问控制是对出站数据流的过滤控制 那些被允许的入站数据流需要进行路由转发处理 在转发之前 交由出站访问控制进行过滤控制操作 入站接口数据包 N Y 数据包丢弃桶 选择网络接口 N 接口是否使用ACL 路由表是否存在该路由 Y 出站接口 数据包 S0 出站访问控制操作过程 续 N Y N 数据包 访问控制列表逻辑测试 是否允许 Y Y S0 E0 出站访问控制操作过程 续 入站接口数据包 路由表是否存在该路由 选择网络接口 接口是否使用ACL 数据包丢弃桶 数据包 出站接口 通知发送者 如果逻辑测试没有任何匹配 则丢弃数据包 N Y N Y Y 丢弃数据包 N 数据包 S0 E0 出站访问控制操作过程 续 入站接口数据包 路由表是否存在该路由 选择网络接口 接口是否使用ACL 数据包丢弃桶 数据包 出站接口 访问控制列表逻辑测试 是否允许 ACL的逻辑测试过程 数据报文 报文丢弃桶 Y 目的接口 Deny Deny Y 匹配第一条规则 Permit Y Deny Deny Y Permit N Deny Permit 匹配下一条规则 Y Y ACL的逻辑测试过程 数据报文 目的接口 报文丢弃桶 匹配第一条规则 Y Deny Deny Y Permit N Deny Permit Deny 匹配最后一条规则 Y Y N Y Y Permit ACL的逻辑测试过程 数据报文 目的接口 报文丢弃桶 匹配下一条规则 匹配第一条规则 Y Deny Y Permit N Deny Permit Deny Y Y N Y Y Permit 强制丢弃 若无任何匹配则丢弃 Deny N ACL的逻辑测试过程 数据报文 目的接口 报文丢弃桶 匹配第一条规则 匹配下一条规则 匹配最后一条规则 范围 标识 IP 1 99 1300 1999100 199 2000 2699Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed ACL类型 IPX ACL分类 标准IPACL 1到99 根据IP报文的源地址测试扩展IPACL 100到199 可以测试IP报文的源 目的地址 协议 端口号 源地址 段Segment 例如 TCP首部 数据Data 报文Packet IP首部 帧Frame首部 例如 HDLC Deny Permit 使用ACL规则语句1 99 标准ACL 目的地址 源地址 协议 例如TCP 端口号 使用ACL规则语句100 199 Deny Permit 扩展ACL 帧Frame首部 例如 HDLC 报文Packet IP首部 段Segment 例如 TCP首部 数据Data 第一步 创建ACL Router config access listaccess list number permit deny testconditions 第二步 将ACL绑定到指定接口 Router config if protocol access groupaccess list number in out ACL配置 0代表检查对应地址位的值1代表忽略对应地址位的值 donotcheckaddress ignorebitsinoctet 0 0 0 0 0 0 0 0 ignorelast6addressbits checkalladdressbits matchall ignorelast4addressbits checklast2addressbits 示例 翻转掩码 例如 172 30 16 290 0 0 0表示检查所有的地址位可以使用关键字host将上语句简写为 host172 30 16 29 测试条件 检查所有的地址位 matchall 172 30 16 29 0 0 0 0 一个IPhost关键字的示例如下 反转掩码 host关键字 接受任何地址 0 0 0 0255 255 255 255可以使用关键字any将上语句简写为 any 测试条件 忽略所有的地址位 matchany 0 0 0 0 255 255 255 255 任何IP地址 反转掩码 any关键字 标准ACL的配置 access listaccess list number permit deny source mask Router config 为访问控制列表增加一条测试语句标准IPACL的参数access list number取值范围从1到99或1300到1999缺省反转掩码 0 0 0 0 noaccess listaccess list number 命令删除指定号码的ACL access listaccess list number permit deny source mask Router config 在特定接口上启用ACL设置测试为入站 in 控制还是出站 out 控制缺省为出站 out 控制 noipaccess groupaccess list number 命令在特定接口禁用ACL Router config if ipaccess groupaccess list number in out 为访问控制列表增加一条测试语句标准IPACL的参数access list number取值范围从1到99缺省反转掩码 0 0 0 0 noaccess listaccess list number 命令删除指定号码的ACL 标准ACL的配置 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准ACL例1 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 只允许本机所在网络访问 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准ACL例1 拒绝特定主机的访问 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0 标准ACL例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 拒绝特定主机的访问 标准ACL例2 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准ACL例2 拒绝特定主机的访问 拒绝特定子网的访问 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 标准ACL例2 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准ACL例2 拒绝特定子网的访问 扩展ACL的配置 Router config 为扩展IPACL增加一条测试语句Eq 等于lt 小于gt 大于neq 不等于Establisted用与TCP入站访问控制列表 意义在于允许TCP报文在建立了一个确定的连接后 后继报文可以通过Log向控制台发送一条规则匹配的日志信息 access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log Router config if ipaccess groupaccess list number in out Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 扩展ACL的配置 为扩展IPACL增加一条测试语句 在特定接口上启用扩展ACL 禁止子网172 16 3 0中任何主机访问172 16 4 13上的ftp服务允许其他任何服务 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 扩展ACL例1 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 扩展ACL例1 禁止子网172 16 3 0中任何主机访问172 16 4 13上的ftp服务允许其他任何服务 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 扩展ACL例1 禁止子网172 16 3 0中任何主机访问172 16 4 13上的ftp服务允许其他任何服务 禁止172 16 4 0网段的主机远程登录 telnet 到172 16 3 0网段的任何机器允许其他任何数据通过 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23 扩展ACL例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall 扩展ACL例2 禁止172 16 4 0网段的主机远程登录 telnet 到172 16 3 0网段的任何机器允许其他任何数据通过 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 扩展ACL例2 禁止172 16 4 0网段的主机远程登录 telnet 到172 16 3 0网段的任何机器允许其他任何数据通过 命名 Named ACL的配置 Router config ipaccess list standard extended name CiscoIOSRelease11 2以后的新增特性 字符串名称必须唯一 Router config ipaccess list standard extended name permit deny ipaccesslisttestconditions permit deny ipaccesslisttestconditions no permit deny ipaccesslisttestconditions Router config std ext nacl 配置permit和deny语句的时候不需在前面指定ACL号码 no 命令删除指定的命名ACL测试语句 命名 Named ACL的配置 CiscoIOSRelease11 2以后的新增特性 字符串名称必须唯一 Router config ipaccess list standard extended name Router config std ext nacl permit deny ipaccesslisttestconditions permit deny ipaccesslisttestconditions no permit deny ipaccesslisttestconditions Router config if ipaccess groupname in out 在特定接口上启用命名ACL 命名 Named ACL的配置 CiscoIOSRelease11 2以后的新增特性 字符串名称必须唯一 配置permit和deny语句的时候不需在前面指定ACL号码 no 命令删除指定的命名ACL测试语句 交换机端口访问控制列表 1仅可以在交换机第二层接口上应用端口访问控制列表 2只能把它们应用在接口的入口列表上 并且只能用命名的列表 3支持的访问列表标准访问列表扩展访问列表MAC扩展访问列表 交换端口访问控制列表命令 S1 config macaccess listextended名子S1 config ext mac1 deny 或permit S1 config ext mac1 permitanyanyS1 config ext mac1 interfacefa0 1S1 config if macaccess group名子in 在靠近源地址的网络接口上设置扩展ACL在靠近目的地址的网络接口上设置标准ACL E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A C 设置ACL的位置 建议 D wg ro a showipinte0Ethernet0isup lineprotocolisupInternetaddressis10 1 1 11 24Broadcastaddressis255 255 255 255AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabledIPFeatureFastswitchingturbovectorIPmulticastfastswitchingisenabledIPmulticastdistributedfastswitchingisdisabled 查看特定接口启用的ACL配置 查看ACL测试语句 wg ro a showaccess listsStandardIPaccesslist1permit10 2 2 1permit10 3 3 1permit10 4 4 1permit10 5 5 1ExtendedIPaccesslist101permittcphost10 22 22 1anyeqtelnetpermittcphost10 33 33 1anyeqftppermittcphost10 44 44 1anyeqftp data wg ro a show protocol access list access li