锐捷认证网络工程师RCNA第9章 园区网的安全设计

1、 本章内容网络安全隐患交换机端口安全ip访问列表 课程议题网络安全隐患交换机端口安全ip访问列表 复杂程度复杂程度internet 技术的飞速增长internet emailweb 浏览intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间网络安全风险针对网络通讯层的攻击通讯通讯 & 服务层服务层针对操作系统的攻击操作系统操作系统针对应用服务的攻击应用服务程序应用服务程序sap r/3外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织额外的不安全因素网络的普及使学习网络进攻变得容易第一代第一代引导性病毒引导性病毒第二代第二代宏病毒宏病毒dos电子邮件

2、电子邮件有限的黑客有限的黑客攻击攻击第三代第三代网络网络dos攻击攻击混合威胁（混合威胁（蠕虫蠕虫+病毒病毒+特洛伊）特洛伊）广泛的系统广泛的系统黑客攻击黑客攻击下一代下一代网络基础网络基础设施黑客设施黑客攻击攻击瞬间威胁瞬间威胁大规模蠕大规模蠕虫虫ddos破坏有效破坏有效负载的病负载的病毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化现有网络安全现有网络安全

3、防御体制防御体制现有网络安全体制课程议题网络安全隐患交换机端口安全ip访问列表 交换机端口安全交换机端口安全配置安全端口 配置安全端口端口安全配置示例端口安全配置示例验证命令验证命令查看安全地址信息。课程议题网络安全隐患交换机端口安全ip访问列表 isp什么是访问列表 为什么要使用访问列表可以是路由器或三层交换机或防火墙接入层交换机接入层交换机rg-s2126核心交换机核心交换机rg-s3512g /rg-s4009服务器群服务器群路由器路由器rg-nbr1000internet交交换换机机堆堆叠叠接入层交换机接入层交换机rg-s2126不同部门所属不同部门所属vlan不同不同12221112

4、技术部技术部vlan20财务部财务部vlan10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒wwwemailftp为什么要使用访问列表访问列表的组成 访问列表规则的应用访问列表的入栈应用ny是否允许是否允许?y是否应用是否应用访问列表访问列表?n查找路由表查找路由表进行选路转发进行选路转发以icmp信息通知源发送方以icmp信息通知源发送方ny选择出口选择出口s0路由表中是否路由表中是否存在记录存在记录?ny查看访问列表查看访问列表的陈述的陈述是否允许是否允许?y是否应用是否应用访问列表访问列表?ns0s0 访问列表的出栈应用ip acl的基本准则y拒绝拒绝y是否匹配是否匹配测试条件测试条件1

5、?允许允许n拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?yynyy允许允许被系统隐被系统隐含拒绝含拒绝n 一个访问列表多个测试条件访问列表规则的定义源地址源地址tcp/udp数据数据ipeg.hdlc1-99 号列表号列表 ip标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 tcp/udp数据数据ipeg.hdlc ip扩展访问列表00111111128643216842100000000000011111111110011111111 反掩码（通配符） ip标准访问列表的配置access

6、-list 1 permit 55(access-list 1 deny 55)interface serial 0ip access-group 1 outf0s0f1 ip标准访问列表配置实例 ip扩展访问列表的配置 ip扩展访问列表配置实例access-list 115 deny udp any any eqaccess-list 115 deny udp any any eq 69 69 access-list 115 deny tcp any an

7、y eqaccess-list 115 deny tcp any any eq 135 135access-list 115 deny udp any any eqaccess-list 115 deny udp any any eq 135 135access-list 115 deny udp any any eqaccess-list 115 deny udp any any eq 137 137access-list 115 deny udp any any eqaccess-list 115 deny udp any any eq 138 138access-list 115 den

8、y tcp any any eqaccess-list 115 deny tcp any any eq 139 139access-list 115 deny udp any any eqaccess-list 115 deny udp any any eq 139 139access-list 115 deny tcp any any eqaccess-list 115 deny tcp any any eq 445 445access-list 115 deny tcp any any eqaccess-list 115 deny tcp any any eq 593 593access-list 115 deny tcp any any eqaccess-list 115 deny tcp any any eq 4444 4444access-list 115 permit ipaccess-list 115 permit ip any any any any interface interfac