通信系统综合应用实践_第6章_网络安全技术

1、1 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。 2保护园区网络安全二：访问控制列表安全技术 3保护园区网络安全4复杂程度复杂程度Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间5第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击

2、第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球网波及全球网络基础架构络基础架构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1980s1990s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快6网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广

3、泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。7（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 （2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国

4、家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。8常见的攻击措施主要有：获取网络口令放置特洛伊木马程序 WWW欺骗技术 电子邮件攻击 通过一个节点来

5、攻击其他节点 拒绝服务攻击 网络监听 寻找系统漏洞 利用账号进行攻击 偷取特权 90%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击10攻击工具体系化攻击工具体系化11 全球超过26万黑客站点, 提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理12大量的攻击工具随手拾来大量的攻击工具随手拾来13现有网

6、络安全现有网络安全防御体制防御体制入侵检测系统IDSIDS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%1415保护园区网络安全二：访问控制列表技术 16ISP ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。FTP17RG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒18 定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）

7、第二步：将规则应用在设备接口上 访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务19 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out）20 一切未被允许的就是禁止的 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”21Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配

8、是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N22 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类23 标准访问列表 只根据源IP地址，进行数据包的过滤。8、标准列表规则定义24 1）定义标准ACLRouterRouter(config)# access-list permit |deny 源地址 反掩码SwitchSwitch(config)# Ip access-list permit |deny 源地址 反掩码 反掩码是一个32比特位。其中0表示“检查

9、相应的位”，1表示“不检查相应的位”。 55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。 表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 2）应用ACL到接口RouterRouter(config-if)#ip access-group in | out 25Router(config) #access-list 1 permit access-list 1 permit 555Router(config) #access-list

10、1 deny 55access-list 1 deny 55Router(config) #interface serial 0interface serial 0Router(config-if) #ip access-group 1 outip access-group 1 outF0S0F1Internet只允许网络中的计算机访问互联网络 阻止5主机通过E0访问网络，而允许其他的机器访问Router（config） # access-list 1 deny host 5Router（config） # access-list 1 permit anyRouter（config） # interface ethernet 1/1Router（config-if） # ip access-group