高职大赛培训网络安全控制

1、网络安全控制第一页，共六十八页。本章内容ACLARP检查DHCP监听DAI第二页，共六十八页。课程议题ACL提供网络安全第三页，共六十八页。ACL概述什么是ACLACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具ACL的作用拒绝、允许特定的数据流通过网络设备防止攻击访问控制节省带宽对特定的数据流、报文、路由条目等进行匹配和标识，以用于其它目的路由过滤QoSRoute-map第四页，共六十八页。ACL的分类根据过滤层次基于IP的ACL（IP ACL）基于MAC的ACL（MAC ACL）专家ACL（Expert ACL）根据过滤字段（元素）标准ACL（标准IP ACL）扩展ACL（

2、扩展IP ACL、MAC ACL、专家ACL）根据命名规则编号ACL名称ACL第五页，共六十八页。ACL的工作机制ACL的工作机制由一组访问控制规则组成（ACL规则）网络设备根据ACL规则检查收到或发送的报文，并采取相应操作ACL规则匹配顺序从上至下当报文匹配某条规则后，将执行操作，跳出匹配过程任何ACL的默认操作是“拒绝所有”第六页，共六十八页。ACL的应用定义ACL定义ACL规则将ACL应用到网络设备的接口ACL的应用规则接口的一个方向只能应用一个ACLIn方向：对接口收到的数据进行检查Out方向：对从接口发送出去的数据进行检查ACL不对本地生成的外出的数据进行检查！第七页，共六十八页。标

3、准IP ACL编号规则199和13001399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等第八页，共六十八页。配置标准IP ACL配置ACL规则access-list access-list-number permit | deny any | source source-wildcard time-range time-range-name Router(config)#应用ACLip access-group access-list-number in | out Router(config-if)#in表示应用到接口的入方向，对收到的报文进行检查out表示应用到接口的外出方向，

4、对发送的报文进行检查第九页，共六十八页。标准IP ACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。 第十页，共六十八页。扩展IP ACL编号规则100199和20002699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制第十一页，共六十八页。配置扩展IP ACL配置ACL规则access-list access-list-number deny | permit protocol any | source source-wildcard operator port any | destination destination-wild

5、card operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Router(config)#应用ACLip access-group access-list-number in | out Router(config-if)#第十二页，共六十八页。扩展IP ACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。 第十三页，共六十八页。名称IP ACL配置标准名称ACLip access-list stand

6、ard name | access-list-number Router(config)#应用ACLip access-group access-list-number in | out Router(config-if)#配置ACL规则 permit | deny any | source source-wildcard time-range time-range-name Router(config-std-nacl)#第十四页，共六十八页。名称IP ACL（续）配置扩展名称ACLip access-list extended name | access-list-number Route

7、r(config)#应用名称ACLip access-group name in | out Router(config-if)#配置ACL规则 permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment Router(config-ext-nacl)#第十五页，共六十八页。名称IP ACL配置示例第十六页，共六十八页。基于MA

8、C的ACL标识方式编号：700799名称过滤元素源MAC地址、目的MAC地址、以太网类型第十七页，共六十八页。配置MAC ACL配置MAC ACLmac access-list extended name | access-list-number Switch(config)#应用MAC ACLmac access-group name | access-list-number in | out Switch(config-if)#配置ACL规则 permit | deny any | host source-mac-address any | host destination-mac-add

9、ress ethernet-type time-range time-range-name Switch(config-mac-nacl)#第十八页，共六十八页。MAC ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d） 。 第十九页，共六十八页。MAC ACL配置示例第二十页，共六十八页。专家ACL标识方式编号：27002899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制第二十一页，共六十八页。配置专家ACL配置专家ACLexpert acces

10、s-list extended name | access-list-number Switch(config)#应用MAC ACLexpert access-group name | access-list-number in | out Switch(config-if)#配置ACL规则 permit | deny protocol | ethernet-type VID vid any | source source-wildcard host source-mac-address | any operator port any | destination destination-wil

11、dcard host destination-mac-address | any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Switch(config-exp-nacl)#第二十二页，共六十八页。专家ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP 5555端口 。 第二十三页，共六十八页。专家ACL配置示例第二十四页，共六十八页。基于时间的ACL基于时间的ACL对于不同的时间段实施不

12、同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段第二十五页，共六十八页。配置时间段配置时间段time-range time-range-name Router(config)#配置绝对时间absolute start time date end time date | end time date Router(config-time-range)#start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年” end t

13、ime date：表示时间段的结束时间，格式与起始时间相同示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008 第二十六页，共六十八页。配置时间段（续）配置周期时间periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm Router(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，

14、Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日 daily：表示一周中的每一天示例：periodic weekdays 09:00 to 18:00第二十七页，共六十八页。配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！第二十八页，共六十八页。基于时间的ACL配置示例在上班时间（9：0018：00）不允许员工的主机（/24）访问Internet，下班

15、时间可以访问Internet上的Web服务。 第二十九页，共六十八页。ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ip access-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则第三十页，共六十八页。添加和删除ACL规则添加ACL规则sequence-number permit | deny Router(config-ext-nacl)#sequence-number ：规则在ACL中的序号，即排序的位置 默认根据序号从小到大进行排序删

16、除ACL规则no sequence-numberRouter(config-ext-nacl)#第三十一页，共六十八页。添加ACL规则配置示例第三十二页，共六十八页。删除ACL规则配置示例第三十三页，共六十八页。ACL规则的重编号ip access-list resequence name | access-list-number starting-sequence-number increment-number Router(config)#starting-sequence-number：ACL规则的起始序号值，默认为10increment-number：ACL规则的递增序号值，默认为10

17、mac access-list resequence name | access-list-number starting-sequence-number increment-number expert access-list resequence name | access-list-number starting-sequence-number increment-number 第三十四页，共六十八页。ACL规则重编号配置示例第三十五页，共六十八页。查看ACL信息show running-configRouter#show access-lists name | access-list-n

18、umber 查看ACL配置信息查看ACL配置信息示例第三十六页，共六十八页。查看ACL信息（续）show access-group interface interface Router#查看所有ACL的应用信息show ip access-group interface interface Router#查看IP ACL的应用信息show mac access-group interface interface Router#查看MAC ACL的应用信息show expert access-group interface interface Router#查看专家ACL的应用信息第三十七页，共

19、六十八页。查看ACL信息示例第三十八页，共六十八页。课程议题ARP检查第三十九页，共六十八页。ARP协议ARP的作用将IP地址映射到MAC地址第四十页，共六十八页。ARP欺骗攻击ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法第四十一页，共六十八页。ARP中间人攻击ARP中间人攻击攻击者不但伪造网关，而且进行数据重定向第四十二页，共六十八页。ARP检查ARP检查的作用防止ARP欺骗基于端口安全检查ARP报文中的IP地址是否合法，若不合法，则丢弃报文第四十三页，共六十八页。配置ARP检查手工恢复端口状态port-security arp-check Switch(config

20、)#启用端口安全switchport port-security Switch(config-if)#默认情况下，关闭ARP检查功能 配置安全IP地址switchport port-security mac-address mac-address ip-address ip-addressSwitch(config-if)#这里配置的ip-address为端口所接入设备的真实IP地址 第四十四页，共六十八页。ARP检查配置示例第四十五页，共六十八页。查看ARP检查状态查看ARP检查状态show port-security arp-check Switch#查看ARP检查示例第四十六页，共六十八

21、页。课程议题DHCP监听第四十七页，共六十八页。DHCP攻击DHCP的弱点DHCP无验证机制DHCP攻击攻击者使用伪DHCP服务器为网络分配地址攻击者可以发动一个DHCP DoS攻击第四十八页，共六十八页。DHCP攻击（续）第四十九页，共六十八页。DHCP SnoopingDHCP Snooping的作用过滤伪（非法）DHCP服务器发送的DHCP报文DHCP Snooping的工作机制信任（Trust）端口允许所有DHCP报文通过非信任（Untrust）端口只允许DHCP Discovery、DHCP Request报文通过，过滤DHCP Offer报文建立DHCP监听数据库包含客户端的IP地

22、址、MAC地址、连接的端口、VLAN号、地址租用期限等信息 第五十页，共六十八页。DHCP Snooping的部署信任（Trust）端口用于连接合法的DHCP服务器和上行链路端口非信任（Untrust）端口用于连接DHCP客户端和其它接入端口第五十一页，共六十八页。配置DHCP Snooping启用DHCP Snoopingip dhcp snooping Switch(config)#配置端口为信任端口ip dhcp snooping trustSwitch(config-if)#默认情况下，关闭DHCP Snooping 默认情况下，所有端口都为Untrust端口 第五十二页，共六十八页。

23、配置DHCP Snooping（续）手工配置DHCP Snooping表项ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface Switch(config)#将DHCP Snooping数据库写入到Flash文件ip dhcp snooping database write-to-flash Switch(config)#默认情况下，关闭DHCP Snooping DHCP监听数据库的信息是动态的，通过写入Flash，可以避免由于系统的重新启动导致数据库中的信息丢失 第五十三页，共

24、六十八页。配置DHCP Snooping（续）配置自动写入DHCP Snooping绑定信息ip dhcp snooping database write-delay seconds Switch(config)#配置验证Untrust端口检查DHCP报文的源MAC地址ip dhcp snooping verify mac-address Switch(config)#默认情况下，不检查DHCP报文的源MAC地址可以避免攻击者发送伪造源MAC地址的DHCP报文，导致DHCP DoS攻击 第五十四页，共六十八页。DHCP Snooping配置示例第五十五页，共六十八页。查看DHCP Snoopi

25、ng状态查看DHCP Snooping配置信息show ip dhcp snooping Switch#查看DHCP Snooping数据库信息show ip dhcp snooping binding Switch#此信息将显示动态与静态的绑定表项只有Untrust端口才会存在绑定表项 清除DHCP Snooping数据库clear ip dhcp snooping binding Switch#静态的绑定表项不会被删除第五十六页，共六十八页。查看DHCP Snooping状态示例第五十七页，共六十八页。课程议题DAI第五十八页，共六十八页。DAI概述DAI（Dynamic ARP Insp

26、ection）与ARP检查一样，用于防止ARP欺骗ARP检查需要静态配置安全地址不适用于动态IP地址环境不适用与移动环境DAI依赖于DHCP Snooping数据库要使用DAI，需要部署DHCP环境DAI Trust端口不检查ARP报文DAI Untrust端口检查所有收到的ARP报文第五十九页，共六十八页。DAI部署Trust端口连接交换机间的上行链路与DHCP ServerUntrust端口连接DHCP客户端端口状态需要与DHCP Snooping端口状态一致DHCP Snooping Trust端口不存在绑定表项建议在DHCP环境中部署DAI第六十页，共六十八页。配置DAI启用DHCP Snooping并设置端口状态ip dhcp snooping Switch(config)#ip dhcp snooping trustSwitch(config-if)#启用DAIip arp inspection Switch(config)#默认情况下，关闭DAI第六十一页，共六十八页。配置DAI（续）在VLAN中启用DAIip arp inspectio