第六讲园区网安全

园区网安全Contents思考与练习访问控制列表交换机端口安全园区网安全隐患引言Hubeiuniversityoftechnology园区网安全隐患Hubeiuniversityoftechnology园区网的常见安全隐患网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。园区网络安全隐患包括的范围比较广，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏。来自园区网外部和内部人员的恶意攻击和破坏。Hubeiuniversityoftechnology人的威胁最为严重人自然灾害恶意非恶意不熟练的员工（外部）黑客威胁（内部）不满的员工（外部）战争Hubeiuniversityoftechnology漏洞物理自然硬件软件媒介通讯人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirusHubeiuniversityoftechnology网络安全的演化第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫1980s1990s今天1980s1990s未来今天1980s1990sHubeiuniversityoftechnology园区网安全解决方案的整体思路制定一个严格的安全策略可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。宣传教育Hubeiuniversityoftechnology现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL71%Hubeiuniversityoftechnology交换机端口安全Hubeiuniversityoftechnology交换机端口安全概述交换机的端口安全机制是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。配置端口安全存在以下限制：一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口（AggregatePort）。一个安全端口不能是SPAN的目的端口。Hubeiuniversityoftechnology补充——关于SPANSPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，实现方法上稍有不同。利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC.受控端口和监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。Hubeiuniversityoftechnology交换机端口安全概述当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式：protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。Hubeiuniversityoftechnology端口安全的配置Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#

switchportport-securityviolation{protect|restrict|shutdown}设置接口上安全地址的最大个数打开该接口的端口安全功能设配置处理违例的方式Hubeiuniversityoftechnology配置安全端口上的安全地址Switch(conifg-if)#switchportport-security[mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态：设置端口从“err-disabled”状态自动恢复所等待的时间HubeiuniversityoftechnologySwitch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

配置安全地址的老化时间使老化时间仅应用于动态学习到的安全地址关闭一个接口的安全地址老化功能（老化时间为0）Hubeiuniversityoftechnology查看端口安全信息Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Hubeiuniversityoftechnology访问控制列表Hubeiuniversityoftechnology通过本小结的学习，您应该掌握以下内容：

识别IP访问列表的主要作用和工作流程配置标准的IP访问列表利用访问列表控制虚拟会话的建立配置扩展的IP访问列表查看IP访问列表访问控制列表概述访问表（accesslist）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过（permit）或拒绝（deny）报文通过某个接口。Hubeiuniversityoftechnology访问控制列表概述访问控制列表总的说起来有下面三个作用:安全控制

允许一些符合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配规则的数据包。流量过滤

防止一些不必要的数据包通过路由器，来提高网络带宽的利用率。数据流量标识此功能是对公司有两条或两条以上的网络链路时，访问控制列表与路由策略等来实现分工，让不同的数据包选择不同的链路。HubeiuniversityoftechnologyACL工作原理及规则ACL语句有两个组件：一个是条件，一个是操作。条件：条件基本上是一个组规则，定义了要在数据包内容中查找什么来确定数据包是否匹配。

每条ACL语句中只可以列出一个条件，但是可以将ACL语句组合在一起形成一个列表或策略，语句使用标号或名称来分组。access-list1deny3access-list1permit55HubeiuniversityoftechnologyACL工作原理及规则操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。ACL语句从上往下一次执行，当ACL语句找到一个匹配时，则不会再处理其他语句。每个ACL最后都有一条看不见的语句，称为“隐式的拒绝”语句，这条语句的作用是丢弃数据包，如果一个数据包和列表中的每条语句都不匹配，则该数据包被丢弃。

access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)Hubeiuniversityoftechnology出端口方向上的访问列表ACL工作原理及规则入站ACL出端口方向上的访问列表ACL工作原理及规则出站ACL访问列表配置指南基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；Hubeiuniversityoftechnology访问列表配置指南基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。Hubeiuniversityoftechnology访问列表配置指南ACL放置在什么位置（课本256面图10-8）只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；只过滤数据包中的源地址的ACL有两个局限性：即使ACL应用到路由器C的E0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。HubeiuniversityoftechnologyACL的种类两种基本的ACL：标准ACL和扩展ACL标准IPACL只能过滤IP数据包头中的源IP地址扩展IPACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，Hubeiuniversityoftechnology标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：

限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。Hubeiuniversityoftechnology标准ACL通过两种方式创建标准ACL：编号或名称一、使用编号使用编号创建ACL在接口上应用In：当流量从网络网段进入路由器接口时Out：当流量离开接口到网络网段时Router(config)#access-list

listnumber{permit|deny}[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology标准ACL二、使用命名定义ACL名称定义规则在接口上应用Router(config)#ipaccess-liststandard

nameRouter(config-std-nacl)#deny|permit

[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{name}{in|out}Hubeiuniversityoftechnology扩展访问控制列表扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。Hubeiuniversityoftechnology扩展访问控制列表可以通过两种方式为扩展ACL语句分组：通过编号或名称编号的扩展ACL创建扩展ACL接口上应用Router(config)#access-list[listnumber

]{permit|deny}[协议][源IP地址][源地址子网掩码][目的IP地址][目的IP地址子网掩码][目的端口号]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology扩展访问控制列表命名的扩展ACL定义扩展ACL名称定义规则在接口上应用Router(config)#ip

acess-listextended

nameRouter(config-if)#ipaccess-group{name}{in|out}Router(conig-ext-nacl)#{permit|deny}[协议][源IP地址][源地址子网掩码][目的IP地址][目的IP地址子网掩码][目的端口号]Hubeiuniversityoftechnology配置标准ACL示例Hubeiuniversityoftechnology配置扩展ACL示例Hubeiuniversity