通信系统综合应用实践-第6章-网络安全技术

Chap6网络安全1

中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。

工作任务：保护园区网络安全2一：网络攻击行为保护园区网络安全二：访问控制列表安全技术3一：网络攻击行为保护园区网络安全4复杂程度Internet飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间5第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响目标1980s1990s今天未来安全事件对我们的威胁越来越快网络安全的演化6网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。网络安全隐患7（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。常见网络管理中存在的安全问题8常见的攻击措施主要有：获取网络口令放置特洛伊木马程序WWW欺骗技术电子邮件攻击通过一个节点来攻击其他节点拒绝服务攻击网络监听寻找系统漏洞利用账号进行攻击偷取特权网络攻击行为9手段多样的网络攻击：10攻击不可避免攻击工具体系化11全球超过26万黑客站点,提供系统漏洞和攻击知识越来越多易使用攻击软件出现年轻人对网络攻击好奇心年轻人的叛逆心理网络进攻简单化12大量的攻击工具随手拾来攻击工具更加“人性化”13现有网络安全防御体制入侵检测系统IDS68%杀毒软件99%防火墙98%ACL71%现有网络安全体制14VPN

虚拟专用网防火墙包过滤防病毒入侵检测现有网络安全技术15保护园区网络安全二：访问控制列表技术16ISPACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。1、什么是访问列表√FTP17RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒2、为什么要使用访问列表18定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口／ＶＬＡＮ上访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务3、访问列表的组成19

访问列表对流经接口的数据包进行控制：

1.入栈应用（in）

2.出栈应用（out）4、访问列表规则的应用20一切未被允许的就是禁止的

路由器缺省允许所有的信息流通过;

防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”5、ACL的基本准则21Y拒绝Y是否匹配

测试条件1?允许N拒绝允许是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNYY允许被系统隐

含拒绝N6、一个访问列表多个测试条件22标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类23标准访问列表只根据源IP地址，进行数据包的过滤。学生网段校领导网段教研网段8、标准列表规则定义241）定义标准ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩码]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩码]反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。

2）应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}25Router(config)#access-list1permit

55Router(config)#access-list1deny55Router(config)#interfaceserial0Router(config-if)#ipaccess-group1outF0S0F1InternetIP标准访问列表配置实例1只允许网络中的计算机访问互联网络IP标准访问列表配置实例2

阻止5主机通过E0访问网络，而允许其他的机器访问Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet1/1Router（config-if）#ipaccess-group1in

27【工作任务】

如