网络安全运维部分

运行维护网络安全运维部分全文共36页，当前为第1页。目录交换机、路由器访问控制策略配置VLAN划分和访问控制策略配置防火墙、IDS、IPS策略配置网络安全运维部分全文共36页，当前为第2页。交换机、路由器访问控制策略配置交换机、路由器访问控制策略配置

1.交换机的访问控制2.什么是ACL3.ACL的作用4.ACL的执行规则5.ACL的分类6.ACL的配置原则网络安全运维部分全文共36页，当前为第3页。交换机、路由器访问控制策略配置交换机的访问控制

交换机通过进入端口配置IP、划分VLAN进行控制，依靠配置端口状态进行访问。 交换机的端口状态： 1、Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口。

2、Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。网络安全运维部分全文共36页，当前为第4页。交换机、路由器访问控制策略配置什么是ACL

主要提供网络访问的基本安全和流量控制等方面，通过读取网络第3层和第4层包头中的信息，根据预先定义好的规则，对包进行过滤，从而到达访问控制的目的。网络安全运维部分全文共36页，当前为第5页。交换机、路由器访问控制策略配置ACL的作用ACL可以限制网络流量、提高网络性能。ACL提供对通信流量的控制手段。ACL是提供网络安全访问的基本手段。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。网络安全运维部分全文共36页，当前为第6页。交换机、路由器访问控制策略配置ACL的执行规则 1.自上而下（先比较第一条，再比较第二条，第三条……） 2.优先匹配（不断比较，直到满足条件为止） 3.末尾隐含拒绝（如果不满足ACL中任何条件，分组将被丢弃）。网络安全运维部分全文共36页，当前为第7页。交换机、路由器访问控制策略配置ACL的执行规则ACL匹配流程图网络安全运维部分全文共36页，当前为第8页。交换机、路由器访问控制策略配置ACL的分类 根据过滤字段（元素）可将访问控制列表分为以下两类： （1）标准访问控制列表：只能根据数据包的源IP地址进行过滤；编号范围：1~99。

配置：access-list

1~99

permit/deny

源IP

通配符 （2）扩展访问控制列表：可以根据协议、源/目的IP地址、源/目的端口号进行包过滤。编号范围：100~199。

配置：access-list

100~199

permit/deny

协议

源IP

掩码

目的IP

掩码

eq

服务端口号

网络安全运维部分全文共36页，当前为第9页。交换机、路由器访问控制策略配置ACL的配置原则 1.在接口的特定方向上，每种协议只能有一个ACL。 2.在ACL中，将具体的测试条件放在前面。 3.新增语句将放在ACL列表的末尾。 4.不能删除ACL中的一行，只能删除整个ACL列表。 5.除非ACL以permitany（允许所有）结尾，否则不满足任何条件的分组都将被丢弃（ACL至少应包含一条permit，否则它将拒绝所有）。 6.创建ACL后，必须应用于接口上。 7.ACL过滤穿过路由器的数据流，不会对始发于当前路由器的数据进行过滤。 8.将标准ACL放在离目的地尽可能近的地方。（根据源地址过滤） 9.将扩展ACL放在离源尽可能近的地方。

网络安全运维部分全文共36页，当前为第10页。VLAN划分和访问控制策略配置VLAN划分和访问控制策略配置

1.什么是VLAN2.划分VLAN的目的3.VLAN划分的方法网络安全运维部分全文共36页，当前为第11页。VLAN划分和访问控制策略配置什么是VLAN

把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。网络安全运维部分全文共36页，当前为第12页。VLAN划分和访问控制策略配置划分VLAN的目的1.减少广播风暴 限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。2.提高网络安全性 增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。网络安全运维部分全文共36页，当前为第13页。VLAN划分和访问控制策略配置划分VLAN的目的3.成本降低 成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本4.性能提高将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。网络安全运维部分全文共36页，当前为第14页。VLAN划分和访问控制策略配置VLAN划分的方法

1.静态——基于端口划分vlan 2.动态——基于MAC地址划分vlan 3.基于路由的VLAN

路由协议工作在7层协议的第3层-网络层，比如基于IP和IPX的路由协议，这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。在按IP划分的VLAN中，很容易实现路由，即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的，又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。 4.基于策略的VLAN

基于策略的VLAN的划分是一种比较有效而直接的方式，主要取决于在VLAN的划分中所采用的策略。网络安全运维部分全文共36页，当前为第15页。防火墙、IDS、IPS策略配置防火墙、IDS、IPS策略配置1.防火墙的通用特点2.防火墙策略配置3.IDS策略配置4.IPS策略配置网络安全运维部分全文共36页，当前为第16页。防火墙、IDS、IPS策略配置防火墙的通用特点

不论防火墙如何分类，是哪家产的，他们都要遵循以下原则生产设备： 1.能识别一个完整的会话信息(能检测出去的数据和回来时应答的数据)； 2.都必须有三个区域：I受信区trust

II非受信区untrust

III停火区DMZ； 3.区域间默认互不能通信；可信度高的区域流量可以流向可信度低的区域，反之不然 4.没有明确申明允许的流量，都被拒绝掉(隐含拒绝)； 5.所有厂商的安全设备都要将一个接口关联到一个具体的安全区域中。 6.所有厂商对自己的安全设备都有一套安全机制，详见说明书。网络安全运维部分全文共36页，当前为第17页。防火墙、IDS、IPS策略配置防火墙的通用特点

Inbound与Outbound定义

数据流从高受信区到低受信区为outbound

数据流从低受信区到高受信区为inbound网络安全运维部分全文共36页，当前为第18页。防火墙、IDS、IPS策略配置防火墙策略配置

网络安全运维部分全文共36页，当前为第19页。防火墙、IDS、IPS策略配置防火墙策略配置

配置各接口IP：interfaceG0/0/1ipaddress192.168.1.25424interfaceG0/0/2ipaddress192.168.2.25424interfaceG0/0/3ipaddress192.168.3.25424interfaceG0/0/4ipaddress192.168.4.25424向安全区域中添加接口：[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet0/0/1[FW-zone-trust]addinterfaceGigabitEthernet0/0/4[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet0/0/3[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet0/0/2网络安全运维部分全文共36页，当前为第20页。防火墙、IDS、IPS策略配置防火墙策略配置

配置interzone策略，使得trust区域能够访问untrust区域：[FW]policyinterzonetrustuntrustoutbound#进入outbound方向配置[FW-policy-interzone-trust-untrust-outbound]policy0#建立第一条策略[FW-policy-interzone-trust-untrust-outbound-0]policydestinationany#规定目的IP为所有[FW-policy-interzone-trust-untrust-outbound-0]policysourceany#规定源IP为所有[FW-policy-interzone-trust-untrust-outbound-0]actionpermit#开始允许

网络安全运维部分全文共36页，当前为第21页。防火墙、IDS、IPS策略配置防火墙策略配置

配置interzone策略，使得untrust区域能够访问dmz区域：[FW]policyinterzonedmzuntrustinbound#进入inbound方向配置[FW-policy-interzone-dmz-untrust-inbound]policy0#建立第一条策略[FW-policy-interzone-dmz-untrust-inbound-0]policydestinationany#规定目的IP为所有[FW-policy-interzone-dmz-untrust-inbound-0]policysourceany#规定源IP为所有[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit#开始允许网络安全运维部分全文共36页，当前为第22页。防火墙、IDS、IPS策略配置防火墙策略配置

配置interzone策略，使得trust区域能够访问dmz区域：[FW]policyinterzonetrustdmzoutbound#进入outbound方向配置[FW-policy-interzone-trust-dmz-outbound]policy0#建立第一条策略[FW-policy-interzone-trust-dmz-outbound-0]policydestinationany#规定目的IP为所有[FW-policy-interzone-trust-dmz-outbound-0]policysourceany#规定源IP为所有[FW-policy-interzone-trust-dmz-outbound-0]actionpermit#开始允许

网络安全运维部分全文共36页，当前为第23页。防火墙、IDS、IPS策略配置防火墙策略配置

PC3可以ping通PC4[FW]policyinterzonetrustuntrustinbound#进入inbound方向配置[FW-policy-interzone-trust-untrust-inbound]policy0#建立第一条策略[FW-policy-interzone-trust-untrust-inbound-0]policydestination192.168.4.00.0.0.255#规定目的IP为192.168.4.0网段[FW-policy-interzone-trust-untrust-inbound-0]policysource192.168.3.00.0.0.255

#规定目的IP为192.168.3.0网段[FW-policy-interzone-trust-untrust-inbound-0]actionpermit#开始允许网络安全运维部分全文共36页，当前为第24页。防火墙、IDS、IPS策略配置IDS策略配置

网络安全运维部分全文共36页，当前为第25页。防火墙、IDS、IPS策略配置IDS策略配置 第二步:派生新策略在策略模板区域选中一个预定义策略AttackDetector,右键单击该策略，在出现的菜单中选择“派生策略”。

网络安全运维部分全文共36页，当前为第26页。防火墙、IDS、IPS策略配置IDS策略配置

第三步:策略编辑策略中可以选择用户所关注的事件签名进行检测，编辑策略的步骤如下:1)点击一个自定义策略。2)点击“编辑锁定”以确保其他人不能同时更改策略。3)在攻击签名窗口展开攻击签名。4)“选中”或“取消选中”攻击签名。5)为攻击签名选择响应方式。6)点击“保存策略”。

注意:不能编辑预定义策略。可以由预定义派生出一个新策略,然后对新策略进行调整。网络安全运维部分全文共36页，当前为第27页。防火墙、IDS、IPS策略配置IDS策略配置

第四步:策略锁定和解除策略锁定锁定策略时，在策略管理窗口点击快捷按钮“编辑锁定”，策略管理窗口被锁定。当多用户同时登录控制台时，当前用户可以编辑策略，其他用户不能修改。接触策略锁定时，在策略管理窗口点击快捷按钮“解除锁定”，编辑权限被