网络互联技术第5章网络安全技术课件

网络互联技术PPT第5章网络安全技术2023/6/8网络互联技术PPT第5章网络安全技术中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。

工程任务：保护园区网络安全网络互联技术PPT第5章网络安全技术组件一：网络攻击行为保护园区网络安全组件二：管理设备控制台安全组件三：交换机端口安全技术组件四：访问控制列表安全技术网络互联技术PPT第5章网络安全技术组件一：网络攻击行为保护园区网络安全网络互联技术PPT第5章网络安全技术复杂程度Internet飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间网络互联技术PPT第5章网络安全技术第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响目标1980s1990s今天未来安全事件对我们的威胁越来越快网络安全的演化网络互联技术PPT第5章网络安全技术网络安全隐患网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。网络互联技术PPT第5章网络安全技术常见网络管理中存在的安全问题（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。网络互联技术PPT第5章网络安全技术网络攻击行为常见的攻击措施主要有：获取网络口令放置特洛伊木马程序WWW欺骗技术电子邮件攻击通过一个节点来攻击其他节点拒绝服务攻击DDOS网络监听寻找系统漏洞利用账号进行攻击偷取特权网络互联技术PPT第5章网络安全技术手段多样的网络攻击：网络互联技术PPT第5章网络安全技术攻击不可避免攻击工具体系化网络互联技术PPT第5章网络安全技术网络进攻简单化全球超过26万黑客站点,提供系统漏洞和攻击知识越来越多易使用攻击软件出现年轻人对网络攻击好奇心年轻人的叛逆心理网络互联技术PPT第5章网络安全技术大量的攻击工具随手拾来攻击工具更加“人性化”网络互联技术PPT第5章网络安全技术现有网络安全防御体制入侵检测系统IDS68%杀毒软件99%防火墙98%ACL71%现有网络安全体制网络互联技术PPT第5章网络安全技术VPN

虚拟专用网防火墙包过滤防病毒入侵检测现有网络安全技术网络互联技术PPT第5章网络安全技术保护园区网络安全组件二：管理设备控制台安全网络互联技术PPT第5章网络安全技术管理交换机控制台安全

对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互联设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，对网络的打击将是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本的保护。网络互联技术PPT第5章网络安全技术配置交换机的登陆密码S2126G(config)#enablesecretlevel10star

“0”表示输入的是明文形式的口令，1为分配等级配置交换机的特权密码S2126G(config)#enablesecretlevel150Star

“0”表示输入的是明文形式的口令，15为分配等级等级1分配给特权模式;等级15分配给全局模式，登级2-14分配给不同的命令;保护交换机控制台的安全措施

网络互联技术PPT第5章网络安全技术配置交换机远程登录的安全措施Switch(config)#enablesecretlevel10star！配置远程登陆密码

Switch(config)#enablesecretlevel150star！配置进入特权模式密码Switch(config)#interfacevlan1！配置远程登录地址Switch(config-if)#noshutdownSwitch(config-if)#ipaddressSwitch(config-if)#end注：两个密码缺一不可网络互联技术PPT第5章网络安全技术路由器控制台安全保护路由器控制台的安全措施

配置路由器控制台密码Router（config）#lineconcole0Router（config-line）#loginRouter（config-line）#passwordstar配置路由器的特权登录密码：Router（config）#enablepasswordstarRouter（config）#enablesecretstar“password”表示输入的是明文形式的口令，“secret”为密文形式的口令，密文有最高优先级别。网络互联技术PPT第5章网络安全技术保护路由器远程登陆登录的安全措施Router#configureterminalRouter（config）#Router（config）#lineVTY04Router（config-line）#loginRouter（config-line）#passwordstar网络互联技术PPT第5章网络安全技术保护园区网络安全组件三：交换机端口安全技术网络互联技术PPT第5章网络安全技术FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节：IEEE分配给网络设备制造厂商的后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC地址：链路层唯一标识接入交换机MACPortA1B2C3MAC地址表：空间有限MAC地址网络互联技术PPT第5章网络安全技术攻击：

MAC地址表空间是有限，MAC攻击会占满交换机地址表;

使得单播包在交换机内部也变成广播包,向所有端口转发，每个连在端口上的客户端都可以收到该报文;交换机变成了一个Hub，用户的信息传输也没有安全保障了。MAC地址攻击网络互联技术PPT第5章网络安全技术交换机端口安全功能交换机的端口安全功能，可以防止网络内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数，控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。网络互联技术PPT第5章网络安全技术交换机端口安全内容安全端口收到不属于端口上安全地址包时，一个安全违例将产生。

当安全违例产生时，可以选择多种方式来处理违例：Protect：安全端口将丢弃未知地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。网络互联技术PPT第5章网络安全技术配置端口的最大连接数配置fa1/3端口安全功能，设置最大地址个数为8，违例方式为protect。Switch(config)#interfacefa1/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotect网络互联技术PPT第5章网络安全技术绑定端口安全地址配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为02Switch(config)#interfacefa0/3

Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02网络互联技术PPT第5章网络安全技术验证命令查看接口安全信息Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------fa0/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------100d0.f800.073c02ConfiguredFa0/381网络互联技术PPT第5章网络安全技术实习项目：配置交换机端口安全

【工作任务】如图所示，模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突，防止学院内部的网络攻击行为，学院领导要求网络中心的管理员，为学院中每一台电脑分配固定IP地址（如为某位老师分配的IP地址是5/24，该主机的MAC地址是00-06-1B-DE-13-B4），并限制只允许学院内部的员工才可以使用网络，并不得随意连接其他主机。。【项目设备】交换机（1台），PC(1台)、网线（1条）【实施过程】…………网络互联技术PPT第5章网络安全技术网络互联技术PPT第5章网络安全技术arp绑定运行->cmdtelnet51输入用户名uuuuuu输入密码mmmmmmshowiparp显示ARP状况en进入编辑configt进入配置编辑状态showmac-显示mac号后处的交换口arpip地址mac地址arpagi0/4绑定某IP的mac地址于交换机4口上end结束编辑wr写入配置文件中exit退出noarpip解开绑定网络互联技术PPT第5章网络安全技术保护园区网络安全组件四：访问控制列表技术网络互联技术PPT第5章网络安全技术ISP1、什么是访问列表ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。√FTP网络互联技术PPT第5章网络安全技术RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒2、为什么要使用访问列表网络互联技术PPT第5章网络安全技术3、访问列表的组成定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口／ＶＬＡＮ上访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务网络互联技术PPT第5章网络安全技术4、访问列表规则的应用访问列表对流经接口的数据包进行控制：1.入栈应用（in）2.出栈应用（out）网络互联技术PPT第5章网络安全技术5、ACL的基本准则一切未被允许的就是禁止的

路由器缺省允许所有的信息流通过;防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”网络互联技术PPT第5章网络安全技术Y拒绝Y是否匹配

测试条件1?允许N拒绝允许是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNYY允许被系统隐

含拒绝N6、一个访问列表多个测试条件网络互联技术PPT第5章网络安全技术标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类网络互联技术PPT第5章网络安全技术标准访问列表只根据源IP地址，进行数据包的过滤。学生网段校领导网段教研网段8、标准列表规则定义网络互联技术PPT第5章网络安全技术1）定义标准ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩码]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩码]反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。2）应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}网络互联技术PPT第5章网络安全技术access-list1permit

55access-list1deny55interfaceserial0ipaccess-group1outF0S0F1InternetIP标准访问列表配置实例1只允许网络中的计算机访问互联网络网络互联技术PPT第5章网络安全技术IP标准访问列表配置实例2阻止5主机通过E0访问网络，而允许其他的机器访问Router（config）#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in

网络互联技术PPT第5章网络安全技术实习项目：配置标准访问列表控制网络流量

【工作任务】如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（）和行政办公网（）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】…………网络互联技术PPT第5章网络安全技术9、扩展型访问控制列表扩展型访问控制列表（ExtendedIPACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大的数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。学生网段校领导网段邮件serverWEBserver网络互联技术PPT第5章网络安全技术IP扩展访问列表的配置1、定义扩展的ACLRouter(config)#access-list<100-199>{permit/deny}协议

源地址反掩码[源端口]目的地址反掩码[目的端口]2、应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}网络互联技术PPT第5章网络安全技术IP扩展访问列表配置实例允许网络内所有主机访问HTTP服务器，拒绝其它主机使用网络。

Switch(config)#access-list111permittcp55hosteqwwwSwitch(config)#access-list111denyipanyanySwitch#showaccess-lists网络互联技术PPT第5章网络安全技术项目：配置扩展访问列表保护服务器安全

【工作任务】如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（）和学生网（）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】…………网络互联技术PPT第5章网络安全技术10、命名访问控制列表命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。通过字符串组成的名字直观地表示特定ACL；不受编号ACL中100条限制；可以方便的对ACL进行修改，无需删除重新配置

网络互联技术PPT第5章网络安全技术命名访问控制列表的配置1、定义命名ACL

ipaccess-list{standard|extended}name

{deny|permit}protocolsourcewildcarddestinationwildcard[operatorport]2、应用ACL到接口Router(config-if)#ipaccess-groupname{in|out}网络互联技术PPT第5章网络安全技术配置命名标准访问控制列表Switch#configureterminalSwitch（config）#ipaccess-liststandarddeny-host-192.168.l2.xSwitch（config-std-nacl）#deny55Switch（config-std-nacl）#permitanySwitch（config-std-nac