网络管理与维护案例教程第5章-网络安全管理

第5章

网络安全管理.园区网常见安全隐患

非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏；。来自园区网外部和内部人员的恶意攻击和破坏。2.威胁人自然灾害恶意非恶意不熟练的员工（外部）黑客威胁（内部）不满的员工（外部）战争3.漏洞物理自然硬件软件媒介通讯人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirus4.网络安全的演化第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快5.现有网络安全体制现有网络安全防御体制IDS68%杀毒软件99%防火墙98%ACL71%6.常见解决安全隐患的方案交换机端口安全配置访问控制列表ACL在防火墙实现包过滤……7.交换机端口安全通过限制允许访问交换机上某个端口的MAC地址以及IP（可选）来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。此外，你还可以限制一个端口上能包含的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。为了增强安全性，你可以将MAC地址和IP地址绑定起来作为安全地址。8.交换机端口安全如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。9.配置安全端口

interfaceinterface-id 进入接口配置模式。switchportmodeaccess 设置接口为access模式（如果确定接口已经处于access模式，则此步骤可以省略）。switchportport-security 打开该接口的端口安全功能switchportport-securitymaximumvalue 设置接口上安全地址的最大个数，范围是1－128，缺省值为128。switchportport-securityviolation{protect|restrict|shutdown} 设置处理违例的方式当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。switchportport-securitymac-addressmac-address[ip-addressip-address] 手工配置接口上的安全地址。ip-address:可选IP为这个安全地址绑定的地址。10.端口安全的默认配置和限制

默认设置：端口安全开关所有端口均关闭端口安全功能最大安全地址个数128

安全地址无违例处理方式保护（protect）配置端口安全限制：一个安全端口不能是一个aggregateport；一个安全端口只能是一个accessport11.端口安全配置示例下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。Switch#configureterminalSwitch（config）#interfacegigabitethernet1/3Switch（config-if）#switchportmodeaccessSwitch（config-if）#switchportport-securitySwitch（config-if）#switchportport-securitymaximum8Switch（config-if）#switchportport-securityviolationprotectSwitch（config-if）#end12.验证命令Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge（mins）

---------------------------------------------------------------------100d0.f800.073c02ConfiguredGi1/38100d0.f800.3cc9ConfiguredGi1/1713.验证命令Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction--------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381Protect14.访问控制列表标准访问控制列表扩展访问控制列表15.ISPIPAccess-list：访问列表或访问控制列表，简称IPACL当网络访问流量较大时,需要对网络流量进行管理

为什么要使用访问列表.

为什么要使用访问列表公网互联网用户对外信息服务器员工上网拒绝信息服务器不能在上班时间进行QQ,MSN等聊天．访问权限控制17.

为什么要使用访问列表可以是路由器或三层交换机或防火墙网络安全性18.

访问列表的应用

路由器应用访问列表对流经它的数据包进行限制

1.入栈应用

2.出栈应用E0S0是否允许?源地址

目的地址协议19.以ICMP信息通知源发送方NY选择出口

S0

路由表中是否

存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0

访问列表的出栈应用.Y拒绝Y是否匹配

测试条件1?允许N拒绝允许是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNYY允许被系统隐

含拒绝N

一个访问列表多个测试条件.IPACL的基本准则一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝……”22.源地址TCP/UDP数据IP

eg.HDLC1-99号列表

IP标准访问列表.目的地址源地址协议端口号100-199号列表TCP/UDP数据IP

eg.HDLC

IP扩展访问列表.0表示检查相应的地址比特

1表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111

反掩码.1.定义标准ACL编号的标准访问列表

Router(config)#access-list<1-99>{permit|deny}

源地址[反掩码]命名的标准访问列表ipaccess-liststandard{name}

deny

{sourcesource-wildcard|host

source|any}orpermit{sourcesource-wildcard|host

source|any}2.应用ACL到接口

Router(config-if)#ipaccess-group<1-99>|{name}{in|out}

IP标准访问列表的配置.access-list1permit

55(access-list1deny55)interfacefastethernet0ipaccess-group1outinterfacefastethernet1ipaccess-group1outF0S0F1

IP标准访问列表配置实例27.2.应用ACL到接口

Router(config-if)#ipaccess-group<100-199>{in|out}1.定义扩展的ACL

编号的扩展ACLRouter(config)#access-list<100-199>

{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{deny|permit}protocol

{source

source-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]

IP扩展访问列表的配置.下例显示如何创建一条ExtendedIPACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络。

Switch（config）#ipaccess-listextendedallow_0xc0a800_to_Switch（config-std-nacl）#permittcp55hosteqwwwSwitch（config-std-nacl）#endSwitch#showaccess-lists

IP扩展访问列表配置实例.扩展访问列表的应用

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyany eq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115out30.显示全部的访问列表Router#showaccess-lists

显示指定的访问列表

Router#showaccess-lists<1-199>

显示接口的访问列表应用

Router#showipinterface<接口名称><接口编号>

访问列表的验证31.NAT/NAPT带来的好处解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险；TCP流量的负载均衡32.什么是NAT/NAPTNAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为纯软件NAT防火墙NAT路由器NATNAT的类型NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址33.NAT/NAPT的术语内部网络 －Inside外部网络 －Outside内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网34.静态与动态NAT静态NAT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系35.NAT示例可以是动态或静态NAT36.配置静态NATRed-Giant(config)#ipnatinsidesourcestaticlocal-addressglobal-address定义内部源地址静态转换关系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定义该接口连接内部网络Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定义接口连接外部网络37.配置动态NATRed-Giant(config)#ipnatpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定义全局IP地址池Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定义访问列表，只有匹配该列表的地址才转换Red-Giant(config)#ipnatinsidesourcelistaccess-list-numberpooladdress-pool定义内部源地址动态转换关系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定义该接口连接内部网络Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定义接口连接外部网络38.什么时候用NAPT缺乏全局IP地址甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性39.静态与动态NAPT静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系40.NAPT示例可以是动态或静态NAPT41.配置静态NAPTRed-Giant(config)#ipnatinsidesourcestatic{UDP|TCP}local-addressportglobal-addressport定义全局IP地址池Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定义该接口连接内部网络Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定义接口连接外部网络42.配置动态NAPTRed-Giant(config)#ipnatpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定义全局IP地址池，对于NAPT，一般就定义一个IP地址

Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定义访问列表，只有匹配该列表的地址才转换Red-Giant(config)#ipnatinsidesourcelistaccess-list-numberpooladdress-pool[interfaceinterface-typeinterface-number]}overload(与动态NAT的区别)定义内部源地址动态转换关系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatinside定义该接口连接内部网络Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ipnatoutside定义接口连接外部网络43.NAT的监视和维护命令显示命令showipnatstatistics

showipnattranslations[verbose]清除状态命令clearipnattranslation*

clearipnattranslationoutside

local-addressglobal-address

更多的命令用clearipnat?44.InternetAccessDeniedUnauthorizedService(http,ftp,telnet)FirewallAuthorizedServiceInternalResources

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

什么是防火墙45.

1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

2．可以很方便地监视网络的安全性，并报警。

3．可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

4.是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。防火墙的五大功能46.

1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。

2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。

防火墙防范不到的地方47.常见防火墙的类型主要有两种：包过滤和代理防火墙包过滤防火墙(IPFiltingFirewall)：

包过滤(PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统