RCNA认证课程-T009-园区网安全设计(v2.0)

第9章园区网的平安技术RCNA_T009教学目标通过本章学习使学员能够： 1、了解常见的网络平安隐患及常用防范技术； 2、熟悉交换机端口平安功能及配置 3、掌握基于IP的标准、扩展ACL技术进行网络平安访问控制。本章内容网络平安隐患交换机端口平安IP访问控制列表课程议题网络平安隐患常见的网络攻击：

网络攻击手段多种多样，以上是最常见的几种攻击不可防止攻击工具体系化

网络攻击原理日趋复杂，但攻击却变得越来越简单易操作额外的不平安因素

DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织现有网络平安体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%VPN虚拟专用网防火墙包过滤防病毒入侵检测课程议题交换机端口平安交换机端口平安利用交换机的端口平安功能实现防止局域网大局部的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口平安的根本功能限制交换机端口的最大连接数端口的平安地址绑定交换机端口平安平安违例产生于以下情况：如果一个端口被配置为一个平安端口，当其平安地址的数目已经到达允许的最大个数如果该端口收到一个源地址不属于端口上的平安地址的包当平安违例产生时，你可以选择多种方式来处理违例：Protect：当平安地址个数满后，平安端口将丢弃未知名地址〔不是该端口的平安地址中的任何一个〕的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知配置平安端口端口平安最大连接数配置switchportport-security ！翻开该接口的端口平安功能switchportport-securitymaximumvalue ！设置接口上平安地址的最大个数，范围是1－128，缺省值为128switchportport-securityviolation{protect|restrict|shutdown} ！设置处理违例的方式注意：1、端口平安功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。配置平安端口端口的平安地址绑定switchportport-security！翻开该接口的端口平安功能switchportport-securitymac-addressmac-addressip-addressip-address ！手工配置接口上的平安地址注意：1、端口平安功能只能在access端口上进行配置2、端口的平安地址绑定方式有:单MAC、单IP、MAC+IP案例〔一〕下面的例子是配置接口gigabitethernet1/3上的端口平安功能，设置最大地址个数为8，设置违例方式为protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例〔二〕下面的例子是配置接口fastethernet0/3上的端口平安功能，配置端口绑定地址，主机MAC为，IP为Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#end查看配置信息查看所有接口的平安统计信息，包括最大平安地址数，当前平安地址数以及违例处理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看平安地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381课程议题IP访问控制列表什么是访问列表IPAccess-list：IP访问列表或访问控制列表，简称IPACLACL就是对经过网络设备的数据包根据一定的规那么进行数据包的过滤ISP√

为什么要使用访问列表内网平安运行访问外网的平安控制访问列表访问控制列表的作用：内网布署平安策略，保证内网平安权限的资源访问内网访问外网时，进行平安的数据过滤防止常见病毒、木马、攻击对用户的破坏访问列表的组成定义访问列表的步骤第一步，定义规那么〔哪些数据允许通过，哪些数据不允许通过〕第二步，将规那么应用在路由器〔或交换机〕的接口上访问控制列表规那么的分类：1、标准访问控制列表2、扩展访问控制列表访问列表规那么的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用〔in〕经某接口进入设备内部的数据包进行平安规那么过滤2.出栈应用〔out〕设备从某接口向外发送数据时进行平安规那么过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0

访问列表的出栈应用IPACL的根本准那么一切未被允许的就是禁止的定义访问控制列表规那么时，最终的缺省规那么是拒绝所有数据包通过按规那么链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规那么匹配原那么从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规那么的“允许/拒绝……”Y拒绝Y是否匹配

规那么条件1?允许N拒绝允许是否匹配

规那么条件2?拒绝是否匹配

最后一个

条件

?YYNYY允许隐含拒绝N一个访问列表多条过滤规那么访问列表规那么的定义标准访问列表根据数据包源IP地址进行规那么定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规那么定义源地址TCP/UDP数据IP

eg.HDLC1-99

号列表IP标准访问列表目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199

号列表

0表示检查相应的地址比特

1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码〔通配符〕IP标准访问列表的配置1.定义标准ACL编号的标准访问列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩码]命名的标准访问列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1IP标准访问列表配置实例(一)配置：(access-list1denyany)interfaceserial1/2ipaccess-group1out标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表配置实例(一)如何创立一条扩展ACL该ACL有一条ACE，用于允许指定网络〔192.168.x..x〕的所有主机以HTTP访问效劳器，但拒绝其它所有主机使用网络Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyanyeq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115outIP扩展访问列表配置实例(二)利用ACL隔离冲击波病毒

访问列表的验证显示全部的访问列表R