第8章 网络系统安全部署课件

校园网建设状况自评报告

杨威山西师范大学网络信息中心网络系统集成与工程设计编著：杨威王云刘景宜第8章

人民邮电出版社

2024/7/18第8章网络系统安全部署

本章知识要点：网络威胁与对策，服务器威胁与对策802.1x协议及工作机制，基于RADIUS的认证计费，几种认证方式比较防止IP地址盗用，802.1x+RADIUS的应用网络防病毒技术、毒策略与案例使用路由器+防火墙保护网络边界使用网络DMZ，构建入侵检测系统路由器认证技术及应用标准访问列表，扩展访问列表与应用PIX防火墙的配置与应用双址路由防火墙的应用

第8章网络系统安全部署

2024/7/18第8章网络系统安全部署本章重点：802.1x协议及工作机制基于RADIUS的认证计费网络防病毒技术与策略使用路由器+防火墙保护网络边界构建入侵检测系统扩展访问列表与应用PIX防火墙的配置与应用本章难点：构建入侵检测系统扩展访问列表与应用PIX防火墙的配置与应用

第8章网络系统安全部署

2024/7/18第8章网络系统安全部署8.1网络安全威胁与对策网络的组成元素网络节点网络节点网络节点网络节点网络节点网络终端

设备网络终端

设备元素说明：该元素由网络交换机、路由器、防火墙等网络传输设备组成，进行用户网络数据的交换处理。元素说明：该元素由网络服务器，用户网络客户端等网络终端设备组成。网络传输网络终端

设备网络终端

设备现有网络中存在的问题导致这些问题的原因是什么现有网络安全体制网络安全的演化病毒的演化趋势木马程序、黑客应用安全网络安全保护需求网络安全保护对策2024/7/18第8章网络系统安全部署拨号用户B拨号用户C拨号用户A拨号用户DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全信息丢失未授权接入非法外联监控安全事件处理IT系统运维面临的问题2024/7/18第8章网络系统安全部署导致这些问题的原因是什么？

病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%

软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。

移动用户越来越多：网络用户往往跨越多个工作区域以上相关数据来自Symantec。2024/7/18第8章网络系统安全部署现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey资料来源： ComputerSecurityInstitute2024/7/18第8章网络系统安全部署网络安全的演化第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快2024/7/18第8章网络系统安全部署病毒的演化趋势

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC,2004邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波2024/7/18第8章网络系统安全部署病毒发展史1990199119941996199819992000200120022003主流病毒行态木马、蠕虫2024/7/18第8章网络系统安全部署病毒发展史（续1）引导区病毒台式电脑第1代第2代第3代第4代台式电脑台式电脑台式电脑台式电脑LAN服务器基于文件的病毒邮件群发病毒

互联网防毒墙电子邮件

服务器墙台式电脑笔记本电脑网络病毒

互联网防毒墙服务器服务器服务器服务器台式电脑台式电脑台式电脑笔记本电脑已打补丁的机器网络拥堵2024/7/18第8章网络系统安全部署Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染2024/7/18第8章网络系统安全部署病毒出现越来越快

冲击波2003年8月11日补丁：MS03-0262003年7月16日补丁：

MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26天185天336天尼姆达补丁：

MS00-0782000年10月17日2001年9月18日震荡波2004年5月1日补丁：MS04-011

2004年4月13日18

天2024/7/18第8章网络系统安全部署网络病毒的特征通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作，可能会引起严重的网络负载如果攻击是属于常规的应用，例如SQL,IIS等就可能穿过防火墙2024/7/18第8章网络系统安全部署木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题.中国地区危害最为严重的十种木马病毒，分别是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好人”，达到其偷取隐私信息的险恶目的木马程序2024/7/18第8章网络系统安全部署

木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。木马程序2024/7/18第8章网络系统安全部署

黑客攻击愈加猖獗据国家计算机应急处理协调中心（CNCERT/CC）统计：2003年，我国互联网内共有272万台主机受到攻击，造成的损失数以亿计；攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流2024/7/18第8章网络系统安全部署垃圾邮件成为公害据中国互联网中心统计，现在，我国用户平均每周受到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力，垃圾邮件泛滥造成严重后果它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容2024/7/18第8章网络系统安全部署垃圾邮件的发展速度和趋势数据来源：Radicati，2004.62024/7/18第8章网络系统安全部署应用安全设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关2024/7/18第8章网络系统安全部署移动用户D广域网如何进行信息系统的等级化保护？

各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略2024/7/18第8章网络系统安全部署完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internetp用户如何管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起系统安全漏洞微软每周都有数个修正档需要更新2003年Windows2000Server有50个漏洞补丁2024/7/18第8章网络系统安全部署Internet用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网2024/7/18第8章网络系统安全部署Internet用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒与攻击2024/7/18第8章网络系统安全部署我们怎么办?2024/7/18第8章网络系统安全部署语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网段校园网服务器群Internet保户网络与基础设施的安全1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性保护边界与外部连接边界进出数据流的有效控制与监视保护计算环境操作系统数据库系统终端保护应用业务系统办公自动化系统其他应用系统......网络基础设施保护需求教学网段5内部办公N2024/7/18第8章网络系统安全部署Intranet2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤2024/7/18第8章网络系统安全部署计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制2024/7/18第8章网络系统安全部署DMZ?E-Mail

??HTTPIntranet学校网络教学区教务区财务部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令Modem用户安全培训授权复查入侵检测实时监控安装认证&授权数据文件加密添加所有操作系统Patch2024/7/18第8章网络系统安全部署看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮2024/7/18第8章网络系统安全部署采取的解决办法一对于非法访问及攻击类

-----在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统2024/7/18第8章网络系统安全部署领导网段Internet防火墙、IPSECVPN、SSLVPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段52024/7/18第8章网络系统安全部署采取的解决办法二对于病毒、蠕虫、木马类

-----实施全网络防病毒系统对于垃圾邮件类

-----在网关处实施防垃圾邮件系统2024/7/18第8章网络系统安全部署Internet邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段52024/7/18第8章网络系统安全部署采取的解决办法三对于内部信息泄露、非法外联、内部攻击类

-----在各网络中安装IDS系统

-----在系统中安装安全隐患扫描系统

-----在系统中安装事件分析响应系统

-----在主机中安装资源管理系统

-----在主机中安装防火墙系统

-----在重要主机中安装内容过滤系统

-----在重要主机中安装VPN系统2024/7/18第8章网络系统安全部署人事商务网段Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段52024/7/18第8章网络系统安全部署采取的解决办法四对于系统统一管理、信息分析、事件分析响应

-----在网络中配置管理系统

-----在网络中配置信息审计系统

-----在网络中配置日志审计系统

-----在网络中补丁分发系统

-----在网络中配置安全管理中心2024/7/18第8章网络系统安全部署销售体系网段NInternet安全审计中心领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段52024/7/18第8章网络系统安全部署安全管理中心专家库Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3安服网段教学网段4网管网段校园网服务器群教学网段52024/7/18第8章网络系统安全部署问题时间2024/7/18第8章网络系统安全部署8.2网络安全接入与认证802.1x协议及工作机制基于RADIUS的认证计费基于802.1x的认证计费几种认证方式比较防止IP地址盗用

802.1x+RADIUS的应用案例

2024/7/18第8章网络系统安全部署8.2.1802.1x协议及工作机制802.1x协议称为基于端口的访问控制协议（PortBasedNetworkAccessControlProtocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（ExtensibleAuthenticationProtocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAPoverEthernet）的客户端软件与交换机通信。2024/7/18第8章网络系统安全部署802.1x协议包括三个重要部分：客户端请求系统（SupplicantSystem）认证系统（AuthenticatorSystem）认证服务器（AuthenticationServerSystem）8.2.1802.1x协议及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起802.1x协议的认证过程。认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoE协议帧，保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。2024/7/18第8章网络系统安全部署8.2.2基于RADIUS的认证计费衡量RADIUS的标准

RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，NetworkAccessServers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQLServer数据库保存和访问用户配置文件。

RADIUS认证系统的组成RADIUS是一种C/S结构的协议。RadiusClient一般是指与NAS通信的、处理用户上网验证的软件；RadiusServer一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理，这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。

RADIUS的工作原理用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、口令等相关信息。其中用户口令是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证。如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问。如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。2024/7/18第8章网络系统安全部署8.2.3基于802.1x的认证计费（1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。（2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。（3）如果认证通过，则认证系统的交换机的受控逻辑端口打开。（4）客户端软件发起DHCP请求，经认证交换机转发到DHCPServer。（5）DHCPServer为用户分配IP地址。（6）DHCPServer分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户ID，MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。（7）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。（8）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的“退出”按钮。认证系统检测到该数据包后，会通知AAA（Authentication，Authorization，Accounting）服务器停止计费，并删除用户的相关信息（如MAC和IP地址），受控逻辑端口关闭。用户进入再认证状态。（9）如果上网的PC机异常死机，当验证设备检测不到PC机在线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。2024/7/18第8章网络系统安全部署8.2.4几种认证方式比较PPPoE：

PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在客户机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在客户机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率较低。

Web＋DHCP：采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。802.1x：802.1x协议为二层协议，不需要到达三层，而且接入交换机无须支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。业务报文直接承载在正常的二层报文上，用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。在认证过程中，802.1x不用封装帧到以太网中，效率相对较高。2024/7/18第8章网络系统安全部署8.2.5防止IP地址盗用1.使用ARP命令（1）使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆绑在一起。这样，就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后，地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下：ARP-s-d-a-s：将相应的IP地址与物理地址的捆绑，如以上所举的例子。-d：删除相应的IP地址与物理地址的捆绑。-a：通过查询ARP协议表显示IP地址和对应物理地址的情况。（2）使用交换机的ARP命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp0010.5CAD.72E3arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：noarp即可。2024/7/18第8章网络系统安全部署8.2.5防止IP地址盗用2.使用802.1x的安全接入与Radius认证（1）采用IP和账号绑定，防止静态IP冲突

用户进行802.1x认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后，再更改IP时，Radius客户端软件能够检测到IP的更改，即刻剔除用户下线，从而不会造成IP冲突。（2）采用客户IP属性校验，防止动态IP冲突

用户进行802.1X认证前不用动态获得IP，而是静态指定。认证前用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。2024/7/18第8章网络系统安全部署8.2.6802.1x+RADIUS的应用案例2024/7/18第8章网络系统安全部署8.3网络病毒及防御瑞星网络版的防杀毒系统2024/7/18第8章网络系统安全部署8.4保护网络边界网络边界防火墙和路由器应用使用网络DMZ构建入侵检测系统路由器认证技术及应用

2024/7/18第8章网络系统安全部署防火墙和路由器应用

-1边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝服务（DoS，DenialofService）攻击，禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络（公共的或私有的）或系统，防火墙都能把网络中的各个段隔离开并进行保护。

双防火墙体系结构

2024/7/18第8章网络系统安全部署防火墙和路由器应用

-2防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作（下图），边界路由器是安全的第一道屏障。通常的做法是，将路由器设置为执报文筛选和NAT，而让防火墙来完成特定的端口阻塞和报文检查，这样的配置将整体上提高网络的性能。根据这个网络结构设置防火墙，最安全也是最简单的方法就是：首先阻塞所有的端口号并且检查所有的报文，然后对需要提供的服务有选择地开放其端口号。通常来说，要想让一台Web服务器在Internet上仅能够被匿名访问，只开放80端口（http协议）或443端口（https–SSL协议）即可。2024/7/18第8章网络系统安全部署使用网络DMZ

把Web服务器放在DMZ中，必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时，连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样，就证实了DMZ是一种安全性较高的措施；所以除了Web服务器，还应该考虑把E-mail（SMTP/POP）服务器和FTP服务器等，也一同放在DMZ中。2024/7/18第8章网络系统安全部署8.4.3构建入侵检测系统入侵检测系统可分为基于网络的IDS，基于主机的IDS、分布式IDS和智能IDS。基于网络的IDS适应能力强，其开发难度略小于其他几种。根据CIDF规范，一般从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如下图所示。2024/7/18第8章网络系统安全部署构建入侵检测系统建构步骤获取libpcap和tcpdump审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用libpcap和tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。libpcap和tcpdump在网上广为流传，读者可以到相关网站下载。

libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。

tcpdump是用于网络监控的工具，是Unix上常用的sniffer。它的实现基于libpcap接口，通过应用布尔表达式进行过滤转换、包获取和包显示等功能。tcpdump可以帮助网管员描述系统的正常行为，并最终识别出那些不正常的行为。当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。

构建并配置探测器，实现数据采集

应根据自己网络的具体情况，选用合适的软件及硬件设备。如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。在Linux服务器上开出一个日志分区，用于采集数据的存储。①创建libpcap库。从网上下载的通常都是libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用make命令创建ibpcap库。libpcap安装完毕之后，将生成一个libpcap库三个include文件和一个man页面（即用户手册）。②创建tcpdump。与创建libpcap的过程一样，先将压缩包解压缩、解包到与libpcap相同的父目录下，然后配置、安装tcpdump。

建立数据分析模块数据分析模块相当于IDS的大脑，必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订出相应的安全规则库和安全策略；再分别建立滥用检测模型和异常检测模型，让机器模拟人脑的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。设计数据分析模块的工作量浩大，需要特别注意三个问题：①应优化检测模型和算法的设计，确保系统的执行效率；②安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；③报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。

构建控制台子系统

控制台子系统的主要任务有两个：①管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；②根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。

构建数据库管理子系统

该模块的数据来源有两个：①数据分析子系统发来的报警信息及其他重要信息；②管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。

联调

以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。2024/7/18第8章网络系统安全部署8.4.5路由器认证技术及应用1.OSPF协议

OSPF（OpenShortestPathFirst）是一个内部网关协议（IGP，InteriorGatewayProtocol），用于在单一自治系统（AS，AutonomousSystem）内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。任务命令指定使用OSPF协议routerospfprocess-id1指定与该路由器相连的网络networkaddress

wildcard-maskareaarea-id指定与该路由器相邻的节点地址neighborip-address2024/7/18第8章网络系统安全部署OSPF基本配置举例由4台Cisco2621路由器组成的网络互连拓扑，如上图所示。路由器之间的连接采用OSPF协议，组成3个区域。路由器子网IPv4地址设置，如上图所示。2024/7/18第8章网络系统安全部署OSPF基本配置举例

Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52routerospf100networkarea0network283area1Router2:interfaceethernet0ipaddress592interfaceserial0ipaddress52routerospf200networkarea0network43area2Router3:interfaceethernet0ipaddress3092routerospf300network283area1Router4:interfaceethernet0ipaddress692routerospf400network43area12024/7/18第8章网络系统安全部署使用身份验证

为了安全的原因，可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能，纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。而消息摘要(md5)身份验证在传输身份验证口令前，要对口令进行加密，因此一般建议使用此种方法进行身份验证。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。如上表所示。任务命令指定身份验证areaarea-idauthentication[message-digest]使用纯文本身份验证ipospfauthentication-keypassword使用消息摘要(md5)身份验证ipospfmessage-digest-keykeyidmd5key2024/7/18第8章网络系统安全部署身份验证案例例1.使用纯文本身份验证：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf100networkarea0network283area1area0authenticationRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf200networkarea0network43area2area0authentication例2.消息摘要（md5）身份验证：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf100networkarea0network283area1area0authenticationmessage-digestRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf200networkarea0network43area2area0authenticationmessage-digest2024/7/18第8章网络系统安全部署8.5访问控制列表与应用ACL概貌ACL配置扩展ACLACL应用2024/7/18第8章网络系统安全部署什么是ACL?ACL是针对路由器处理数据报转发的一组规则，路由器利用这组规则来决定数据报允许转发还是拒绝转发如果不设置ACL路由器将转发网络链路上所有数据报，当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以可以利用下列参数允许或拒绝发送数据报：源地址目的地址上层协议(例如：TCP&UDP端口号)ACL可以应用于该路由器上所有的可路由协议，对于一个接口上的不同网络协议需要配置不同的ACL2024/7/18第8章网络系统安全部署使用ACL检测数据报为了决定是转发还是拒绝数据报，路由器按照ACL中各条语句的顺序来依次匹配该数据报当数据报与一条语句的条件匹配了，则将忽略ACL中的剩余所有语句的匹配处理，该数据报将按照当前语句的设定来进行转发或拒绝转发的处理在ACL的最后都有一条缺省的“denyany”语句如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上，传送的方法有多种：TFTP、HyperTerm软件的“PastetoHost”功能2024/7/18第8章网络系统安全部署路由器如何使用ACL（出站）检查数据报是否可以被路由，可路由地将在路由表中查询路由检查出站接口的ACL如果没有ACL，将数据报交换到出站的接口如果有ACL，按照ACL语句的次序检测数据报直至有了匹配条件，按照匹配条件的语句对数据报进行数据报的允许转发或拒绝转发如果没有任何语句匹配，将怎样？——使用缺省的“denyany”(拒绝所有)语句2024/7/18第8章网络系统安全部署出站标准ACL处理流程出站数据报进行路由表的查询接口有ACL?源地址匹配？列表中的下一项更多的项目？执行条件允许Permit拒绝Deny否否无是是有向源站发送ICMP信息转发数据报2024/7/18第8章网络系统安全部署在全局配置模式下按序输入ACL语句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out两个基本的步骤（标准ACL）2024/7/18第8章网络系统安全部署access-list-number参数ACL有多种类型，access-list-number与ACL的类型有关下表显示了主要的一些ACL类型与access-list-number的关系ACL类型access-list-number标准IP1to99扩展IP100to199AppleTalk600to699标准IPX800to899扩展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章网络系统安全部署permit/deny参数在输入了access-list命令并选择了正确的

access-list-number后，需要使用permit或

deny参数来选择希望路由器采取的动作PermitDeny向源站发送ICMP消息转发数据报Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章网络系统安全部署{test-conditions}参数在ACL的{testconditions}部分，需要根据存取列表的不同输入不同的参数使用最多的是希望控制的IP地址和通配符掩码IP地址可以是子网、一组地址或单一节点地址路由器使用通配符掩码来决定检查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩码2024/7/18第8章网络系统安全部署通配符掩码通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的0二进制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩码)2024/7/18第8章网络系统安全部署通配符掩码2024/7/18第8章网络系统安全部署之后若干张幻灯片中将练习处理通配符掩码，类似于子网掩码，这需要一段时间掌握计算表示下列网络中的所有节点的通配符掩码：

答案：55这个通配符掩码与C类地址的子网掩码正好相反注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的通配符掩码练习2024/7/18第8章网络系统安全部署计算表示下列子网中所有节点的通配符掩码：224答案是：211与24正好相反二进制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)为了证明通配符掩码的工作，请看.32子网中的节点地址——511000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩码通配符掩码练习2024/7/18第8章网络系统安全部署在下面的例子中，蓝色的位是必须匹配检查的位11000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩码必须牢记：通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位在本例中，根据通配符掩码中为0的位，比较数据报的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配针对掩码为92的4子网的控制IP地址和通配符掩码?答案：43通配符掩码练习2024/7/18第8章网络系统安全部署针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55通配符掩码练习2024/7/18第8章网络系统安全部署计算控制的IP地址和通配符掩码是比较复杂的，尤其是控制网络中的一部分节点时为了控制网络中一部分节点往往需要在二进制方式下进行计算例如：学生使用到27地址范围，教师使用28到55地址范围。这些地址处在相同的网络中/24怎样来计算？控制一段地址范围内的节点2024/7/18第8章网络系统安全部署对于学生使用的地址范围首先，以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的，所以可以忽略它们，在通配符掩码中相应的位必须为“0”第一个地址：最后一个地址：其次，查找前面的两者相同的位(下图的蓝色部分)00这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验例子：地址区域到.127和.128到.255控制一段地址范围内的节点2024/7/18第8章网络系统安全部署第三，计算剩余节点地址部分的十进制值(127)最后，决定控制的IP地址和通配符掩码控制的IP地址可以使用所控制范围内的任何一个节点地址，但约定俗成的使用所控制范围的第一个节点地址相对于上述相同的位在通配符掩码中为“0”27对于教师部分地址：28(10000000)到55(11111111)答案：2827请思考两者的不同例子：地址区域到.127和.128到.255控制一段地址范围内的节点2024/7/18第8章网络系统安全部署控制网络/24中的所有偶数地址的控制IP地址和通配符掩码？答案：54控制网络/24中的所有奇数地址的控制IP地址和通配符掩码？答案：54控制一段地址范围内的节点2024/7/18第8章网络系统安全部署由于ACL末尾都有一个隐含的“denyany”语句，需要在ACL前面部分写入其他“允许”的语句使用上面的例子，如果不允许学生访问而其他的访问都允许，需要如下两条语句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效，为了方便输入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令2024/7/18第8章网络系统安全部署众多情况下，网络管理员需要在ACL处理单独节点的情况，可以使用两种命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令2024/7/18第8章网络系统安全部署标准ACL不处理目的地相关参数，因此，标准ACL应该放置在最接近目的地的地点请参考下图来考虑上述放置地点的原因，如果将语句“deny55”放置在Lab-A路由器的E0接口上时，网络中的数据通讯情况这样所有网络向外的通讯数据全部被拒绝标准ACL的正确放置位置2024/7/18第8章网络系统安全部署扩展ACL的编号为100–199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议，例如：icmp、rip和igrpTCP/IP协议族中的上层协议可以使用名称来表示上层协议，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如：希望允许除了http之外的所有通讯，其余语句是permitipanyanyneg80扩展ACL概貌2024/7/18第8章网络系统安全部署在全局配置模式下逐条输入ACL语句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中将接口划分到各个ACL中(与标准ACL的语法一样)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out两个步骤（扩展ACL）2024/7/18第8章网络系统安全部署access-list-number

从100到199中选择一个{protocol|protocol-number}

对于CCNA，仅仅需要了解ip和tcp——实际上有更多的参数选项{sourcesource-wildcard}与标准ACL相同{destinationdestination-wildcard}与标准ACL相同，但是是指定传输的目的[protocol-specificoptions]本参数用来指定需要过滤的协议扩展的参数2024/7/18第8章网络系统安全部署请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23端口号协议名称21FTP23Telnet25SMTP53DNS6980TFTPWWW端口号2024/7/18第8章网络系统安全部署由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源放置扩展ACL的正确位置2024/7/18第8章网络系统安全部署放置扩展ACL的正确位置在下图中，需要设定网络中的所有节点不能访问地址为4服务器在哪个路由器的哪个接口上放置ACL?在RouterC的E0接口上放置这将防止中的所有机器访问4，但是他们可以继续访问Internet2024/7/18第8章网络系统安全部署Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL2024/7/18第8章网络系统安全部署在CiscoIOS可以命名ACL；当在一个路由器上使用多于99个ACL时这个功能特别有用当输入一个命名的ACL，不需要紧接着输入access-list和access-list-number参数下例中，ACL的名字是over_and，并被使用在接口的出站处理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACL2024/7/18第8章网络系统安全部署Show命令showaccess-lists显示在路由器上的所有配置好的ACLshowaccess-lists{name|number}显示指定的ACLshowipinterface显示接口上使用的ACL——入站和出站showrunning-config显示当前的路由器的整个配置验证ACL2024/7/18第8章网络系统安全部署ACL不检查路由器本身自己产生的数据报ACL只检查其他来源的数据报ACL的特点2024/7/18第8章网络系统安全部署扩展ACL的应用

某企业网络信息中心拓扑结构下图所示。非军事区（DMZ）包括交换机、企业WWW服务器、E-Mail服务器、防火墙、路由器（Cisco2651）和Internet专线连接设施。企业内网包括认证和计费系统（RADIUS）、网络OA系统、ERP系统、核心交换机（Catalyst4506）和汇聚交换机（Catalyst2950G）等设施。2024/7/18第8章网络系统安全部署外网扩展访问控制列表/*仅允许DMZ区服务器的匿名端口开放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保护内网主机的敏感端口，防止病毒、特洛伊木马和蠕虫的攻击*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*将此访问控制列表应用于边界路由器的外网接口*/interfaces0/0ipaccess-group110in2024/7/18第8章网络系统安全部署内网扩展访问控制列表为了防止内网用户攻击或网络病毒攻击内网服务器和主机的敏感端口，在三层交换机设置第二道安全屏障。扩展访问控制列表配置如下：/*仅允许内网服务器的匿名端口开放*/access-list102permittcphost212.207.160.access-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhostaccess-list102denyipanyhost/*保护内网主机的敏感端口，防止病毒、特洛伊木马和蠕虫的攻击*/以下部分与路由器配置相同。/*将此访问控制列表应用于三层交换机的各个VLAN接口*/interfaceVlan20descriptionvlan20ipaddressipaccess-group102in2024/7/18第8章网络系统安全部署8.6防火墙的配置与应用桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙8.6.1PIX防火墙的配置8.6.2PIX防火墙的应用8.6.3双址路由防火墙的应用天融信系列安全产品2024/7/18第8章网络系统安全部署8.6.1PIX防火墙的配置防火墙通常具有至少三个接口，这样就产生了三个网络。（1）内部区域（内网）。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。（2）外部区域（外网）。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务时，通过防火墙，就可以实现有限制的访问。（3）停火区（DMZ）。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。PIX防火墙提供四种管理访问模式：（1）非特权模式。PIX防火墙开机自检后，就是处于这种模式，系统显示为pixfirewall>。（2）特权模式。输入enable进入特权模式，可以改变当前配置，显示为pixfirewall#。（3）配置模式。输入configureterminal进入此模式，绝大部分的系统配置都在这里进行，显示为pixfirewall(config)#。（4）监视模式。PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映像和口令恢复，显示为monitor>。配置PIX防火墙有六个基本命令：nameif，interface，ipaddress，nat，global，route。这些命令在配置PIX时是必须的。2024/7/18第8章网络系统安全部署PIX525防火墙配置的基本步骤（1）配置防火墙接口的名字，并指定安全级别（nameif）。Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifdmzsecurity50在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：Pix525(config)#nameifpix/intf3security40（安全级别任取）（2）配置以太口参数（interface）Pix525(config)#interfaceethernet0auto（auto选项表明系统自适应网卡类型）Pix525(config)#interfaceethernet1100full（100full选项表示100Mbps以太网全双工通信）Pix525(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）（3）配置内外网卡的IP地址（ipaddress）Pix525(config)#ipaddressout