《RCNA-园区网安全-10.ppt》由会员分享,可在线阅读,更多相关《RCNA-园区网安全-10.ppt(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、园区网安全园区网安全RCNA_10RCNA_10RCNA_10RCNA_10学习目标 通过本章的学习,希望您能够:通过本章的学习,希望您能够:了解园区网安全隐患了解园区网安全隐患掌握交换机端口安全原理及配置方法掌握交换机端口安全原理及配置方法掌握掌握ACLACL的工作原理及配置方法的工作原理及配置方法本章内容 园区网安全隐患园区网安全隐患园区网的常见安全隐患园区网的常见安全隐患 园区网安全解决方案的整体思园区网安全解决方案的整体思路路 交换机端口安全交换机端口安全交换机端口安全概述交换机端口安全概述端口安全的配置端口安全的配置 访问控制列表访问控制列表访问控制列表概述访问控制列表概述ACLAC
2、L的种类的种类配置配置ACLACL课程议题园区网安全隐患园区网安全隐患园区网的常见安全隐患 网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。统资源的潜在的环境、条件或事件。园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为(如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息(如使用不当、安全意
3、识差等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。丢失、电子监听(信息流量分析、信息窃取等)和信息战等。非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏。来自园区网外部和内部人员的恶意攻击和破坏。园区网安全解决方案的整体思路 制定一个严格的安全策略制定一个严格的安全策略可以通过交换机端口安全、配置访问控制列表可以通过交换机端口安全、配置访问控制列表ACLACL、在防火墙实现包过滤、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。等技术来实现一套可行的园区网
4、安全解决方案。宣传教育宣传教育课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全交换机端口安全概述 交换机的端口安全机制是工作在交换机二层端口上的一个安全特性交换机的端口安全机制是工作在交换机二层端口上的一个安全特性只允许特定只允许特定MACMAC地址的设备接入到网络中,从而防止用户将非法或未授权地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络。的设备接入网络。限制端口接入的设备数量,防止用户将过多的设备接入到网络中。限制端口接入的设备数量,防止用户将过多的设备接入到网络中。配置端口安全存在以下限制:配置端口安全存在以下限制:一个安全端口必须是一个一个安全端口必须
5、是一个AccessAccess端口,及连接终端设备的端口,而非端口,及连接终端设备的端口,而非TrunkTrunk端口。端口。一个安全端口不能是一个聚合端口(一个安全端口不能是一个聚合端口(AggregatePortAggregatePort)。)。一个安全端口不能是一个安全端口不能是SPANSPAN的目的端口。的目的端口。交换机端口安全概述 当配置完成端口安全之后,如果当违例产生时,可以设置下面几种当配置完成端口安全之后,如果当违例产生时,可以设置下面几种针对违例的处理模式:针对违例的处理模式:protectprotect:当安全地址个数满后,安全端口将丢弃未知名地址:当安全地址个数满后,安
6、全端口将丢弃未知名地址(不是该端口不是该端口的安全地址中的任何一个的安全地址中的任何一个)的包的包restrictrestrict:当违例产生时,交换机不但丢弃接收到的帧(:当违例产生时,交换机不但丢弃接收到的帧(MACMAC地址不在安全地址不在安全地址表中),而且将发送一个地址表中),而且将发送一个SNMPTrapSNMPTrap报文报文shutdownshutdown:当违例产生时,交换机将丢弃接收到的帧(:当违例产生时,交换机将丢弃接收到的帧(MACMAC地址不在安地址不在安全地址表中),发送一个全地址表中),发送一个SNMPTrapSNMPTrap报文,而且将端口关闭。报文,而且将端口
7、关闭。端口安全的配置打开该接口的端口安全功能打开该接口的端口安全功能设置接口上安全地址的最大个数设置接口上安全地址的最大个数配置处理违例的方式配置处理违例的方式Switch(conifg-if)#switchport port-securitySwitch(conifg-if)#switchport port-security maximumnumberSwitch(conifg-if)#switchport port-security violation protect|restrict|shutdown 配置安全端口上的安全地址配置安全端口上的安全地址配置安全端口上的安全地址当端口由于违规
8、操作而进入当端口由于违规操作而进入“err-disabled”err-disabled”状态后,必须在全局模式下使状态后,必须在全局模式下使用如下命令手工将其恢复为用如下命令手工将其恢复为UPUP状态:状态:设置端口从设置端口从“err-disabled”err-disabled”状态自动恢复所等待的时间状态自动恢复所等待的时间Switch(conifg-if)#switchport port-securitymac-addressmac-addressip-addressip-addressSwitch(conifg)#errdisable recoverySwitch(conifg)#er
9、rdisable recovery interval time配置安全地址的老化时间配置安全地址的老化时间关闭一个接口的安全地址老化功能(老化时间为关闭一个接口的安全地址老化功能(老化时间为0 0)使老化时间仅应用于动态学习到的安全地址使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchport port-security agingstatic|timetimeSwitch(conifg-if)#no switchport port-security aging timeSwitch(conifg-if)#no switchport port-securit
10、y aging static查看端口安全信息显示所有接口的安全设置状态、违例处理等信息显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息,显示安全地址及老化时间来查看安全地址信息,显示安全地址及老化时间显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等及违例处理方式等Router#show port-security interfaceinterface-idRouter#show port-security address Router#show port-security 课程议题访问控
11、制列表访问控制列表访问控制列表概述 访问表(访问表(accesslistaccesslist)是一个有序的语句集,它通过匹配报文中信)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。息与访问表参数,来允许报文通过或拒绝报文通过某个接口。访问控制列表概述 访问控制列表总的说起来有下面三个作用访问控制列表总的说起来有下面三个作用:安全控制安全控制流量过滤流量过滤数据流量标识数据流量标识ACL工作原理及规则 ACLACL语句有两个组件:一个是条件,一个是操作。语句有两个组件:一个是条件,一个是操作。条件:条件基本上一个组规则条件:条件基本上一个组规则操作:
12、当操作:当ACLACL语句条件与比较的数据包内容匹配时,可以采取允许和拒绝语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。两个操作。ACL工作原理及规则 入站入站ACLACLACL工作原理及规则 出站出站ACLACLACL工作原理及规则 基本规则、准则和限制基本规则、准则和限制ACLACL语句按名称或编号分组;语句按名称或编号分组;每条每条ACLACL语句都只有一组条件和操作,如果需要多个条件或多个行动,则语句都只有一组条件和操作,如果需要多个条件或多个行动,则必须生成多个必须生成多个ACLACL语句;语句;如果一条语句的条件中没有找到匹配,则处理列表中的下一条语句;如果一条语句
13、的条件中没有找到匹配,则处理列表中的下一条语句;如果在如果在ACLACL组的一条语句中找到匹配,则不再处理后面的语句;组的一条语句中找到匹配,则不再处理后面的语句;如果处理了列表中的所有语句而没有指定匹配,不可见到的隐式拒绝语句如果处理了列表中的所有语句而没有指定匹配,不可见到的隐式拒绝语句拒绝该数据包;拒绝该数据包;由于在由于在ACLACL语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,所有数据包都会被拒绝;所有数据包都会被拒绝;语句的顺序很重要,约束性最强的语句应该放在列表的顶部,约束性最弱语句的顺序很重要,约束性最强的语句应该放
14、在列表的顶部,约束性最弱的语句应该放在列表的底部;的语句应该放在列表的底部;ACL工作原理及规则 基本规则、准则和限制基本规则、准则和限制一个空的一个空的ACLACL组允许所有数据包,空的组允许所有数据包,空的ACLACL组已经在路由器上被激活,但组已经在路由器上被激活,但不包含语句的不包含语句的ACLACL,要使隐式拒绝语句起作用,则在,要使隐式拒绝语句起作用,则在ACLACL中至少要有一条中至少要有一条允许或拒绝语句;允许或拒绝语句;只能在每个接口、每个协议、每个方向上应用一个只能在每个接口、每个协议、每个方向上应用一个ACLACL;在数据包被路由到其它接口之前,处理入站在数据包被路由到其
15、它接口之前,处理入站ACLACL;在数据包被路由到接口之后,而在数据包离开接口之前,处理出站在数据包被路由到接口之后,而在数据包离开接口之前,处理出站ACLACL;当当ACLACL应用到一个接口时,这会影响通过接口的流量,但应用到一个接口时,这会影响通过接口的流量,但ACLACL不会过滤路不会过滤路由器本身产生的流量。由器本身产生的流量。ACL工作原理及规则 ACLACL放置在什么位置放置在什么位置:只过滤数据包源地址的只过滤数据包源地址的ACLACL应该放置在离目的地尽可能近的地方;应该放置在离目的地尽可能近的地方;过滤数据包的源地址和目的地址以及其他信息的过滤数据包的源地址和目的地址以及其
16、他信息的ACLACL,则应该放在离源地,则应该放在离源地址尽可能近的地方;址尽可能近的地方;只过滤数据包中的源地址的只过滤数据包中的源地址的ACLACL有两个局限性:有两个局限性:即使即使ACLACL应用到路由器应用到路由器C C的的E0E0,任何用户,任何用户A A来的流量都将被禁止访问该网来的流量都将被禁止访问该网段的任何资源,包括数据库服务器。段的任何资源,包括数据库服务器。流量要经过所有到达目的地的途径,它在即将到达目的地时被丢弃,这是流量要经过所有到达目的地的途径,它在即将到达目的地时被丢弃,这是对带宽的浪费。对带宽的浪费。ACL的种类 两种基本的两种基本的ACLACL:标准:标准A
17、CLACL和扩展和扩展ACLACL 标准标准IPACLIPACL只能过滤只能过滤IPIP数据包头中的源数据包头中的源IPIP地址地址 扩展扩展IPACLIPACL可以过滤源可以过滤源IPIP地址、目的地址、目的IPIP地址、协议(地址、协议(TCP/IPTCP/IP)、)、协议信息(端口号、标志代码)等,协议信息(端口号、标志代码)等,标准ACL 标准标准ACLACL只能过滤只能过滤IPIP数据包头中的源数据包头中的源IPIP地址地址 标准标准ACLACL通常用在路由器配置以下功能:通常用在路由器配置以下功能:限制通过限制通过VTYVTY线路对路由器的访问(线路对路由器的访问(telnette
18、lnet、SSHSSH););限制通过限制通过HTTPHTTP或或HTTPSHTTPS对路由器的访问;对路由器的访问;过滤路由更新。过滤路由更新。标准ACL 通过两种方式创建标准通过两种方式创建标准ACLACL:编号或名称:编号或名称 使用编号使用编号使用编号创建使用编号创建ACLACL在接口上应用在接口上应用In:当流量从网络网段进入路由器接口时Out:当流量离开接口到网络网段时Router(config)#access-list listnumber permit|denyaddresswildcardmaskRouter(config-if)#ip access-group id|nam
19、ein|out标准ACL 使用命名使用命名定义定义ACLACL名称名称定义规则定义规则在接口上应用在接口上应用Router(config)#ip access-list standardnameRouter(config-std-nacl)#deny|permit sourcewildcardanyRouter(config-if)#ip access-group id|namein|out扩展访问控制列表 扩展的扩展的IPIP访问表用于扩展报文过滤能力。一个扩展的访问表用于扩展报文过滤能力。一个扩展的IPIP访问表允许访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口用户根
20、据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。以及在特定报文字段中允许进行特殊位比较的各种选项。扩展访问控制列表 可以通过两种方式为扩展可以通过两种方式为扩展ACLACL语句分组:通过编号或名称语句分组:通过编号或名称 编号的扩展编号的扩展编号的扩展编号的扩展ACLACL创建扩展创建扩展创建扩展创建扩展ACLACL接口上应用接口上应用接口上应用接口上应用Router(config)#access-listlistnumber permit|denyprotocolsourcesource-wildcardmaskdestinationde
21、stination-wildcardmaskoperatoroperandRouter(config-if)#ip access-group id|namein|out扩展访问控制列表 命名的标准命名的标准命名的标准命名的标准ACLACL定义扩展定义扩展定义扩展定义扩展ACLACL名称名称名称名称定义规则定义规则定义规则定义规则在接口上应用在接口上应用在接口上应用在接口上应用Router(config)#ip acess-list extendednameRouter(config-if)#ip access-group id|namein|outRouter(conig-ext-nacl)#
22、deny|permitprotocolsource source-wildcard|hostsource|anyoperatorport配置标准ACL示例配置扩展ACL示例配置扩展ACL示例验证ACL配置显示所有协议的所有显示所有协议的所有ACLACL查看接口应用的查看接口应用的ACLACL情况情况Router#showaccess-listsRouter#showipaccess-group总结 园区网的安全隐患有很多种,有非人为的,也有非人为的,也有来园区网的安全隐患有很多种,有非人为的,也有非人为的,也有来自园区网外部和内部人员的恶意攻击和破坏。,自园区网外部和内部人员的恶意攻击和破坏。,可以通过交换机端口安全、配置访问控制列表可以通过交换机端口安全、配置访问控制列表ACLACL、在防火墙实现、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。包过滤等技术来实现一套可行的园区网安全解决方案。访问控制列表包括标准的访问控制列表和扩展的访问控制列表。访问控制列表包括标准的访问控制列表和扩展的访问控制列表。