欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    园区网的安全技术.ppt

    • 资源ID:65749990       资源大小:1.17MB        全文页数:41页
    • 资源格式: PPT        下载积分:11.9金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要11.9金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    园区网的安全技术.ppt

    第第9 9章章 园区网的安全技术园区网的安全技术 RCNA_T009RCNA_T009RCNA_T009RCNA_T009教学目标 通过本章学习使学员能够:通过本章学习使学员能够:1 1、了解常见的网络安全隐患及常用防范技术;、了解常见的网络安全隐患及常用防范技术;2 2、熟悉交换机端口安全功能及配置、熟悉交换机端口安全功能及配置3 3、掌握基于、掌握基于IPIP的标准、扩展的标准、扩展ACLACL技术进行网络安全访问控制。技术进行网络安全访问控制。本章内容 网络安全隐患网络安全隐患 交换机端口安全交换机端口安全 IPIP访问控制列表访问控制列表课程议题网络安全隐患网络安全隐患网络安全隐患网络安全隐患常见的网络攻击:网络攻击手段多种多样,以上是最常见的几种网络攻击手段多种多样,以上是最常见的几种攻击不可避免攻击工具体系化攻击工具体系化 网络攻击原理日趋复杂,但攻击却变得越来越简单易操作网络攻击原理日趋复杂,但攻击却变得越来越简单易操作额外的不安全因素 DMZ E-Mail File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织现有网络安全体制IDS/IPSIDS/IPSIDS/IPSIDS/IPS68%68%68%68%杀毒软件杀毒软件杀毒软件杀毒软件99%99%99%99%防火墙防火墙防火墙防火墙98%98%98%98%ACLACLACLACL71%71%71%71%VPN VPN 虚拟专用网虚拟专用网防火墙包过滤防病毒入侵检测课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全交换机端口安全 利用交换机的端口安全功能实现利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏,防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如如MACMAC地址攻击、地址攻击、ARPARP攻击、攻击、IP/MACIP/MAC地址欺骗等。地址欺骗等。交换机端口安全的基本功能交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全地址绑定端口的安全地址绑定交换机端口安全 安全违例产生于以下情况:安全违例产生于以下情况:如果一个端口被配置为一个安全端口,当其安全地址的数目已经达如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例:当安全违例产生时,你可以选择多种方式来处理违例:ProtectProtect:当安全地址个数满后,安全端口将丢弃未知名地址(不是:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包该端口的安全地址中的任何一个)的包RestrictRestrict:当违例产生时,将发送一个:当违例产生时,将发送一个TrapTrap通知通知ShutdownShutdown:当违例产生时,将关闭端口并发送一个:当违例产生时,将关闭端口并发送一个TrapTrap通知通知配置安全端口 端口安全最大连接数配置端口安全最大连接数配置switchport port-securityswitchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchport port-security maximum valueswitchport port-security maximum value!设置接口上安全地址的最大个数,范围是!设置接口上安全地址的最大个数,范围是1 1128128,缺省值为,缺省值为128128switchport port-security violationprotect|restrict|shutdownswitchport port-security violationprotect|restrict|shutdown!设置处理违例的方式!设置处理违例的方式 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、当当端端口口因因为为违违例例而而被被关关闭闭后后,在在全全局局配配置置模模式式下下使使用用命命令令errdisable errdisable recovery recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。配置安全端口 端口的安全地址绑定端口的安全地址绑定switchport port-security switchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchport port-security mac-address switchport port-security mac-address mac-addressmac-address ip-address ip-address ip-ip-addressaddress!手工配置接口上的安全地址!手工配置接口上的安全地址 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MACMAC、单、单IPIP、MAC+IPMAC+IP案例(一)下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端口安全功能,上的端口安全功能,设置最大地址个数为设置最大地址个数为8 8,设置违例方式为,设置违例方式为protectprotectSwitch#configure terminal Switch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#switchport port-security violation protect Switch(config-if)#endSwitch(config-if)#end案例(二)下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口安全功能,上的端口安全功能,配置端口绑定地址,主机配置端口绑定地址,主机MACMAC为,为,IPIP为为Switch#configure terminalSwitch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security macSwitch(config-if)#switchport port-security macSwitch(config-if)#endSwitch(config-if)#end查看配置信息 查看所有接口的安全统计信息,包括最大安全地址数,当前安查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等全地址数以及违例处理方式等 Switch#showSwitch#show port-security port-security Secure Port Secure Port MaxSecureAddrMaxSecureAddr CurrentAddrCurrentAddr Security Action Security Action -Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看安全地址信息查看安全地址信息Switch#show port-security addressSwitch#show port-security address VlanVlan Mac Address IP Address Type Port Remaining Mac Address IP Address Type Port Remaining Age(minsAge(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1课程议题IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表什么是访问列表 IP Access-listIP Access-list:IPIP访问列表或访问控制列表,简称访问列表或访问控制列表,简称IP ACLIP ACLACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP 为什么要使用访问列表内网安全运行内网安全运行访问外网的安全控制访问外网的安全控制访问列表 访问控制列表的作用:访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏防止常见病毒、木马、攻击对用户的破坏访问列表的组成 定义访问列表的步骤定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类:访问控制列表规则的分类:1 1、标准访问控制列表、标准访问控制列表2 2、扩展访问控制列表、扩展访问控制列表 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制1.1.入栈应用(入栈应用(inin)经某接口进入设备内部的数据包进行安全规则过滤经某接口进入设备内部的数据包进行安全规则过滤2.2.出栈应用(出栈应用(outout)设备从某接口向外发送数据时进行安全规则过滤设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以以ICMPICMP信息通知源发送方信息通知源发送方以以ICMPICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL的基本准则 一切未被允许的就是禁止的一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配配 规则匹配原则规则匹配原则从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/拒绝拒绝”Y拒绝拒绝Y是否匹配是否匹配规则条件规则条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配规则条件规则条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个条件条件?YYNYY允许允许隐含拒绝隐含拒绝N 一个访问列表多条过滤规则访问列表规则的定义 标准访问列表标准访问列表根据数据包源根据数据包源IPIP地址进行规则定义地址进行规则定义 扩展访问列表扩展访问列表根据数据包中源根据数据包中源IPIP、目的、目的IPIP、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码(通配符)IP标准访问列表的配置1.1.定义标准定义标准ACLACL编号的标准访问列表编号的标准访问列表Router(config)#access-list permit|deny Router(config)#access-list permit|deny 源地址源地址 反掩码反掩码 命名的标准访问列表命名的标准访问列表 switch(config)#ip access-list standard switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny switch(config-std-nacl)#permit|deny 源地址源地址 反掩码反掩码 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out F1/0S1/2F1/1 IP标准访问列表配置实例(一)配置:配置:(access-list 1 deny any)(access-list 1 deny any)interface serial 1/2interface serial 1/2ip access-group 1 outip access-group 1 out标准访问列表配置实例(二)需求:需求:你是某校园网管,领导要你对网络的数据流量进行控制你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。要求校长可以访问财务的主机,但教师机不可以访问。配置:配置:ip access-list extended abcip access-list extended abcpermit host 192.168.2.8 permit host 192.168.2.8 财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长 IP扩展访问列表的配置1.1.定义扩展的定义扩展的ACLACL编号的扩展编号的扩展ACLACLRouter(config)#access-list permit/deny Router(config)#access-list permit/deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 命名的扩展命名的扩展ACLACLip access-list extended name permit/deny ip access-list extended name permit/deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out IP扩展访问列表配置实例(一)如何创建一条扩展如何创建一条扩展ACLACL该该ACLACL有一条有一条ACEACE,用于允许指定网络(,用于允许指定网络(192.168.x.x192.168.x.x)的所有主机以)的所有主机以HTTPHTTP访问服务器,但拒绝其它所有主机使用网络访问服务器,但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 172.168.12.3 eq www Router#show access-lists 103Router#show access-lists 103access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)利用利用ACLACL隔离冲击波病毒隔离冲击波病毒 访问列表的验证 显示全部的访问列表显示全部的访问列表Router#show access-listsRouter#show access-lists 显示指定的访问列表显示指定的访问列表Router#show access-lists Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface Router#show ip interface 接口名称接口名称 接口编号接口编号IP访问列表配置注意事项1 1、一个端口在一个方向上只能应用一组、一个端口在一个方向上只能应用一组ACLACL2 2、锐捷全系列交换机可针对物理接口和、锐捷全系列交换机可针对物理接口和SVISVI接口应用接口应用ACLACL针对物理接口,只能配置入栈应用针对物理接口,只能配置入栈应用(In)(In)针对针对SVISVI(虚拟(虚拟VLANVLAN)接口,可以配置入栈()接口,可以配置入栈(InIn)和出栈()和出栈(OutOut)应用)应用3 3、访问列表的缺省规则是:拒绝所有、访问列表的缺省规则是:拒绝所有课程回顾 网络安全隐患网络安全隐患 交换机端口安全交换机端口安全 IPIP访问控制列表访问控制列表谢谢 谢谢!

    注意事项

    本文(园区网的安全技术.ppt)为本站会员(wuy****n92)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开