第5章网络安全管理.pptx

第第5章章网络网络安全管理安全管理园区网常见安全隐患 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏；。来自园区网外部和内部人员的恶意攻击和破坏。2威胁3人自然灾害恶意非恶意不熟练的员工（外部）黑客威胁（内部）不满的员工（外部）战争漏洞4物理自然硬件软件媒介通讯人External attackerCorporate AssetsInternal attackerIncorrect permissionsVirus网络安全的演化5第一代第一代第一代第一代 引导性病毒引导性病毒引导性病毒引导性病毒第二代第二代第二代第二代 宏病毒宏病毒宏病毒宏病毒 DOSDOS 电子邮件电子邮件电子邮件电子邮件 有限的黑客有限的黑客有限的黑客有限的黑客攻击攻击攻击攻击第三代第三代第三代第三代 网络网络网络网络DOSDOS攻攻攻攻击击击击 混合威胁混合威胁混合威胁混合威胁（蠕虫（蠕虫（蠕虫（蠕虫+病病病病毒毒毒毒+特洛伊）特洛伊）特洛伊）特洛伊）广泛的系统广泛的系统广泛的系统广泛的系统黑客攻击黑客攻击黑客攻击黑客攻击下一代下一代下一代下一代 网络基础网络基础网络基础网络基础设施黑客设施黑客设施黑客设施黑客攻击攻击攻击攻击 瞬间威胁瞬间威胁瞬间威胁瞬间威胁 大规模蠕大规模蠕大规模蠕大规模蠕虫虫虫虫 DDoSDDoS 破坏有效破坏有效破坏有效破坏有效负载的病负载的病负载的病负载的病毒和蠕虫毒和蠕虫毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快现有网络安全体制6现有网络安全现有网络安全防御体制防御体制IDS68%杀毒软件杀毒软件99%防火墙防火墙98%ACL71%常见解决安全隐患的方案 交换机端口安全配置访问控制列表ACL在防火墙实现包过滤 7交换机端口安全通过限制允许访问交换机上某个端口的MAC地址以及IP（可选）来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。此外，你还可以限制一个端口上能包含的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。为了增强安全性，你可以将 MAC地址和IP地址绑定起来作为安全地址。8交换机端口安全如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。9配置安全端口 interface interface-id 进入接口配置模式。switchport mode access设置接口为access模式（如果确定接口已经处于access模式，则此步骤可以省略）。switchport port-security打开该接口的端口安全功能switchport port-security maximum value设置接口上安全地址的最大个数，范围是1128，缺省值为128。switchport port-security violationprotect|restrict|shutdown设置处理违例的方式当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。ip-address:可选IP 为这个安全地址绑定的地址。10端口安全的默认配置和限制 默认设置：端口安全开关 所有端口均关闭端口安全功能 最大安全地址个数 128 安全地址 无 违例处理方式 保护（protect）配置端口安全限制：一个安全端口不能是一个aggregate port；一个安全端口只能是一个access port11端口安全配置示例下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。Switch#configure terminal Switch（config）#interface gigabitethernet 1/3 Switch（config-if）#switchport mode access Switch（config-if）#switchport port-security Switch（config-if）#switchport port-security maximum 8 Switch（config-if）#switchport port-security violation protect Switch（config-if）#end12验证命令Switch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age（mins）-1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1 7 13验证命令Switch#show port-security Secure Port MaxSecureAddr（count）CurrentAddr（count）Security Action-Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect14访问控制列表标准访问控制列表扩展访问控制列表15ISPIP Access-list：访问列表或访问控制列表，简称：访问列表或访问控制列表，简称IP ACL当网络访问流量较大时当网络访问流量较大时,需要对网络流量进行管理需要对网络流量进行管理 为什么要使用访问列表 为什么要使用访问列表17公网互联网用户对外信息服务器员工上网拒绝信息服务器不能在上班时间进行QQ,MSN等聊天访问权限控制访问权限控制 为什么要使用访问列表18可以是路由器或三层交换机或防火墙网络安全性网络安全性19 访问列表的应用 路由器应用访问列表对流经它的数据包进行限制路由器应用访问列表对流经它的数据包进行限制1.入栈应用入栈应用2.出栈应用出栈应用E0S0是否允许是否允许?源地址源地址目的地址目的地址协议协议以以ICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 一个访问列表多个测试条件22IP ACL的基本准则一切未被允许的就是禁止的一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式从头到尾，至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许、拒绝允许、拒绝”源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111 反掩码1.定义标准定义标准ACL编号的标准访问列表编号的标准访问列表Router(config)#access-list permit|deny 源地址源地址 反掩码反掩码命名的标准访问列表命名的标准访问列表ip access-list standard namedenysource source-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any2.应用应用ACL到接口到接口Router(config-if)#ip access-group|name in|out IP标准访问列表的配置27access-list 1 permit 172.16.0.0 0.0.255.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface fastethernet 0ip access-group 1 outinterface fastethernet 1ip access-group 1 out172.16.3.0172.16.4.0F0S0F1172.17.0.0 IP标准访问列表配置实例2.应用应用ACL到接口到接口Router(config-if)#ip access-group in|out 1.定义扩展的定义扩展的ACL编号的扩展编号的扩展ACLRouter(config)#access-list permit/deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 命名的扩展命名的扩展ACLip access-list extended name deny|permit protocolsource source-wildcard|host source|anyoperator port destination destination-wildcard|host destination|anyoperator port IP扩展访问列表的配置下例显示如何创建一条下例显示如何创建一条Extended IP ACLExtended IP ACL，该，该ACLACL有一条有一条ACEACE，用于允许指定网络（，用于允许指定网络（192.168.x.x192.168.x.x）的所有主机以）的所有主机以HTTPHTTP访问服务器访问服务器172.168.12.3172.168.12.3，但拒绝其它所有主机使，但拒绝其它所有主机使用网络。用网络。Switch Switch（configconfig）#ip access-list extended#ip access-list extended allow_0 xc0a800_to_172.168.12.3 allow_0 xc0a800_to_172.168.12.3 Switch Switch（config-std-naclconfig-std-nacl）#permit tcp#permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch Switch（config-std-naclconfig-std-nacl）#end#end Switch#show access-listsSwitch#show access-lists IP扩展访问列表配置实例扩展访问列表的应用30access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out 31显示全部的访问列表显示全部的访问列表Router#show access-lists显示指定的访问列表显示指定的访问列表Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface 访问列表的验证NAT/NAPT带来的好处解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注册IP地址网络与公网互联；建网时分配了全局IP地址但没注册网络改造中，避免更改地址带来的风险；TCP流量的负载均衡32什么是NAT/NAPTNAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为纯软件NAT防火墙NAT路由器NATNAT的类型NAT（Network Address Translation）转换后，一个本地IP地址对应一个全局IP地址NAPT（Network Address Port Translation）转换后，多个本地地址对应一个全局IP地址33NAT/NAPT的术语内部网络 Inside外部网络 Outside内部本地地址Inside Local Address内部全局地址Inside Global Address外部本地地址Outside Local Address外部全局地址Outside Global Address34互联网OutsideInside企业内部网外部网静态与动态NAT静态NAT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系35NAT示例36可以是动态或静态NAT配置静态NATRed-Giant(config)#ip nat inside source static local-address global-address 定义内部源地址静态转换关系Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络 37配置动态NATRed-Giant(config)#ip nat pool address-pool start-address end-address netmask mask|prefix-length prefix-length 定义全局IP地址池Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool 定义内部源地址动态转换关系Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络 38什么时候用NAPT缺乏全局IP地址甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性39静态与动态NAPT静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址 端口”映射关系40NAPT示例41可以是动态或静态NAPT配置静态NAPTRed-Giant(config)#ip nat inside source static UDP|TCP local-address port global-address port 定义全局IP地址池Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络 42配置动态NAPTRed-Giant(config)#ip nat pool address-pool start-address end-address netmask mask|prefix-length prefix-length 定义全局IP地址池，对于NAPT，一般就定义一个IP地址 Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool interface interface-type interface-number overload(与动态NAT的区别)定义内部源地址动态转换关系Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络 43NAT的监视和维护命令显示命令显示命令show ip nat statisticsshow ip nat statistics show ip nat translations show ip nat translations verboseverbose 清除状态命令clear ip nat translation*clear ip nat translation*clear ip nat translation outsideclear ip nat translation outside local-address global-address 更多的命令用 clear ip nat?4445InternetInternetAccess DeniedUnauthorized ServiceUnauthorized Service(http,ftp,telnet)(http,ftp,telnet)FirewallFirewallAuthorized Authorized ServiceServiceInternal Internal ResourcesResources 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。之间的任何活动，保证了内部网络的安全。什么是防火墙46 1允许网络管理员定义一个中心点来防止非法用户进入内部网络。允许网络管理员定义一个中心点来防止非法用户进入内部网络。2可以很方便地监视网络的安全性，并报警。可以很方便地监视网络的安全性，并报警。3可以作为部署可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用，网络地址变换）的地点，利用NAT技术，将有限的技术，将有限的IP地址动态或静态地与内部的地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短地址对应起来，用来缓解地址空间短缺的问题。缺的问题。4.是审计和记录是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在使用费用的一个最佳地点。网络管理员可以在此向管理部门提供此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。置，并能够依据本机构的核算模式提供部门级的计费。5可以连接到一个单独的网段上，从物理上和内部网段隔开，并在可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署此部署WWW服务器和服务器和FTP服务器，将其作为向外部发布内部信息的服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（地点。从技术角度来讲，就是所谓的停火区（DMZ）。）。防火墙的五大功能47 1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。主机上装反病毒软件。3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据主机上并被执行而发起攻击时，就会发生数据驱动攻击。驱动攻击。防火墙防范不到的地方48常见防火墙的类型主要有两种：包过滤和代理防火墙包过滤防火墙(IPFiltingFirewall)：包过滤(PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。防火墙的类型 49下面是某一包过滤防火墙的访问控制规则：(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；(3)允许任何地址的Email(25口)进入主机150.0.0.3；(4)允许任何WWW数据（80口）通过；(5)不允许其他数据包进入。包过滤防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。防火墙的类型 50代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。防火墙的类型 51代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。防火墙的类型 52RG-WALL 产品线特性特性 (会话数、端口数等会话数、端口数等)性能性能中小型企业、中小型企业、普教行业大中型应用普教行业大中型应用教育城域网等教育城域网等RG-WALL100大型校园网核心大型校园网核心与与ISPISP的互连等的互连等RG-WALL1000RG-WALL1500大型网络大型网络HAHA应用应用VPNVPN网关核心的应用等网关核心的应用等RG-WALL150大中型企业分支、大中型企业分支、教育城域网教育城域网VPNVPN分支机构等分支机构等RG-WALL 50普教行业普教行业中小型应用中小型应用中小学校园网典型应用53WEB服务器服务器MAIL服务器服务器DB服务器服务器DMZ区区内部网内部网InternetRG-WALLRG-WALL典型应用示意图典型应用示意图