中小型网络设计与安全部署案例分析II.ppt

中小型网络设计与安全部署案例分析主讲人：路由交换提纲1、拓扑图结构分析2、vlan设计3、路由设计4、安全设计（firewall+vpn）5、优化设计Vlan设计1）把4个机房划分成4个VLAN10-402）把服务器群划分成VLAN 503）把三层交换机和路由器相连的链路划分成VLAN50当中4）所有二层交换机和三层交换机相连的端口设置成为TRUNK端口类型路由设计1）三层交换机对路由器设置为默认路由2）路由到内网的用聚合后的静态路由3）路由器到外网用默认路由安全设计1）路由器外网端口开启防攻击设置2）路由器外网端口DENY掉常受攻击的端口3）开启L2TP VPN功能，提供在外的员工安全的进入内网中。网络优化1）按目的地址路由 如果此案例场景为网吧电信网通双光纤网吧网络就应该使用这种策略。（比较简单）2）按源地址路由策略 假如按照拓扑结构图规划，2个机房各用一根光纤，服务器群用一个光纤。（路由策略）三层交换机配置命令1）VLAN间路由的配置命令interface Vlan-interface10 ip address 192.168.1.1 255.255.255.0interface Vlan-interface20 ip address 192.168.2.1 255.255.255.0interface Vlan-interface30 ip address 192.168.3.1 255.255.255.0interface Vlan-interface40 ip address 192.168.4.1 255.255.255.0interface Vlan-interface50ip address 192.168.5.1 255.255.255.02）DHCP配置dhcp server ip-pool 3 network 192.168.3.0 mask 255.255.255.0 gateway-list 192.168.3.1 dns-list 202.101.224.683）服务MAC绑定 arp static 192.168.5.202 0024-e87b-c0e4 arp static 192.168.5.250 0024-e879-6400 arp static 192.168.5.248 c80a-a910-a07c4）三层交换机到路由器的默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.5.2 preference 60路由器的路由设置1）到内网ip route-static 192.168.0.0 255.255.0.0 192.168.5.1 preference 602）到公网ip route-static 0.0.0.0 0.0.0.0 218.*.*.1 preference 60路由器的安全设置1)常受攻击端口关闭acl number 3333 rule 0 deny udp destination-port eq tftp rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 3 deny udp destination-port eq netbios-ns rule 4 deny udp destination-port eq netbios-dgm rule 5 deny tcp destination-port eq 13954rule 6 deny udp destination-port eq netbios-ssn rule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 15 deny tcp destination-port eq 4444 rule 16 deny tcp destination-port eq 9996 rule 17 deny tcp destination-port eq55 rule 18 deny udp destination-port eq 9996 rule 19 deny udp destination-port eq 5554 rule 20 deny tcp destination-port eq 137 rule 21 deny tcp destination-port eq 138 rule 22 deny tcp destination-port eq 1025rule 23 deny udp destination-port eq 1025 rule 24 deny tcp destination-port eq 9995 rule 25 deny udp destination-port eq 9995 rule 26 deny tcp destination-port eq 1068 rule 27 deny udp destination-port eq 1068 rule 28 deny tcp destination-port eq 1023 rule 29 deny udp destination-port eq 1023rule 30 permit icmp icmp-type echo rule 31 permit icmp icmp-type echo-reply rule 32 permit icmp icmp-type ttl-exceeded rule 33 deny icmp rule 34 deny tcp destination-port eq 1433 firewall packet-filter 3333 inbound在接口上下发此ACL，为进入的方向2）常受攻击方式的防范firewall defend land firewall defend smurf firewall defend fraggle firewall defend winnuke firewall defend icmp-redirect firewall defend icmp-unreachable firewall defend source-route firewall defend route-record firewall defend tracert firewall defend ping-of-death firewall defend tcp-flag firewall defend ip-fragment firewall defend large-icmp firewall defend teardrop firewall defend ip-sweep firewall defend port-scan firewall defend arp-spoofing firewall defend arp-reverse-query firewall defend arp-flood firewall defend frag-flood firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable1.IP 地址欺骗（IP Spoofing）攻击为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP 地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root 权限来访问。2.Land 攻击所谓 Land 攻击，就是把TCP SYN 包的源地址和目标地址都配置成受害者的IP 地址。这将导致受害者向它自己的地址发送SYN-ACK 消息，结果这个地址又返回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land 攻击反应不同，许多UNIX 主机将崩溃，Windows NT 主机会变的极其缓慢。3.Smurf 攻击简单的 Smurf 攻击，用来攻击一个网络。方法是发ICMP 应答请求，该请求包的目标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP 应答请求作出答复，导致网络阻塞。高级的 Smurf 攻击主要用来攻击目标主机。方法是将上述ICMP 应答请求包的源地址改为受害主机的地址，最终导致受害主机接收到大量的ICMP 应答消息而崩溃。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。Smurf 攻击的另一个变体为Fraggle 攻击。4.WinNuke 攻击WinNuke 攻击通常向装有Windows 系统的特定目标的NetBIOS 端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS 片断重叠，致使目标主机崩溃。还有一种是IGMP 分片报文，一般情况下，IGMP 报文是不会分片的，所以，不少系统对IGMP 分片报文的处理有问题。如果收到IGMP 分片报文，则基本可判定受到了攻击。5.SYN Flood 攻击由于资源的限制，TCP/IP 栈只能允许有限个TCP 连接。而SYN Flood 攻击正是利用这一点，它伪造一个SYN 报文，其源地址是伪造的或者是一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK 应答，而此应答发出去后，不会收到ACK 报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood 具有类似的影响，它会消耗掉系统的内存等资源。6.ICMP 和UDP Flood 攻击这种攻击短时间内用大量的 ICMP 消息（如ping）和UDP 报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。7.地址扫描与端口扫描攻击运用扫描工具探测目标地址和端口，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上，这些主机使用哪些端口提供服务，为后续的攻击做准备。8.Ping of Death 攻击所谓 Ping of Death，就是利用一些尺寸超大的ICMP 报文对系统进行的一种攻击。IP 报文的长度字段为16 位，这表明一个IP 报文的最大长度为65535。对于ICMP 回应请求报文，如果数据长度大于65507，就会使ICMP 数据IP 头长度(20)ICMP头长度（8）65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。3）L2tp vpn 设置 l2tp enable 使能L2TP local-user password simple vpnuser L2TP用户名和密码 ip pool 1 10.1.2.10 10.1.2.20 给L2TP分配的地址池 PC作为LAC，直接发起L2TP隧道interface Virtual-Template0使能L2TP的虚接口 ip address 10.1.2.1 255.255.255.0 remote address pool 1给L2TP客户分配地址池1中的地址 l2tp-group 1 创建L2TP组undo tunnel authentication allow l2tp virtual-template 0取消隧道验证。默认启用，这时LAC和LNS必须配置隧道验证字。allow l2tp virtual-template 0 在虚接口0上启用L2TP 4）出口优化设计acl number 2100 match-order auto rule 0 permit source 192.168.4.0 0.0.0.255 rule 1 denyacl number 2600 match-order auto rule 0 permit source 192.168.5.0 0.0.0.255route-policy sjxjf permit node 1 if-match acl 2100 apply ip-address next-hop 10.20.160.1route-policy sjxjf permit node 6 if-match acl 2600 apply ip-address next-hop 218.*.*.1interface GigabitEthernet3/0 speed 100 ip address 192.168.5.2 255.255.255.0 ip policy route-policy sjxjf#5）服务器映射 nat server protocol tcp global 218.*.*.*www inside 192.168.5.254 www nat server protocol tcp global 218.*.*.*ftp inside 192.168.5.254 ftp谢谢谢谢