《第6章 网络安全技术课件.ppt》由会员分享,可在线阅读,更多相关《第6章 网络安全技术课件.ppt(39页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第六章第六章 网络安全技术网络安全技术 6.1 6.1 访问控制列表的配置与应用访问控制列表的配置与应用教学目标教学目标 n掌握标准访问控制列表掌握标准访问控制列表n掌握扩展访问控制列表掌握扩展访问控制列表n掌握基于时间的访问控制列表掌握基于时间的访问控制列表标准访问控制列表标准访问控制列表标准标准ACLACL(standard access listsstandard access lists)是通过使用)是通过使用IPIP包中的源包中的源IPIP地址地址进行过滤,从而允许或拒绝某个进行过滤,从而允许或拒绝某个 IP IP 网络、子网或主机的所有通信流网络、子网或主机的所有通信流量通过路由器
2、的接口。标准量通过路由器的接口。标准ACLACL配置格式。配置格式。操作操作命令命令创建标准创建标准IPIP访问控制列表访问控制列表 Access-listlist Access-listlist numberpermit|denysource numberpermit|denysource addresswildcard-masklog addresswildcard-masklog 将访问控制列表应用于路由器的将访问控制列表应用于路由器的相应接口相应接口 Router(config-if)#ip access-group Router(config-if)#ip access-group
3、list-numberin|outlist-numberin|out删除标准删除标准IPIP访问控制列表访问控制列表 Router(config)#no access-list list-Router(config)#no access-list list-numbernumber标准访问控制列表标准访问控制列表 list-numberlist-number:取值范围:取值范围1 19999。 deny|permitdeny|permit:拒绝或允许匹配:拒绝或允许匹配ACLACL的数据包。的数据包。 source-addresssource-address:某一个或某一段源地址。:某一个或某
4、一段源地址。 source-wildcardsource-wildcard:通配符掩码。:通配符掩码。 InIn:通过接口进入路由器的报文。:通过接口进入路由器的报文。 OutOut:通过接口离开路由器的报文。:通过接口离开路由器的报文。配置标准访问控制列表:禁止配置标准访问控制列表:禁止hostAhostA访问访问RARA的的E0E0。标准访问控制列表标准访问控制列表 配置命令:配置命令:RA(config)#accessRA(config)#accessRA(config)#access-list 1 permit anyRA(config)#access-list 1 permit an
5、yRA(config)#interface ethernet 0RA(config)#interface ethernet 0RA(config-if)#ip access-group 1 inRA(config-if)#ip access-group 1 in在在HostAHostA上上ping ping 测试。测试。在在HostAHostA上修改上修改IPIP地址,如,再测试。地址,如,再测试。由于不同类型网络协议数据包的格式和特性不同,由于不同类型网络协议数据包的格式和特性不同,ACLACL的定义也要基的定义也要基于每一种协议。于每一种协议。处理入端口数据的标准处理入端口数据的标准ACL
6、ACL 处理出端口数据的标准处理出端口数据的标准ACLACL 扩展访问控制列表扩展访问控制列表 操作操作命令命令创建扩展创建扩展IPIP访问控制列表访问控制列表 Access-list list number permit |deny Access-list list number permit |deny protocol keyword source address source-protocol keyword source address source-wildcard source port destination wildcard source port destination a
7、ddress destination-wildcard address destination-wildcard destination port log optionsdestination port log options将访问控制列表应用于路由器将访问控制列表应用于路由器接口接口 Router(config-if)#ip access-group Router(config-if)#ip access-group access-list-numberin|outaccess-list-numberin|out删除扩展删除扩展IPIP访问控制列表访问控制列表 Router(config)#
8、no access-list access-list-Router(config)#no access-list access-list-numbernumber扩展访问控制列表扩展访问控制列表 从上表中可以看出标准从上表中可以看出标准ACLACL和扩展和扩展ACLACL之间的最主要区别是后者在源地之间的最主要区别是后者在源地址相同后,还会检查数据包中的其它信息,将这些信息同访问条件作址相同后,还会检查数据包中的其它信息,将这些信息同访问条件作比较。比较。 list-numberlist-number:编号范围为:编号范围为100100199199。 ProtocolProtocol:需要被过
9、滤的协议的类型,如:需要被过滤的协议的类型,如IPIP、TCPTCP、UDPUDP、ICMPICMP、EIGRPEIGRP等。等。 portport:端口号,可以是:端口号,可以是eqeq(等于)、(等于)、gtgt(大于)、(大于)、ltlt(小于)、(小于)、neqneq(不等于)、(不等于)、rangerange(范围)等。(范围)等。扩展访问控制列表扩展访问控制列表 配置扩展的访问控制列表:允许配置扩展的访问控制列表:允许HostAHostA远程登录远程登录RARA,但是不可,但是不可pingping。配置命令配置命令 RA(config)#access-list 100 deny i
10、cmp host 10.0.0.2 host RA(config)#access-list 100 deny icmp host 10.0.0.2 host 10.0.0.1 echo10.0.0.1 echoRA(config)#access-list 100 permit tcp host 10.0.0.2 host RA(config)#access-list 100 permit tcp host 10.0.0.2 host 10.0.0.1 eq 2310.0.0.1 eq 23RA(config)#access-list 100 permit ip any anyRA(config
11、)#access-list 100 permit ip any anyRA(config)#interface ethernet 0RA(config)#interface ethernet 0RA(config-if)#ip access-group 100 inRA(config-if)#ip access-group 100 in在在HostAHostA上分别用上分别用pingping和和telnettelnet目标测试。目标测试。在在HostAHostA上修改上修改IPIP地址,如,再测试。地址,如,再测试。 基于时间的访问控制列表基于时间的访问控制列表 第一步是定义一个时间范围;第一
12、步是定义一个时间范围;第二步是在访问列表中用第二步是在访问列表中用time-rangetime-range引用时间范围。可以用引用时间范围。可以用“time-time-range” range” 来指定时间范围的名称,然后用来指定时间范围的名称,然后用“absolute”absolute”或者一个或多或者一个或多个个 “ “periodic” periodic” 来具体定义时间范围。来具体定义时间范围。命令格式为:命令格式为:Time-range time-rang-name absolute start time dateend Time-range time-rang-name absol
13、ute start time dateend time datetime datePeriodic days-of-the-week hh:mn todays-of-the-week hh:mmPeriodic days-of-the-week hh:mn todays-of-the-week hh:mm基于时间的访问控制列表基于时间的访问控制列表 time-rangetime-range:用来定义时间范围。:用来定义时间范围。 time-range-nametime-range-name:时间范围的名称,用来标识时间范围,一个时间范围只:时间范围的名称,用来标识时间范围,一个时间范围只能有一
14、个能有一个absoluteabsolute语句,但可以有几条语句,但可以有几条periodicperiodic语句。语句。 absoluteabsolute:用来指定绝对时间范围,后面紧跟:用来指定绝对时间范围,后面紧跟startstart和和endend两个关键字,以两个关键字,以2424小时制和小时制和“hh: mm”hh: mm”表示,其格式为表示,其格式为“小时小时: :分钟分钟”,日期按照,日期按照“日日/ /月月/ /年年”形式表示。定义绝对时间:形式表示。定义绝对时间:absolute start start-time start-date end absolute start
15、start-time start-date end end-time end-dateend-time end-date periodic periodic:主要以星期几为参数来定义时间范围,如:主要以星期几为参数来定义时间范围,如MondayMonday、TuesdayTuesday、WednesdayWednesday、ThursdayThursday、FridayFriday、SaturdaySaturday、SundaySunday中的一个或者几个的组合,中的一个或者几个的组合,也可以是也可以是dailydaily(每天)、(每天)、weekdayweekday(周一到周五)或者(周一
16、到周五)或者weekendweekend(周末,周六(周末,周六和周日)。和周日)。基于时间的访问控制列表基于时间的访问控制列表 定义周期、重复使用的时间范围:定义周期、重复使用的时间范围:periodic days-of-the-week hh:mm to days-of -the-week hh:mmperiodic days-of-the-week hh:mm to days-of -the-week hh:mm如果要表示每天早如果要表示每天早8 8点到晚点到晚6 6点开始起作用,可以用这样的语句:点开始起作用,可以用这样的语句:absolute start 8:00 end 18:00
17、absolute start 8:00 end 18:00比如表示每周一到周五的早比如表示每周一到周五的早9 9点到晚点到晚1010点半:点半:periodic weekday 9:00 to 22:00periodic weekday 9:00 to 22:00配置基于时间的访问控制列表:允许内网主机在配置基于时间的访问控制列表:允许内网主机在20122012年年1 1月月1 1日到日到20122012年年1212月月3131日的每个工作日中午日的每个工作日中午12:0012:00到到14:0014:00上网浏览。上网浏览。配置命令配置命令 RA(config)#access-list 10
18、0 permit tcp 10.0.0.0 0.255.255.255 RA(config)#access-list 100 permit tcp 10.0.0.0 0.255.255.255 any eq 80 time-range httpany eq 80 time-range httpRA(config)#time-range httpRA(config)#time-range httpRA(config-time-range)#asbolute start 1 Jan 2013 end 31 RA(config-time-range)#asbolute start 1 Jan 201
19、3 end 31 December 2013December 2013RA(config-time-range)#periodic weekdays 12:00 RA(config-time-range)#periodic weekdays 12:00 to 14:00to 14:00RA(config)#interface ethernet 0RA(config)#interface ethernet 0RA(config-if)#ip access-group 100 inRA(config-if)#ip access-group 100 in 6.2 6.2 防火墙的配置与应用防火墙的配
20、置与应用教学目标教学目标 n掌握什么是防火墙掌握什么是防火墙n掌握防火墙的配置与应用掌握防火墙的配置与应用防火墙防火墙技术技术 防火墙具有很好的防火墙具有很好的保护保护作用作用。入侵者必须首先穿越防火墙的安全防。入侵者必须首先穿越防火墙的安全防线,才能接触目标线,才能接触目标计算机计算机。你可以将。你可以将防火墙防火墙配置成许多不同保护配置成许多不同保护级别级别。防火墙是不能防火墙是不能防病毒防病毒的,尽管有不少的防火墙产品声称其具有这个的,尽管有不少的防火墙产品声称其具有这个功能。功能。 防火墙防火墙技术技术的另外一个的另外一个弱点弱点在于数据在防火墙之间的更新是一个难在于数据在防火墙之间的
21、更新是一个难题,如果延迟太大将无法支持实时服务请求。题,如果延迟太大将无法支持实时服务请求。 防火墙的配置与应用防火墙的配置与应用 目前比较流行的有以下三种防火墙配置方案:目前比较流行的有以下三种防火墙配置方案: 双宿主机网关(双宿主机网关(Dual Homed GatewayDual Homed Gateway) 屏蔽主机网关(屏蔽主机网关(Screened Host GatewayScreened Host Gateway) 屏蔽子网(屏蔽子网(Screened SubnetScreened Subnet) 防火墙的配置原理防火墙的配置原理 PIXPIX防火墙提供防火墙提供4 4种管理访问
22、模式:种管理访问模式: a. a. 非特权模式,系统显示为非特权模式,系统显示为pixfirewall pixfirewall b. b. 特权模式,特权模式, 输入输入enableenable进入特权模式,显示为进入特权模式,显示为pixfirewall#pixfirewall#c. c. 配置模式,配置模式, 输入输入configure terminalconfigure terminal进入此模式。显示为进入此模式。显示为pixfirewall(config)# pixfirewall(config)# d. d. 监视模式,监视模式, 按住按住EscapeEscape键或发送一个键或发
23、送一个“Break”Break”字符,进入监视模式。这字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为里可以更新操作系统映象和口令恢复。显示为monitor monitor 配置配置PIXPIX防火墙有防火墙有6 6个基本命令:个基本命令:nameif,interface,ip nameif,interface,ip address,nat,global,routeaddress,nat,global,route。这些命令在配置。这些命令在配置PIXPIX时是必须的。时是必须的。PIXPIX防火墙的配置步骤防火墙的配置步骤 a. a. 配置防火墙接口的名字,并指定安全级别(配置防
24、火墙接口的名字,并指定安全级别(nameifnameif)。)。Pixfirewall (config)#nameif ethernet0 outside security0Pixfirewall (config)#nameif ethernet0 outside security0Pixfirewall (config)#nameif ethernet1 inside securyty100Pixfirewall (config)#nameif ethernet1 inside securyty100Pixfirewall (config)#nameif dmz security50Pixf
25、irewall (config)#nameif dmz security50若添加新的接口,语句可以这样写:若添加新的接口,语句可以这样写:Pixfirewall (config)#nameif pix/intf3 security40(Pixfirewall (config)#nameif pix/intf3 security40(安全级别任取安全级别任取) )PIXPIX防火墙的配置步骤防火墙的配置步骤 b. b. 配置以太口参数(配置以太口参数(interfaceinterface)。)。Pixfirewall (config)#interface ethernet0 aut0 (aut
26、o Pixfirewall (config)#interface ethernet0 aut0 (auto 选项表明选项表明系统自适应网卡类型系统自适应网卡类型) )Pixfirewall (config)#interface ethernet1 100full (shutdiwn Pixfirewall (config)#interface ethernet1 100full (shutdiwn 选选项表示关闭这个接口,若启用接口去掉项表示关闭这个接口,若启用接口去掉shutdown)shutdown)c. c. 配置内外网卡的配置内外网卡的IPIP地址(地址(ip addressip ad
27、dress)。)。Pixfirewall (config)#ipPixfirewall (config)#ipPixfirewall (config)#ipPixfirewall (config)#ipPixPix防火墙在外网的防火墙在外网的IPIP地址是,内网地址是,内网IPIP地址是地址是PIXPIX防火墙的配置步骤防火墙的配置步骤 d. d. 进行转换的内部地址(进行转换的内部地址(natnat) 将内网的私有将内网的私有ipip转换为外网的公有转换为外网的公有IPIP。NatNat命令配置语法:命令配置语法:Nat(if_name) nat_id local_ip netmarkNat
28、(if_name) nat_id local_ip netmark其中(其中(if_nameif_name)表示内网接口名字,例如)表示内网接口名字,例如inside.nat_idinside.nat_id用来标识全局地用来标识全局地址池,使它与其相应的址池,使它与其相应的globalglobal命令相匹配,命令相匹配,local_iplocal_ip表示内网被分配的表示内网被分配的IPIP地址。例如表示内网所有主机可以对外访问。地址。例如表示内网所有主机可以对外访问。netmarknetmark表示内网表示内网ipip地址的地址的子网掩码。子网掩码。防火墙的配置步骤防火墙的配置步骤 防火墙接
29、口名字,并指定安全级别防火墙接口名字,并指定安全级别Pixfirewall (config)#nameif ethernetl outside security0Pixfirewall (config)#nameif ethernetl outside security0Pixfirewall (config)#nameif ethernet0 inside security100Pixfirewall (config)#nameif ethernet0 inside security100网络地址是,子网掩码为,网络地址是,子网掩码为,PIXPIX防火墙的内部防火墙的内部IPIP地址是。地址
30、是。PixfirewallPixfirewall(configconfig)# ip# ip网络地址是,子网掩码为,网络地址是,子网掩码为,PIXPIX防火墙的外部防火墙的外部IPIP地址是。地址是。 Pixfirewall(config)# Pixfirewall(config)# ipip防火墙上配置地址转换,使内部防火墙上配置地址转换,使内部PCPC机使用机使用IPIP地址访问外部网络。地址访问外部网络。Pixfirewall(config)# natPixfirewall(config)# natPixfirewall(configPixfirewall(config外部网络的默认路由
31、是。外部网络的默认路由是。Pixfirewall(config)# route outside 0 0 1.1.1.254 Pixfirewall(config)# route outside 0 0 1.1.1.254 网络上的计算机只能访问内部网络网络上的计算机只能访问内部网络FTPFTP服务。服务。Pixfirewall(config)# conduit permit tcp any eq ftp anyPixfirewall(config)# conduit permit tcp any eq ftp anyPixfirewall(configPixfirewall(config 6.
32、3 sniffer6.3 sniffer软件的应用软件的应用教学目标教学目标 n掌握掌握sniffersniffer软件的安装软件的安装 n掌握掌握sniffersniffer软件的应用软件的应用 sniffersniffer软件的安装软件的安装 Sniffer Serial NumberSniffer Serial Number需要填入注册码需要填入注册码“SR424-255RR-25500-255RR”SR424-255RR-25500-255RR” 。 sniffersniffer软件的安装软件的安装 注册之后进行网络连接设置,一般对于企业用户只要不是通过注册之后进行网络连接设置,一般对
33、于企业用户只要不是通过“代理服务器代理服务器”上网的都可以选择第一项上网的都可以选择第一项direct connection to the internetdirect connection to the internet。sniffersniffer软件的安装软件的安装 接下来才复制接下来才复制sniffer prosniffer pro必需文件到本地硬盘,完成所有操作后出现必需文件到本地硬盘,完成所有操作后出现setup setup completecomplete提示,点提示,点finishfinish按钮完成安装工作。因此在安装的最后,按照提示操按钮完成安装工作。因此在安装的最后,按照
34、提示操作即可,如图所示。作即可,如图所示。sniffersniffer软件的应用软件的应用 在完成安装,重启计算机之后便可以对在完成安装,重启计算机之后便可以对sniffersniffer软件进行应用,这里以软件进行应用,这里以监控网络为例对监控网络为例对sniffersniffer软件的应用进行简单介绍。软件的应用进行简单介绍。第一步:通过第一步:通过“开始开始-所有程序所有程序-sniffer pro-sniffer”-sniffer pro-sniffer”来启动该来启动该程序。程序。第二步:默认情况下第二步:默认情况下sniffer prosniffer pro会自动选择你的网卡进行监
35、听,如果会自动选择你的网卡进行监听,如果不能自动选择或者本地计算机有多个网卡的话,就需要手工指定网卡不能自动选择或者本地计算机有多个网卡的话,就需要手工指定网卡了。方法是通过软件的了。方法是通过软件的filefile菜单下的菜单下的select settingsselect settings来完成。来完成。sniffersniffer软件的应用软件的应用 第三步:在第三步:在settingssettings窗口中选择准备监听的那块网卡,把右下角的窗口中选择准备监听的那块网卡,把右下角的“Log Off”Log Off”前打上对勾,最后点前打上对勾,最后点“确定确定”按钮即可,如图所示。按钮即可
36、,如图所示。sniffersniffer软件的应用软件的应用 第四步:选择完毕后进入网卡监听模式,该模式下将监视本机网卡流量和错第四步:选择完毕后进入网卡监听模式,该模式下将监视本机网卡流量和错误数据包的情况。首先能看到的是三个类似汽车仪表的图象,从左到右依次误数据包的情况。首先能看到的是三个类似汽车仪表的图象,从左到右依次为为“Utilization%Utilization%网络使用率网络使用率”,“Packets/sPackets/s数据包传输率数据包传输率”,“Error/sError/s错误数据情况错误数据情况”。sniffersniffer软件的应用软件的应用 第五步:三个仪表盘下面
37、是对网络第五步:三个仪表盘下面是对网络流量,数据错误以及数据包大小情流量,数据错误以及数据包大小情况的绘制图,通过点选右边一排参况的绘制图,通过点选右边一排参数来选择的绘制相应的数据信息,数来选择的绘制相应的数据信息,可选网络使用状况包括数据包传输可选网络使用状况包括数据包传输率,网络使用率,错误率,丢弃率,率,网络使用率,错误率,丢弃率,传输字节速度,广播包数量,组播传输字节速度,广播包数量,组播包数量等。包数量等。 6.4 6.4 入侵检测系统入侵检测系统商用入侵检测设备商用入侵检测设备 目前主要的商业系统大多是混合使用多种技术,不能简单地把它们目前主要的商业系统大多是混合使用多种技术,不
38、能简单地把它们分类为基于网络或基于主机,或基于误用还是基于异常;而且很多系分类为基于网络或基于主机,或基于误用还是基于异常;而且很多系统不只是具有入侵检测和响应功能,还具有很强的网络管理和网络通统不只是具有入侵检测和响应功能,还具有很强的网络管理和网络通信统计的功能。信统计的功能。 IDS IDS 的一个关键技术就是检测方法,它直接关系到攻击的检测效果、的一个关键技术就是检测方法,它直接关系到攻击的检测效果、效率、误报率等性能,也就是核心部件分析器的实现。这项技术包括效率、误报率等性能,也就是核心部件分析器的实现。这项技术包括两个方面,即攻击的表示方法和如何将收集到的数据与攻击进行匹配两个方面
39、,即攻击的表示方法和如何将收集到的数据与攻击进行匹配(正向与反向)。(正向与反向)。非商用入侵检测设备非商用入侵检测设备 NIDES NIDES 是下一代入侵检测专家系统,即是下一代入侵检测专家系统,即Next-Generation Intrusion Next-Generation Intrusion Detection Expert System Detection Expert System 的缩写,它是由的缩写,它是由SRI InternationalSRI International研究和开发的,研究和开发的,在在Intrusion Detection Expert SystemIn
40、trusion Detection Expert System(IDESIDES)的基础上做了进一步的改进,)的基础上做了进一步的改进,因此称为因此称为“下一代下一代”入侵检测专家系统。入侵检测专家系统。 NIDES NIDES 通过在自己的工作主机上对目标主机上的用户活动进行实时监测,通过在自己的工作主机上对目标主机上的用户活动进行实时监测,从中检测出异常和可疑行为。从中检测出异常和可疑行为。NIDES NIDES 采用两种不同的入侵检测机制:一种是采用两种不同的入侵检测机制:一种是基于规则的检测分析子系统,另一种是基于统计方法的检测子系统。这是基于规则的检测分析子系统,另一种是基于统计方法
41、的检测子系统。这是NIDES NIDES 最显著的特征之一。最显著的特征之一。入侵检测系统的基本配置入侵检测系统的基本配置 SnortSnort具有实时报警的能力,它的警报信息可以发往具有实时报警的能力,它的警报信息可以发往syslogsyslog、Server Server Message BlockMessage Block(SMBSMB)、)、WinPopup messages WinPopup messages 或者单独的或者单独的alert alert 文件。文件。Snort Snort 可以通过命令行进行交互,并对可选的可以通过命令行进行交互,并对可选的BPFBPF(Berkeley Packet FilterBerkeley Packet Filter)命令)命令进行配置。进行配置。 SnortSnort安装在一台主机上对整个网络进行监视,其典型运行环境。安装在一台主机上对整个网络进行监视,其典型运行环境。SnortSnort特点特点 SnortSnort具有跨平台的特点,它支持的操作系统广泛,详情如表所示,而大多数具有跨平台的特点,它支持的操作系统广泛,详情如表所示,而大多数商用入侵检测软件只能支持其中的一、两种操作系统,甚至需要特定的操作系商用入侵检测软件只能支持其中的一、两种操作系统,甚至需要特定的操作系统。统。
限制150内