园区网的安全技术ppt课件.ppt

《园区网的安全技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《园区网的安全技术ppt课件.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多园区网的安全技术园区网的安全技术第 9 章寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多教学目标教学目标通过本章学习使学员能够：通过本章学习使学员能够：1 1、了解常见的网络安全隐患及常用防范技术；、了解常见的网络安全隐患及常用防范技术；2 2、熟悉交换机端口安全功能及配置、熟悉交换机端口安全功能及配置3 3、掌握基于、掌握基于IPIP的标准、扩展的标准、扩展ACLACL技术进行网络安技术进行网络安全访问控制。

2、全访问控制。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多本章内容本章内容网络安全隐患网络安全隐患交换机端口安全交换机端口安全IP访问控制列表访问控制列表寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多课程议题课程议题网络安全隐患网络安全隐患寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多常见的网络攻击：常见的网络攻击：网络攻击手段多种多样，以上是最常见的几种网络攻击手段多种多样，以上是最常

3、见的几种寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多攻击不可避免攻击不可避免攻击工具体系化攻击工具体系化 网络攻击原理日趋复杂，但攻击却变得越来越简网络攻击原理日趋复杂，但攻击却变得越来越简单易操作单易操作寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多额外的不安全因素额外的不安全因素 DMZ E-Mail File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由Inter

4、netInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多现有网络安全体制现有网络安全体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多VPN VPN 虚拟专用网虚拟专用网防火墙包过滤防病毒入侵检测寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一

5、个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多课程议题课程议题交换机端口安全交换机端口安全寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多交换机端口安全交换机端口安全利用交换机的端口安全功能实现利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如网络设备造成的破坏，如MAC地址攻击、地址攻击、ARP攻击、攻击、IP/MAC地址欺骗等。地址欺骗等。交换机端口安全的基本功能交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安

6、全地址绑定端口的安全地址绑定寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多交换机端口安全交换机端口安全安全违例产生于以下情况：安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地如果该端口收到一个源地址不属于端口上的安全地址的包址的包当安全违例产生时，你可以选择多种方式来处理违例：当安全违例产生时，你可以选择多种方式来处理违例：ProtectProtect：当安全

7、地址个数满后，安全端口将丢弃：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）未知名地址（不是该端口的安全地址中的任何一个）的包的包RestrictRestrict：当违例产生时，将发送一个：当违例产生时，将发送一个TrapTrap通知通知ShutdownShutdown：当违例产生时，将关闭端口并发送一个：当违例产生时，将关闭端口并发送一个TrapTrap通知通知寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多配置安全端口配置安全端口 端口安全最大连接数配置端口安全最大连接数配置switchp

8、ort port-security ！打打开开该该接接口口的的端口安全功能端口安全功能switchport port-security maximum value！设设置置接接口口上上安安全全地地址址的的最最大大个个数数，范范围围是是1128，缺缺省值为省值为128switchport port-security violationprotect|restrict|shutdown！设置处理违例的方式！设置处理违例的方式注意：注意：1、端口安全功能只能在、端口安全功能只能在access端口上进行配置。端口上进行配置。2、当当端端口口因因为为违违例例而而被被关关闭闭后后，在在全全局局配配置置模模

9、式式下下使使用用命命令令errdisable recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多配置安全端口配置安全端口端口的安全地址绑定端口的安全地址绑定switchport port-security ！打开该接口！打开该接口的端口安全功能的端口安全功能switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址！手工配置接口上的安全地址注意：

10、注意：1、端口安全功能只能在、端口安全功能只能在access端口上进行配置端口上进行配置 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MAC、单、单IP、MAC+IP寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多案例（一）案例（一）下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3上的端口安上的端口安全功能，设置最大地址个数为全功能，设置最大地址个数为8，设置违例方式为，设置违例方式为protectSwitch#configure terminal Switch(config)#in

11、terface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工

12、的陷阱很多案例（二）案例（二）下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安上的端口安全功能，配置端口绑定地址，主机全功能，配置端口绑定地址，主机MAC为为00d0.f800.073c，IP为为192.168.12.202Switch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switch

13、port port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多查看配置信息查看配置信息查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等以及违例处理方式等 Switch#showSwitch#show port-security port-security Secure

14、 Port MaxSecureAddr CurrentAddr Security Action -Gi1/3 8 1 Protect查看安全地址信息查看安全地址信息Switch#show port-security addressSwitch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。

15、但是，目前社会上寒假招工的陷阱很多课程议题课程议题IP访问控制列表访问控制列表寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多什么是访问列表什么是访问列表IP Access-list：IP访问列表或访问控制列访问列表或访问控制列表，简称表，简称IP ACLACL就是对经过网络设备的数据包根据一定的就是对经过网络设备的数据包根据一定的规则进行数据包的过滤规则进行数据包的过滤ISP寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 为什么要使用访问列表为什么要使用访

16、问列表内网安全运行内网安全运行访问外网的安全控制访问外网的安全控制寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多访问列表访问列表访问控制列表的作用：访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源内网布署安全策略，保证内网安全权限的资源访问访问内网访问外网时，进行安全的数据过滤内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏防止常见病毒、木马、攻击对用户的破坏寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多访问列表的组成访问

17、列表的组成定义访问列表的步骤定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）数据不允许通过）第二步，将规则应用在路由器（或交换机）的第二步，将规则应用在路由器（或交换机）的接口上接口上访问控制列表规则的分类：访问控制列表规则的分类：1、标准访问控制列表、标准访问控制列表2、扩展访问控制列表、扩展访问控制列表寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 访问列表规则的应用访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口

18、的数据包进行控制1.入栈应用（入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多访问列表的入栈应用访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查

19、找路由表查找路由表进行选路转发进行选路转发以以以以ICMPICMPICMPICMP信息通知源发送方信息通知源发送方信息通知源发送方信息通知源发送方寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多以以以以ICMPICMPICMPICMP信息通知源发送方信息通知源发送方信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用访问列表的出栈应用寒假来临，不少的高中毕业生

20、和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多IP ACL的基本准则的基本准则一切未被允许的就是禁止的一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过则是拒绝所有数据包通过按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配口、协议、时间段进行匹配规则匹配原则规则匹配原则从头到尾，至顶向下的匹配方式从头到尾，至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/拒

21、绝拒绝”寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多Y拒绝拒绝Y是否匹配是否匹配规则条件规则条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配规则条件规则条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个条件条件?YYNYY允许允许隐含拒绝隐含拒绝N 一个访问列表多条过滤规则一个访问列表多条过滤规则寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多访问列表规则的定义访问列表规则的定义标准访问列表标准访问列表根据数据包源根据数据包源IP地址进行规则定义地址进行规

22、则定义扩展访问列表扩展访问列表根据数据包中源根据数据包中源IP、目的、目的IP、源端口、目的端、源端口、目的端口、协议进行规则定义口、协议进行规则定义寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表标准访问列表寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表扩展访问列表TCP/UDP数据数据IPeg.HD

23、LC100-199 号列表号列表 寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 0表示检查相应的地址比特 1表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码（通配符）反掩码（通配符）寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 IP标准访问列表的配置标准访问列表的配置1.定义标准定义标准ACL编号的标准访问列表编号的标准访问列表Router(config)#access-list

24、 permit|deny 源地址源地址 反掩码反掩码命名的标准访问列表命名的标准访问列表 switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地源地址址 反掩码反掩码2.应用应用ACL到接口到接口Router(config-if)#ip access-group in|out 寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0 IP标准访问列表配置

25、实例标准访问列表配置实例(一一)配置：配置：access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)interface serial 1/2ip access-group 1 out寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多标准访问列表配置实例标准访问列表配置实例(二二)需求：需求：你是某校园网管，领导要你对网络你是某校园网管，领导要你对网络的数据流量进行控制的数据流量进行控制,要求校长可以要求校长可以访问财务的主机，但教师机不可以访问财务的主机

26、，但教师机不可以访问。访问。配置：配置：ip access-list extended abcpermit host 192.168.2.8 deny 192.168.2.0 0.0.0.255财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 IP扩展访问列表的配置扩展访问列表的配置1.定义扩展的定义扩展的ACL编号的扩展编号的扩展ACLRouter(config)#access-

27、list permit/deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 命名的扩展命名的扩展ACLip access-list extended name permit/deny 协议协议 源地址源地址 反掩码反掩码源端口源端口 目的地目的地址址 反掩码反掩码 目的端口目的端口 2.应用应用ACL到接口到接口Router(config-if)#ip access-group in|out 寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 IP扩展访问列表配置实例扩

28、展访问列表配置实例(一一)如何创建一条扩展如何创建一条扩展ACL该该ACL有一条有一条ACE，用于允许指定网络，用于允许指定网络（192.168.x.x）的所有主机以）的所有主机以HTTP访问服务访问服务器器172.168.12.3，但拒绝其它所有主机使用网络，但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义

29、的寒假。但是，目前社会上寒假招工的陷阱很多access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access

30、-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例扩展访问列表配置实例(二二)利用利用利用利用ACLACL隔离冲击波病毒隔离冲击波病毒隔离冲击波病毒隔离冲击波病毒寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过

31、一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多 访问列表的验证访问列表的验证显示全部的访问列表显示全部的访问列表Router#show access-lists显示指定的访问列表显示指定的访问列表Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface 接口名称接口名称 接口接口编号编号寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多IP访问列表配置注意事项访问列表配置注意事项1、一个端口在一个方向上只能应用一组、一个端口在一个方

32、向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和、锐捷全系列交换机可针对物理接口和SVI接口应用接口应用ACL针对物理接口，只能配置入栈应用针对物理接口，只能配置入栈应用(In)针对针对SVI（虚拟（虚拟VLAN）接口，可以配置入栈）接口，可以配置入栈（In）和出栈（）和出栈（Out）应用）应用3、访问列表的缺省规则是：拒绝所有、访问列表的缺省规则是：拒绝所有寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多课程回顾课程回顾网络安全隐患网络安全隐患交换机端口安全交换机端口安全IP访问控制列表访问控制列表寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多The End