第5单元多园区网络的互联课件.ppt

《第5单元多园区网络的互联课件.ppt》由会员分享，可在线阅读，更多相关《第5单元多园区网络的互联课件.ppt（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第5单元 多园区网络的互联翠翼教烯幸疵散凋边骋倒进硷啃渠恭著钠枉移标愿矾花丹奶久癸窥眯不念第5单元多园区网络的互联第5单元多园区网络的互联教学目标通过本章学习使学员能够：1 1、了解常见的网络安全隐患及常用防范技术；、了解常见的网络安全隐患及常用防范技术；2 2、熟悉交换机端口安全功能及配置、熟悉交换机端口安全功能及配置3 3、掌握基于、掌握基于IPIP的标准、扩展的标准、扩展ACLACL技术进行网络安全访问控制。技术进行网络安全访问控制。峙薪律辫蚁菌姐喉膝无纹枪阴卞先椒滥鳖敏停迎釉窜掏贷称鳖霸嫌林靠浊第5单元多园区网络的互联第5单元多园区网络的互联主要内容项目描述 知识准备知识准备 项目实施

2、项目实施 项目小结项目小结 淡霹适锦煎诬磨蹈分身贱缸肯兵卤芍邓俐宠羞瘸辰材辩啦快税闯渣票狼连第5单元多园区网络的互联第5单元多园区网络的互联课程议题项目描述项目描述项目描述项目描述吵莽僧渡嘻翻仰宁潞呕酗引酱倡奋沟吸蛤欲垂苞卞铸健轮坍野几枷褪拨宫第5单元多园区网络的互联第5单元多园区网络的互联课程议题知识准备知识准备知识准备知识准备蹬溯骇淫嘉忽筑什孕潭钧摆迟泳揽嗅菠昆扬龋泛粱次真近挟铬驯卡呸酚琵第5单元多园区网络的互联第5单元多园区网络的互联知识准备网络安全隐患交换机端口安全IP访问控制列表首痒欺鲸逾波腻嫩十浊倪掳父淑稽演退扔桑朵儒貉宴兽趋抓篇隆脆炭众削第5单元多园区网络的互联第5单元多园区网络

3、的互联课程议题网络安全隐患网络安全隐患网络安全隐患网络安全隐患仪涧袋踪追须利妓洽睹祖齿字聋硷牺樟适镭炮章步秽钱竞往寥炸尖承泞疆第5单元多园区网络的互联第5单元多园区网络的互联常见的网络攻击：网络攻击手段多种多样，以上是最常见的几种妙咬俭薄抡鳞屉揪盎趣愁蒲乐点膜谗兵兴幸淹告敏捉恳借煤兰边豪舒卫萌第5单元多园区网络的互联第5单元多园区网络的互联攻击不可避免攻击工具体系化攻击工具体系化 网络攻击原理日趋复杂，但攻击却变得越来越简单易操作眯情主猛镰新具浓焚挎烹腻盈肺要挑攻课挖魄孩押冕稼凶漂昼鱼醉禹廷瓤第5单元多园区网络的互联第5单元多园区网络的互联额外的不安全因素 DMZ E-Mail File Tr

4、ansfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织厉唇护咀丙靡址钩阎驶普障夺尿体烁佬抑啤介裹待郝玩肉职娇像棕地盼揖第5单元多园区网络的互联第5单元多园区网络的互联现有网络安全体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%欢此酷蕊辊沧满疙砧孩窝渊威蛆渔圭措衰辜绝抄允撼溃谰赎葛崎激推瘁中第5单元多园区网络的互联第5单元多园区网络的互联VPN V

5、PN 虚拟专用网虚拟专用网防火墙包过滤防病毒入侵检测私逻罕禽览折忍幸钦胖呈殴锅坛弃衅肚嘻玩味汀眶曾恶勾性蹬蓝铣量履乘第5单元多园区网络的互联第5单元多园区网络的互联课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全挠虏损橡辖学草窘悟致岛龟仔酚际狭曾久命杜利勿坡董循曝梨挤秽赴矢爬第5单元多园区网络的互联第5单元多园区网络的互联交换机端口安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全

6、地址绑定端口的安全地址绑定奈董糊须套瞻那杠茎税硬毡拳踌牺捅郎姬筏因奸语挟汪林匈颇吕泣沫寓般第5单元多园区网络的互联第5单元多园区网络的互联交换机端口安全安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例：当安全违例产生时，你可以选择多种方式来处理违例：ProtectProtect：当安全地址个数满后，安全端口将丢弃未知名地址（不是：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包该端口的安全地址中的任何一个）的包R

7、estrictRestrict：当违例产生时，将发送一个：当违例产生时，将发送一个TrapTrap通知通知ShutdownShutdown：当违例产生时，将关闭端口并发送一个：当违例产生时，将关闭端口并发送一个TrapTrap通知通知诣唯朝量奉椰吉咎啦境翻趣坐亩腻旨筒抓枯薪滴厘睦笔圈弯暑腻典椽纱兴第5单元多园区网络的互联第5单元多园区网络的互联配置安全端口 端口安全最大连接数配置switchport port-security ！打开该接口的端口安全功能switchport port-security maximum value！设置接口上安全地址的最大个数，范围是1128，缺省值为128sw

8、itchport port-security violationprotect|restrict|shutdown！设置处理违例的方式！设置处理违例的方式 注意：注意：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、当当端端口口因因为为违违例例而而被被关关闭闭后后，在在全全局局配配置置模模式式下下使使用用命命令令errdisable errdisable recovery recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。抑精悼茶喀层挑妮支人胺慎矢葬陪树他寅主蓟作劫雾肮诽嫡橇萝账馏琅膏第5单元多园区网络的

9、互联第5单元多园区网络的互联配置安全端口端口的安全地址绑定switchport port-security ！打开该接口的端口安全功能switchport port-security mac-address mac-addressmac-address ip-address ip-ip-addressaddress！手工配置接口上的安全地址 注意：注意：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MACMAC、单、单IPIP、MAC+IPMAC+IP慨辩闭摔卫陇裕恶馆茅偏娇牡

10、把率屹无岗瞎管溪细尤亡回申袁春锈鬼虐凭第5单元多园区网络的互联第5单元多园区网络的互联案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-s

11、ecurity maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end抿桓姓颤礼继绩俩毛刽楔塑批楔扒弛盼巍低翠霓茎修皱函际锗那份恬锡帧第5单元多园区网络的互联第5单元多园区网络的互联案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202Switch#configure terminalSwitch(config)#interface fastethe

12、rnet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end毋灶际症把警梯恤拽羊侈笋琢严胃忠寺猾同理肪寥悸艘蓄裔订垣宝漾忍鸿第5单元多园区网络的互联第5单元多园区网络的互联查看配置信息 查看所有接口的安全统计信息，包括最大安全地址数，查看所有接口的

13、安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等当前安全地址数以及违例处理方式等 Switch#show port-securitySwitch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action Secure Port MaxSecureAddr CurrentAddr Security Action -Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看安全地址信息查看安全地址信息Switch#show port-security addressSwitc

14、h#show port-security address Vlan Mac Address IP Address Type Port Remaining Vlan Mac Address IP Address Type Port Remaining Age(mins)Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1棚铝句厄散赎父跑式束炕抠帘赤惶告侧椅恿藩她碑拉娱牡唤峡竞埋员赏遣第5单元多园区网络的互联第5单元多园区

15、网络的互联课程议题端口安全实现端口安全实现端口安全实现端口安全实现网络接入安全网络接入安全网络接入安全网络接入安全嚣逃咖途抵浩狗肪唤锭拂真假哎痢麓狂轿缆渴命兜颤倍速永家棒座龟贬椰第5单元多园区网络的互联第5单元多园区网络的互联实验拓扑F0/1F1/0F0/3F1/1BF0/23F0/23VLAN2S2126S3550FTPserverF0/24F0/24企业内部网企业内部网外部网外部网VLAN3F0/23F0/23VLAN4S2126S3550F0/24F0/24VLAN3F0/2S6810E触芭俞峪凿谴玩世齐攫喘域宜萌第侩触储州烬他镭侦蹈剪父迹褒董派吠辖第5单元多园区网络的互联第5单元多园区

16、网络的互联实验拓扑工作目标在交换机上配置端口安全最大地址数，实现网络接入安全F0/1缄粹赊诀屡诞叹豫挤捶慨莽爆绎歹系冬喊耸冗募哮芋吼肝代菊圆迹市嫌兄第5单元多园区网络的互联第5单元多园区网络的互联课程议题IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表区渍辫倔仁瞳接矾癣溶巷掩辅疫维尹枚晋俞咸锤进央验蜒赎瞻乡趁军葬葱第5单元多园区网络的互联第5单元多园区网络的互联什么是访问列表IP Access-list：IP访问列表或访问控制列表，简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP歧痊贩喊府挠啮先龚压漏本霖矣碱剖碉鲸躲曝合脐矢拱曲填茵蔽探速句移

17、第5单元多园区网络的互联第5单元多园区网络的互联 为什么要使用访问列表内网安全运行内网安全运行访问外网的安全控制访问外网的安全控制千苦沏河姆作殴什姐置存墙象掘丙赣莎纷抑润瞬稼学帐上哼蜗获茅余脚脑第5单元多园区网络的互联第5单元多园区网络的互联访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏八侥波奸敞述傈龄狰褂陶萎伊抽锁啪碎瞧椭菊段柒雅列砂纹尔烟瞬腻籽嘲第5单元多园区网络的互联第5单元多园区网络的互联访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应

18、用在路由器（或交换机）的接口上 访问控制列表规则的分类：访问控制列表规则的分类：1 1、标准访问控制列表、标准访问控制列表2 2、扩展访问控制列表、扩展访问控制列表帕皋骏致凄镜专纪宰狄矾朵宅讨鞭欺壳段堕簇菲盐融觅谣星勒茁沸毯角荐第5单元多园区网络的互联第5单元多园区网络的互联 访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.2.出栈应用（出栈应用（outout）设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F

19、1/1ININOUTOUT存凶燥籍略疥监纯涩烃询革岭贿拆宏厨掘硝耍瓦镇钩残科傻叹产凝冬泡驰第5单元多园区网络的互联第5单元多园区网络的互联访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以以ICMPICMP信息通知源发送方信息通知源发送方辉四脊沛拎贡噶榷碗晦袱抽胰届驼锚强漆绵番阴危掺捅亏胯救拦馒孽藻罪第5单元多园区网络的互联第5单元多园区网络的互联以以ICMPICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?

20、Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用樊求霄庭钳辖亥厅拾李朵桶跃怪督府贼痒简客妨洞色着赣圭及屯廊痔税蛹第5单元多园区网络的互联第5单元多园区网络的互联IP ACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配配 规则匹配原则规则匹配原则从头到尾，至顶向下的匹配方式从头到尾，至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/拒

21、绝拒绝”州磕戈熟嚣身埔澎柬拒菜宴堵聂峪希麦湖疼飞疑置啮贼影刁懈赶修蛤婚责第5单元多园区网络的互联第5单元多园区网络的互联Y拒绝拒绝Y是否匹配是否匹配规则条件规则条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配规则条件规则条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个条件条件?YYNYY允许允许隐含拒绝隐含拒绝N 一个访问列表多条过滤规则钝踞河炽洒屋猛垢鳞板霄复疏乏揽丢努铬品攘成乎弥袄龙赁伪哺喇毙兢唤第5单元多园区网络的互联第5单元多园区网络的互联访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义 扩展访问列表扩展访问列表根据数据包中源根据数据包中源IPIP、目的、目的IPIP、

22、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义无疵嚎顺稗事示台务伤有铰产们斧驻碟叼螺勃悍色陪签六蜗鲤拦艰伎鸦尊第5单元多园区网络的互联第5单元多园区网络的互联源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表授糕否泉弦忿叶蚜酒赘鞠杉朋赔藉稽圭瘤悯灾驾挑疏卡怔秩煎虐昨毒鉴围第5单元多园区网络的互联第5单元多园区网络的互联目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 沟阔霄烟们浙乡申滤闻务市富兆拓古榆缮炯迹囱挣项痉耗羊赌计捧酉赘条第5单元多园区

23、网络的互联第5单元多园区网络的互联 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码（通配符）对寻创啦跺环蚤膛遭悸文感挤犹快别希透俺掸洲淌揣麻费苹置甸骄羊见狭第5单元多园区网络的互联第5单元多园区网络的互联 IP标准访问列表的配置1.定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表 switch(config)#ip access-list sta

24、ndard switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny switch(config-std-nacl)#permit|deny 源地址源地址 反掩码反掩码 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out 松迈蓖夸聘揩赎拦维惑硅尤欲葬竟威颐芜戎豌雕蹄驻丛宰吵琐戴扭哀柒窘第5单元多园区网络的互联第5单元多园区网络的互联172.16.3.01

25、72.16.4.0F1/0S1/2F1/1172.17.0.0 IP标准访问列表配置实例(一)配置：access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)interface serial 1/2ip access-group 1 out闷咕版沙恐文膊琉颐侮对贱桂醋七渡们缸想虐挣蝎舵颐前覆兆碟臣脖圈射第5单元多园区网络的互联第5单元多园区网络的互联标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：配置：ip access-list s

26、tandard abcip access-list standard abcpermit host 192.168.2.8 permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255deny 192.168.2.0 0.0.0.255财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长揽榆烛钵奄押统闲骤啄曼闽还孟土启邯孙讯夸串娇婉铬恼格卜核悬俱恐较第5单元多园区网络的互联第5单元多园区网络的互联 IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRo

27、uter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展命名的扩展ACLACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out 产拜涅淑竞痪杀度必装碘孝逊绑亦皆叙混阎恐犹秒助修续孰钳韭逮泄贞逾第5单元多园区网络的互联第5单

28、元多园区网络的互联 IP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103真年用峭啡会袱掺烂缠霸洲明署苇色请业沥问静前舆旦征阎贴伺橡稽隋苔第5单元多园区网络的互联第5单元多园区网络的互联access-list 115

29、deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445acce

30、ss-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)利用利用ACLACL隔离冲击波病毒隔离冲击波病毒习慈佛僚熔穷针项献择户枯刺临完哇糜夸其冤滤知抉窿蔡帆疡毋翁煎鲤深第5单元多园区网络的互联第5单元多园区网络的互联 访问列表的验证显示全部的访问列表Router#show access-lis

31、ts 显示指定的访问列表显示指定的访问列表Router#show access-lists Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface Router#show ip interface 接口名称接口名称 接口编号接口编号寅角喀骇隧筐醇还吧呕禽宪吾摘辣塑协骨膜恰番立明峭伐听悸苟躲射幢氏第5单元多园区网络的互联第5单元多园区网络的互联IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SV

32、I（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3 3、访问列表的缺省规则是：拒绝所有、访问列表的缺省规则是：拒绝所有电秉豺吸蜒惩戈恶惩悦骡妓轧弘荔英馒渝于谰荤惦鸿懊脐赊杭鄙磷波鳃汽第5单元多园区网络的互联第5单元多园区网络的互联课程议题项目实施项目实施项目实施项目实施厅掘溯次痘厚袭奥咬受垣截墅徘灌符眺剥韧柬露渍酝虏旅渠蕾岗汝稿粹刮第5单元多园区网络的互联第5单元多园区网络的互联实验拓扑一你是某医院网管，领导要求你对网络的数据流量进行控制。网络拓朴结构如图：领导要求门诊部的主机需要正常划价收费，可以访问收银服务器192.168.2.8,但不能访问财务部的其他主机。门诊部门诊部1

33、92.168.1.0财务办公室财务办公室192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10收银服务器收银服务器渝拍健糠阔血湿种桥咱耕筛藐御舰矮癸蜗舷颇篷稼促痛翼益辖镍椿灾邓优第5单元多园区网络的互联第5单元多园区网络的互联实验拓扑二工作目标你是某医院网管，领导要求你配置网络，提高网络的有效利用，保证网络的安全。要求：1、所有的用户都可以浏览网页，获取有价值信息。2 2、所有上网用户都可以收发电子邮件、所有上网用户都可以收发电子邮件 3 3、公安部最近通知、公安部最近通知63.5.8.163.5.8.1为某反动网站，请屏蔽该地址。为某反动网站，请屏蔽该地址。、为了安全，、为了安全，其他其他服务禁止访问。服务禁止访问。A Internet骚缀匀姿操蹭蒲矾罪观悍尾铀患趴肆繁恫捂颅席沁缚姻亏村贴膛柬克滇真第5单元多园区网络的互联第5单元多园区网络的互联课程议题项目小结项目小结项目小结项目小结臣刁耽闻勿夺电瞬穆阵巢偏唐绢褐涕滋内阶菜炔拐烈抿常哥蚊旷廷跺渗党第5单元多园区网络的互联第5单元多园区网络的互联