第7章 网络安全

本章主要内容 网络安全概况 网络安全治理对策 网络安全的定义 常见的网络安全威胁 互联网安全法规 交换机端口安全 访问控制列表 防火墙与入侵检测 数据安全

交换机接口安全 交换机接口安全功能，是指针对交换机的接口进行安全属性的配置，从而控制用户的安全接入。交换机接口安全主要有两种类型： 一是限制交换机接口的最大连接数 二是针对交换机接口进行MAC地址、IP地址的绑定

限制交换机接口的最大连接数 限制交换机接口的最大连接数，可以控制交换机接口下连的主机数，并防止用户进行恶意的ARP欺骗。

交换机接口的地址绑定 交换机接口的地址绑定，可以针对IP地址、MAC地址、IP+MAC地址进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击，如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。

违规 当以下两种情况发生时，产生违规，触发交换机动作。 最大安全数目MAC地址表外的一个MAC地址试图访问这个接口。

违规模式 产生安全违规后，交换机有以下三种处理方式： protect：当MAC地址的数量达到了这个接口所最大允许的数量，带有未知源地址的包就会被丢弃，直到删除了足够数量的MAC地址，降到最大数值之后才会不丢弃。 restrict：一个限制数据并引起“安全违规”计数器的增加的接口安全违规动作。 shutdown：一个导致接口马上shutdown，并且发送SNMP陷阱的接口安全违规动作。当一个安全接口处在error-disable状态，要恢复正常必须在全局模式下键入errdisable recovery 命令来将接口从错误状态中恢复过来，或者手动shutdown然后no shutdown接口。这是接口安全违规的默认动作。

交换机接口安全配置命令 switchport port-security maximum：可以使用这个选项答应多个MAC地址。假如用户有一个12接口的集线器连接到交换机的此接口，使用switchport port-security maximum 12来设定此接口通过的最大MAC地址数目为12。 switchport port-security violation：此命令告诉交换机，当端接口上MAC地址数超过了最大数量之后交换机应该怎么做。默认是关闭接口。可以选择使用restrict来警告网络管理员，也可以选择protect来答应通过安全接口通信并丢弃来自其它MAC地址的数据包。 switchport port-security mac-address：使用此选项来手动定义答应使用此接口的MAC地址而不是由接口动态地定义MAC地址。

交换机接口安全配置举例 假设你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止哦你公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机使用网络，不得随意连接其它主机。例如：某员工分配的IP地址为172.16.1.55/24，主机MAC地址是: 。该主机连接在一台交换机上。

访问控制列表 访问控制列表 配置标准访问控制列表 配置扩展访问控制列表 验证和监视访问控制列表

访问控制列表概述 IP访问控制列表是实现对流经路由器的数据包根据一定的规则进行过滤。

为什么使用访问控制列表 当网络访问增长时，管理IP流量 X 172.16.0.0 Internet （技术部） 172.17.0.0 （财务部） 当网络访问增长时，管理IP流量

为什么使用访问控制列表 当网络访问增长时，管理IP流量 包通过路由器时，起到过滤作用 X 172.16.0.0 Internet （技术部） 172.17.0.0 （财务部） 当网络访问增长时，管理IP流量 包通过路由器时，起到过滤作用

访问控制列表的分类 标准 ACL 检查源地址 允许或拒绝整个协议族 扩展 ACL 检查源地址、目的地址、协议、端口号 通常允许或拒绝特定的协议

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 从哪里来？ 边防战士 Access List Processes Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 从哪里来？

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 友好国家来的，允许通行！ 边防战士 Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 友好国家来的，允许通行！

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 敌对国家来的，禁止通行！ 边防战士 Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 敌对国家来的，禁止通行！

扩展访问控制列表 检查源地址、目的地址、协议、端口号 边境外 边境内 边防战士 Access List Processes Fa1/0 Outgoing Packet Protocol Incoming Packet Source and Destination Permit? S1/2 源IP地址、目的IP地址、协议类型、目的端口号 边境外 边境内 边防战士 从哪里来？ 到哪里去？ 是什么样人？ 想干什么？

用扩展访问控制列表检查数据包

常见端口号 端口号 进程 20 （TCP） 文件传输协议（FTP）数据 21 （TCP） 文件传输协议（FTP）控制信息 23 （TCP） 远程登录（Telnet） 25 （TCP） 简单邮件传输协议（SMTP） 80 （TCP） 超文本传输协议(HTTP) 53 （TCP/UDP） 域名服务（DNS） 69 （UDP） 简单文件传输协议（TFTP）

访问控制列表的核心思想 允许或拒绝特定的数据包 Permit or deny

配置访问控制列表 告诉路由器允许或拒绝某个特定的数据包

访问控制列表的号码范围 对于每个访问控制列表，可以输入规则来允许或者禁止数据包。 访问控制列表用号码来标识。一个访问列表中的所有语句必须使用相同的号码。 访问列表的号码范围如下： 标准IP访问控制列表：1~99 扩展IP访问控制列表：100~199

配置访问控制列表的步骤 在一个接口上配置访问列表需要两个步骤： 定义访问列表； 将访问控制列表应用到某接口。并指明数据传输方向 access-list access-list-number { permit | deny } { test conditions } 将访问控制列表应用到某接口。并指明数据传输方向 { protocol } access-group access-list-number {in | out}

标准访问控制列表 全局配置层配置。标准IP访问列表的基本格式如下： access-list listnumber permit|deny address wildcard-mask Permit和deny表示允许或禁止满足该规则的数据包通过 规则序号，范围为1~99 Address和wildcard-mask分别 为IP地址和通配符掩码，用于指定某个网络 此格式表示允许或拒绝来自指定网络的数据包，该网络由IP地址和通配符掩码指定。

标准访问控制列表举例 Access-list 1 permit host 172.16.1.1 允许来自主机172.16.1.1的IP数据包通过 Access-list 2 deny host 172.16.1.2 禁止来自主机172.16.1.2的IP数据包通过

标准访问控制列表举例 允许来自IP地址为10.*.*.*（即IP地址的第一个字节为10）的主机的数据包通过。 Access-list 10 permit 10.0.0.0 0.255.255.255

通配符掩码（wildcard-mask ） 是一个32比特位的数字字符串 0表示“检查相应的位，并且需要相同”； 1表示“不检查（忽略）相应的位”

通配符举例 Access-list 1 permit 172.16.0.0 0.0.255.255 10101100.00010000.00000000.00000000 00000000.00000000.11111111.11111111 意味着：只要IP地址的前面16位是10101100.00010000就可以和访问控制列表中的规则匹配。

通配符简单练习 允许来自10.0.0.0/255.255.255.0的IP数据包通过。 Access-list 10 permit 10.0.0.0 0.0.0.255 禁止来自10.1.0.0/255.255.0.0的IP数据包通过。 Access-list 20 deny 10.1.0.0 0.0.255.255 允许来自10.128.0.0/255.224.0.0的IP数据报通过。 Access-list 30 permit 10.128.0.0 0.31.255.255

通配符练习 允许来自第一个字节为10，第四个字节为奇数的主机的IP数据包通过。 Access-list 1 permit 10.0.0.1 0.255.255.254

通配符练习 允许来自第一个字节为10，第四个字节为偶数的主机的IP数据包通过。 Access-list 1 permit 10.0.0.0 0.255.255.254

特殊的通配符掩码 1. Any 0.0.0.0 255.255.255.255 2. Host 172.30.16.29 0.0.0.0 Host 172.30.16.29

访问控制列表多规则 Access-list 10 deny host 10.1.1.1 Access-list 10 permit 10.1.1.0 0.0.0.255 Access-list 10 deny 10.1.0.0 0.0.255.255 Access-list 10 permit 10.0.0.0 0.255.255.255 如果IP数据包来自10.1.1.1，和每一条语句都匹配，访问控制列表会怎样处理。

访问控制列表的条件顺序 按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。如果没有任何语句匹配，数据包被拒绝。

如果IP数据包来自10.1.1.1，下面的ACL会如何处理。 Access-list 10 deny host 10.1.1.1 Access-list 10 permit 10.1.1.0 0.0.0.255 Access-list 10 deny 10.1.0.0 0.0.255.255 Access-list 10 permit 10.0.0.0 0.255.255.255

访问控制列表应用到接口上 In out Out in { protocol } access-group access-list-number {in | out} 172.16.3.0 172.16.4.0 172.16.4.13 F1/0 F1/1 In out Out in

标准访问控制列表实例1 仅允许我的网络 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 permit 172.16.0.0 0.0.255.255 (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out interface F1/1

标准访问控制列表实例2 拒绝特定的主机 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out

标准访问控制列表实例3 拒绝特定的子网 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out

标准ACL与扩展ACL的比较 标准ACL 扩展ACL 过滤基于源 过滤基于源和目的 允许或拒绝整个协议族 允许或拒绝特定的IP协议或端口 范围（1-99） 范围（100-199）

扩展访问控制列表 扩展IP访问列表的基本格式如下： 此格式表示允许或拒绝满足如下条件的数据包通过： access-list listnumber permit|deny protocol source-address source-wildcard-mask destination-address destination-wildcard-mask operator operand 此格式表示允许或拒绝满足如下条件的数据包通过： 带有指定的协议（protocol），如TCP、UDP等； 数据包来自由source-address及source-wildcard-mask指定的网络； 数据包去往由destination-address及destination-wildcard-mask指定的网络； 该数据包的目的端口在由operator operand规定的端口范围之内。

扩展访问控制列表实例1 拒绝从172.16.4.0到172.16.3.0的经过F1/0出方向的FTP流量 允许其他所有的流量 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (隐含禁止所有) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out 拒绝从172.16.4.0到172.16.3.0的经过F1/0出方向的FTP流量 允许其他所有的流量

扩展访问控制列表实例2 仅拒绝子网172.16.4.0 在F1/0出方向的流量 允许其他流量 172.16.3.0 172.16.4.0 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (隐含禁止所有) interface ethernet 0 ip access-group 101 out 仅拒绝子网172.16.4.0 在F1/0出方向的流量 允许其他流量

访问控制列表的放置 扩展ACL靠近源 标准ACL靠近目的

验证访问控制列表 show ip int F1/0 FastEthernet 1/0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>

监视访问控制列表陈述条件 show {protocol} access-list {access-list number} show access-lists {access-list number} show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data

实验4 配置访问控制列表 背景描述： 假设你是某公司的网络管理员，公司的经理部、财务部门和销售部门分别属于3个不同的网段，三个部门之间通过路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

PC1代表经理部的主机，PC2代表销售部门的主机，PC3代表财务部门的主机。 实验拓扑结构： PC1代表经理部的主机，PC2代表销售部门的主机，PC3代表财务部门的主机。 R1 R2 F1/0 192.168.3.1 255.255.255.0 10.1.1.2 255.0.0.0 S1/2 10.1.1.1 192.168.1.1 IP：192.168.1.11 掩码：255.255.255.0 网关：192.168.1.1 IP：192.168.2.22 网关：192.168.2.1 192.168.2.1 F1/1 PC1 PC2 PC3 IP：192.168.3.33 网关：192.168.3.1

防火墙、IDS、数据安全 1.关于网络安全，以下说法正确的是______。 A．使用无线传输可以防御网络监听 B．木马是一种蠕虫病毒 C．使用防火墙可以有效地防御病毒 D．冲击波病毒利用Windows的RPC漏洞进行传播 2.许多黑客利用软件实现中的缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是______。 A．安装防火墙 B．安装用户认证系统 C．安装相关的系统补丁软件 D．安装防病毒软件

防火墙、IDS、数据安全 3.包过滤防火墙通过_______来确定数据包是否能通过。 A．路由表 B．ARP表 C．NAT表 D．过滤规则 4. 多形病毒指的是______的计算机病毒。 A．可在反病毒检测时隐藏自己 B．每次感染都会改变自己 C．可以通过不同的渠道进行传播 D．可以根据不同环境造成不同破坏

防火墙、IDS、数据安全 5.______不属于将入侵检测系统部署在DMZ中的优点。 A．可以查到受保护区域主机被攻击的状态 B．可以检测防火墙系统的策略配置是否合理 C．可以检测DMZ被黑客攻击的重点 D．可以审计来自Internet上对受到保护网络的攻击类型