第7章 网络安全.

Slides:



Advertisements
Similar presentations
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
Advertisements

NAT与ICMP交互.
《网络基础与Internet应用》.
第 8 章 IP 基礎與定址.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
第6章 计算机网络基础 1.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
第6章 计算机网络基础.
数据转发过程.
实验八 配置动态路由-OSPF协议.
网络实用技术基础 Internet技术及应用.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
项目四 组建跨地区网络 授课教师:肖颖.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第2章 计算机网络体系结构 教学目标: 通过本章的学习,了解计算机网络体系结构和各个层次的相关协议,理解接口和服务等概念。掌握ISO/OSI模型和TCP/IP模型的各个层次及其所实现的功能。掌握IP地址的功能和划分,并对子网掩码和下一代互联网IPv6有相应的了解。
網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.
第 6 章 IP 遶送.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
Cisco網路設備之設定與管理 台大計資中心 李美雯
網路指令 講師 : 郭育倫
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
David liang 数据通信安全教程 防火墙技术及应用 David liang
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第八章 用访问列表初步管理 IP流量.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
實驗 3:Layer 2 交換器裝置之安全性設定與操作
TCP和UDP基本原理.
網路服務 家庭和小型企業網路 – 第六章.
计算机网络技术基础 任课老师: 田家华.
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
聚合端口.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第 2 章 TCP / IP 簡介.
大学计算机基础 典型案例之一 构建FPT服务器.
网络常用常用命令 课件制作人:谢希仁.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
Access Control List (存取控制表)
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
江西财经大学信息管理学院 《组网技术》课程组
ACL与包过滤 技术培训中心.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
实验七 安全FTP服务器实验 2019/4/28.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
第4章 Excel电子表格制作软件 4.4 函数(一).
IT 安全 第 9节 通信和网络控制.
数据报分片.
谢聪.
第10讲 Web服务.
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
Presentation transcript:

第7章 网络安全

本章主要内容 网络安全概况 网络安全治理对策 网络安全的定义 常见的网络安全威胁 互联网安全法规 交换机端口安全 访问控制列表 防火墙与入侵检测 数据安全

交换机接口安全 交换机接口安全功能,是指针对交换机的接口进行安全属性的配置,从而控制用户的安全接入。交换机接口安全主要有两种类型: 一是限制交换机接口的最大连接数 二是针对交换机接口进行MAC地址、IP地址的绑定

限制交换机接口的最大连接数 限制交换机接口的最大连接数,可以控制交换机接口下连的主机数,并防止用户进行恶意的ARP欺骗。

交换机接口的地址绑定 交换机接口的地址绑定,可以针对IP地址、MAC地址、IP+MAC地址进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击,如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。

违规 当以下两种情况发生时,产生违规,触发交换机动作。 最大安全数目MAC地址表外的一个MAC地址试图访问这个接口。

违规模式 产生安全违规后,交换机有以下三种处理方式: protect:当MAC地址的数量达到了这个接口所最大允许的数量,带有未知源地址的包就会被丢弃,直到删除了足够数量的MAC地址,降到最大数值之后才会不丢弃。 restrict:一个限制数据并引起“安全违规”计数器的增加的接口安全违规动作。 shutdown:一个导致接口马上shutdown,并且发送SNMP陷阱的接口安全违规动作。当一个安全接口处在error-disable状态,要恢复正常必须在全局模式下键入errdisable recovery 命令来将接口从错误状态中恢复过来,或者手动shutdown然后no shutdown接口。这是接口安全违规的默认动作。

交换机接口安全配置命令 switchport port-security maximum:可以使用这个选项答应多个MAC地址。假如用户有一个12接口的集线器连接到交换机的此接口,使用switchport port-security maximum 12来设定此接口通过的最大MAC地址数目为12。 switchport port-security violation:此命令告诉交换机,当端接口上MAC地址数超过了最大数量之后交换机应该怎么做。默认是关闭接口。可以选择使用restrict来警告网络管理员,也可以选择protect来答应通过安全接口通信并丢弃来自其它MAC地址的数据包。 switchport port-security mac-address:使用此选项来手动定义答应使用此接口的MAC地址而不是由接口动态地定义MAC地址。

交换机接口安全配置举例 假设你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止哦你公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机使用网络,不得随意连接其它主机。例如:某员工分配的IP地址为172.16.1.55/24,主机MAC地址是: 。该主机连接在一台交换机上。

访问控制列表 访问控制列表 配置标准访问控制列表 配置扩展访问控制列表 验证和监视访问控制列表

访问控制列表概述 IP访问控制列表是实现对流经路由器的数据包根据一定的规则进行过滤。

为什么使用访问控制列表 当网络访问增长时,管理IP流量 X 172.16.0.0 Internet (技术部) 172.17.0.0 (财务部) 当网络访问增长时,管理IP流量

为什么使用访问控制列表 当网络访问增长时,管理IP流量 包通过路由器时,起到过滤作用 X 172.16.0.0 Internet (技术部) 172.17.0.0 (财务部) 当网络访问增长时,管理IP流量 包通过路由器时,起到过滤作用

访问控制列表的分类 标准 ACL 检查源地址 允许或拒绝整个协议族 扩展 ACL 检查源地址、目的地址、协议、端口号 通常允许或拒绝特定的协议

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 从哪里来? 边防战士 Access List Processes Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 从哪里来?

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 友好国家来的,允许通行! 边防战士 Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 友好国家来的,允许通行!

标准访问控制列表 检查源地址 允许或拒绝整个协议族 边境外 边境内 敌对国家来的,禁止通行! 边防战士 Fa1/0 Access List Processes Outgoing Packet Incoming Packet Source Permit? S1/2 边境外 边境内 边防战士 敌对国家来的,禁止通行!

扩展访问控制列表 检查源地址、目的地址、协议、端口号 边境外 边境内 边防战士 Access List Processes Fa1/0 Outgoing Packet Protocol Incoming Packet Source and Destination Permit? S1/2 源IP地址、目的IP地址、协议类型、目的端口号 边境外 边境内 边防战士 从哪里来? 到哪里去? 是什么样人? 想干什么?

用扩展访问控制列表检查数据包

常见端口号 端口号 进程 20 (TCP) 文件传输协议(FTP)数据 21 (TCP) 文件传输协议(FTP)控制信息 23 (TCP) 远程登录(Telnet) 25 (TCP) 简单邮件传输协议(SMTP) 80 (TCP) 超文本传输协议(HTTP) 53 (TCP/UDP) 域名服务(DNS) 69 (UDP) 简单文件传输协议(TFTP)

访问控制列表的核心思想 允许或拒绝特定的数据包 Permit or deny

配置访问控制列表 告诉路由器允许或拒绝某个特定的数据包

访问控制列表的号码范围 对于每个访问控制列表,可以输入规则来允许或者禁止数据包。 访问控制列表用号码来标识。一个访问列表中的所有语句必须使用相同的号码。 访问列表的号码范围如下: 标准IP访问控制列表:1~99 扩展IP访问控制列表:100~199

配置访问控制列表的步骤 在一个接口上配置访问列表需要两个步骤: 定义访问列表; 将访问控制列表应用到某接口。并指明数据传输方向 access-list access-list-number { permit | deny } { test conditions } 将访问控制列表应用到某接口。并指明数据传输方向 { protocol } access-group access-list-number {in | out}

标准访问控制列表 全局配置层配置。标准IP访问列表的基本格式如下: access-list listnumber permit|deny address wildcard-mask Permit和deny表示允许或禁止满足该规则的数据包通过 规则序号,范围为1~99 Address和wildcard-mask分别 为IP地址和通配符掩码,用于指定某个网络 此格式表示允许或拒绝来自指定网络的数据包,该网络由IP地址和通配符掩码指定。

标准访问控制列表举例 Access-list 1 permit host 172.16.1.1 允许来自主机172.16.1.1的IP数据包通过 Access-list 2 deny host 172.16.1.2 禁止来自主机172.16.1.2的IP数据包通过

标准访问控制列表举例 允许来自IP地址为10.*.*.*(即IP地址的第一个字节为10)的主机的数据包通过。 Access-list 10 permit 10.0.0.0 0.255.255.255

通配符掩码(wildcard-mask ) 是一个32比特位的数字字符串 0表示“检查相应的位,并且需要相同”; 1表示“不检查(忽略)相应的位”

通配符举例 Access-list 1 permit 172.16.0.0 0.0.255.255 10101100.00010000.00000000.00000000 00000000.00000000.11111111.11111111 意味着:只要IP地址的前面16位是10101100.00010000就可以和访问控制列表中的规则匹配。

通配符简单练习 允许来自10.0.0.0/255.255.255.0的IP数据包通过。 Access-list 10 permit 10.0.0.0 0.0.0.255 禁止来自10.1.0.0/255.255.0.0的IP数据包通过。 Access-list 20 deny 10.1.0.0 0.0.255.255 允许来自10.128.0.0/255.224.0.0的IP数据报通过。 Access-list 30 permit 10.128.0.0 0.31.255.255

通配符练习 允许来自第一个字节为10,第四个字节为奇数的主机的IP数据包通过。 Access-list 1 permit 10.0.0.1 0.255.255.254

通配符练习 允许来自第一个字节为10,第四个字节为偶数的主机的IP数据包通过。 Access-list 1 permit 10.0.0.0 0.255.255.254

特殊的通配符掩码 1. Any 0.0.0.0 255.255.255.255 2. Host 172.30.16.29 0.0.0.0 Host 172.30.16.29

访问控制列表多规则 Access-list 10 deny host 10.1.1.1 Access-list 10 permit 10.1.1.0 0.0.0.255 Access-list 10 deny 10.1.0.0 0.0.255.255 Access-list 10 permit 10.0.0.0 0.255.255.255 如果IP数据包来自10.1.1.1,和每一条语句都匹配,访问控制列表会怎样处理。

访问控制列表的条件顺序 按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。如果没有任何语句匹配,数据包被拒绝。

如果IP数据包来自10.1.1.1,下面的ACL会如何处理。 Access-list 10 deny host 10.1.1.1 Access-list 10 permit 10.1.1.0 0.0.0.255 Access-list 10 deny 10.1.0.0 0.0.255.255 Access-list 10 permit 10.0.0.0 0.255.255.255

访问控制列表应用到接口上 In out Out in { protocol } access-group access-list-number {in | out} 172.16.3.0 172.16.4.0 172.16.4.13 F1/0 F1/1 In out Out in

标准访问控制列表实例1 仅允许我的网络 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 permit 172.16.0.0 0.0.255.255 (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out interface F1/1

标准访问控制列表实例2 拒绝特定的主机 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out

标准访问控制列表实例3 拒绝特定的子网 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (隐含禁止所有) (access-list 1 deny 0.0.0.0 255.255.255.255) interface F1/0 ip access-group 1 out

标准ACL与扩展ACL的比较 标准ACL 扩展ACL 过滤基于源 过滤基于源和目的 允许或拒绝整个协议族 允许或拒绝特定的IP协议或端口 范围(1-99) 范围(100-199)

扩展访问控制列表 扩展IP访问列表的基本格式如下: 此格式表示允许或拒绝满足如下条件的数据包通过: access-list listnumber permit|deny protocol source-address source-wildcard-mask destination-address destination-wildcard-mask operator operand 此格式表示允许或拒绝满足如下条件的数据包通过: 带有指定的协议(protocol),如TCP、UDP等; 数据包来自由source-address及source-wildcard-mask指定的网络; 数据包去往由destination-address及destination-wildcard-mask指定的网络; 该数据包的目的端口在由operator operand规定的端口范围之内。

扩展访问控制列表实例1 拒绝从172.16.4.0到172.16.3.0的经过F1/0出方向的FTP流量 允许其他所有的流量 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (隐含禁止所有) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out 拒绝从172.16.4.0到172.16.3.0的经过F1/0出方向的FTP流量 允许其他所有的流量

扩展访问控制列表实例2 仅拒绝子网172.16.4.0 在F1/0出方向的流量 允许其他流量 172.16.3.0 172.16.4.0 Non- 172.16.0.0 172.16.3.0 172.16.4.0 S1/2 172.16.4.13 F1/0 F1/1 access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (隐含禁止所有) interface ethernet 0 ip access-group 101 out 仅拒绝子网172.16.4.0 在F1/0出方向的流量 允许其他流量

访问控制列表的放置 扩展ACL靠近源 标准ACL靠近目的

验证访问控制列表 show ip int F1/0 FastEthernet 1/0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>

监视访问控制列表陈述条件 show {protocol} access-list {access-list number} show access-lists {access-list number} show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data

实验4 配置访问控制列表 背景描述: 假设你是某公司的网络管理员,公司的经理部、财务部门和销售部门分别属于3个不同的网段,三个部门之间通过路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。

PC1代表经理部的主机,PC2代表销售部门的主机,PC3代表财务部门的主机。 实验拓扑结构: PC1代表经理部的主机,PC2代表销售部门的主机,PC3代表财务部门的主机。 R1 R2 F1/0 192.168.3.1 255.255.255.0 10.1.1.2 255.0.0.0 S1/2 10.1.1.1 192.168.1.1 IP:192.168.1.11 掩码:255.255.255.0 网关:192.168.1.1 IP:192.168.2.22 网关:192.168.2.1 192.168.2.1 F1/1 PC1 PC2 PC3 IP:192.168.3.33 网关:192.168.3.1

防火墙、IDS、数据安全 1.关于网络安全,以下说法正确的是______。 A.使用无线传输可以防御网络监听 B.木马是一种蠕虫病毒 C.使用防火墙可以有效地防御病毒 D.冲击波病毒利用Windows的RPC漏洞进行传播 2.许多黑客利用软件实现中的缓冲区溢出漏洞进行攻击,对于这一威胁,最可靠的解决方案是______。 A.安装防火墙 B.安装用户认证系统 C.安装相关的系统补丁软件 D.安装防病毒软件

防火墙、IDS、数据安全 3.包过滤防火墙通过_______来确定数据包是否能通过。 A.路由表 B.ARP表 C.NAT表 D.过滤规则 4. 多形病毒指的是______的计算机病毒。 A.可在反病毒检测时隐藏自己 B.每次感染都会改变自己 C.可以通过不同的渠道进行传播 D.可以根据不同环境造成不同破坏

防火墙、IDS、数据安全 5.______不属于将入侵检测系统部署在DMZ中的优点。 A.可以查到受保护区域主机被攻击的状态 B.可以检测防火墙系统的策略配置是否合理 C.可以检测DMZ被黑客攻击的重点 D.可以审计来自Internet上对受到保护网络的攻击类型