1 / 40

第 9 章 园区网安全设计

第 9 章 园区网安全设计. 锐捷认证网络工程师 RCNA. 本章内容. 园区网安全隐患 交换机端口安全 访问控制列表 ACL 防火墙基础. 课程议题. 园区网安全隐患 交换机端口安全 访问控制列表 ACL 防火墙基础. 园区网常见安全隐患. 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏;。 来自园区网外部和内部人员的恶意攻击和破坏。. 威胁. 威胁. 自然灾害. 人. 非恶意. 恶意. (外部) 黑客. (外部) 战争. (内部)

beryl
Download Presentation

第 9 章 园区网安全设计

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第9章园区网安全设计 锐捷认证网络工程师RCNA

  2. 本章内容 • 园区网安全隐患 • 交换机端口安全 • 访问控制列表ACL • 防火墙基础

  3. 课程议题 • 园区网安全隐患 • 交换机端口安全 • 访问控制列表ACL • 防火墙基础

  4. 园区网常见安全隐患 • 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 • 人为但属于操作人员无意的失误造成的数据丢失或损坏;。 • 来自园区网外部和内部人员的恶意攻击和破坏。

  5. 威胁 威胁 自然灾害 人 非恶意 恶意 (外部) 黑客 (外部) 战争 (内部) 不满的员工 不熟练的员工

  6. 漏洞 • 物理 • 自然 • 硬件 • 软件 • 媒介 • 通讯 • 人 External attacker Internal attacker Corporate Assets Incorrect permissions Virus

  7. 网络安全的演化 秒 影响的目标和范围 安全事件对我们的威胁越来越快 波及全球的网络基础架构 地区网络 多个网络 单个网络 单台计算机 分钟 • 下一代 • 网络基础设施黑客攻击 • 瞬间威胁 • 大规模蠕虫 • DDoS • 破坏有效负载的病毒和蠕虫 天 • 第三代 • 网络DOS攻击 • 混合威胁(蠕虫+病毒+特洛伊) • 广泛的系统黑客攻击 周 • 第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑客攻击 • 第一代 • 引导性病毒 1980s 1990s 今天 未来

  8. 现有网络安全体制 • IDS • 68% 现有网络安全 防御体制 • 防火墙 • 98% • 杀毒软件 • 99% • ACL • 71%

  9. 常见解决安全隐患的方案 • 交换机端口安全 • 配置访问控制列表ACL • 在防火墙实现包过滤 • ……

  10. 课程议题 • 园区网安全隐患 • 交换机端口安全 • 如何在路由器配置访问控制列表ACL • 防火墙基础

  11. 交换机端口安全 • 通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何包。 • 此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。 • 为了增强安全性,你可以将 MAC地址和IP地址绑定起来作为安全地址。

  12. 交换机端口安全 • 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。 • 当安全违例产生时,你可以选择多种方式来处理违例: • Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 • RestrictTrap:当违例产生时,将发送一个Trap通知。 • Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。

  13. 配置安全端口 • interface interface-id 进入接口配置模式。 • switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)。 • switchport port-security 打开该接口的端口安全功能 • switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-128,缺省值为128。 • switchport port-security violation{protect| restrict | shutdown} 设置处理违例的方式当端口因为违例而被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。 • switchport port-security mac-address mac-address [ip-address ip-address] 手工配置接口上的安全地址。ip-address: 可选IP 为这个安全地址绑定的地址。

  14. 端口安全配置示例 • 下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect。 Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end

  15. 验证命令 Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- ------------- -------------- ---------- -------- -------------------- 1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1 7

  16. 验证命令 Switch#show port-security Secure Port MaxSecureAddr(count)CurrentAddr(count)Security Action ------------ -------------------- ------------------ Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect

  17. 课程议题 • 园区网安全隐患 • 交换机端口安全 • 访问控制列表ACL • 防火墙基础

  18. 为什么要使用访问列表 ISP IP Access-list:访问列表或访问控制列表,简称IP ACL 当网络访问流量较大时,需要对网络流量进行管理

  19. 为什么要使用访问列表 信息 服务器 互联网用户 公网 不能在上班时间进行QQ,MSN等聊天. 拒绝 对外信息 服务器 员工上网 访问权限控制

  20. 为什么要使用访问列表 可以是路由器或三层交换机或防火墙 网络安全性

  21. 访问列表的应用 源地址目的地址 E0 协议 是否允许? S0 路由器应用访问列表对流经它的数据包进行限制1.入栈应用2.出栈应用

  22. 访问列表的出栈应用 选择出口S0 S0 Y 查看访问列表的陈述 路由表中是否存在记录? S0 N 是否应用访问列表? N Y 是否允许? Y N 以ICMP信息通知源发送方

  23. 一个访问列表多个测试条件 是否匹配测试条件1 ? Y Y N 拒绝 允许 是否匹配测试条件2 ? Y Y 拒绝 允许 N 是否匹配最后一个测试条件? Y Y 拒绝 允许 N 被系统隐含拒绝

  24. IP ACL的基本准则 • 一切未被允许的就是禁止的。 • 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。 • 按规则链来进行匹配 • 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 • 从头到尾,至顶向下的匹配方式 • 匹配成功马上停止 • 立刻使用该规则的“允许、拒绝……”

  25. IP标准访问列表 eg.HDLC IP TCP/UDP 数据 源地址 1-99 号列表

  26. IP扩展访问列表 eg.HDLC IP TCP/UDP 数据 端口号 协议 源地址 100-199号列表 目的地址

  27. 0表示检查相应的地址比特 1表示不检查相应的地址比特 128 64 32 16 8 4 2 1 0 0 1 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 反掩码 0 0 0 0 0 0 0 0

  28. IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码] 命名的标准访问列表 ip access-list standard { name} deny{source source-wildcard|hostsource|any} orpermit {source source-wildcard|hostsource|any} 2.应用ACL到接口Router(config-if)#ip access-group <1-99>|{name} { in | out }

  29. IP标准访问列表配置实例 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1 access-list 1 permit 172.16.0.00.0.255.255 (access-list 1 deny 0.0.0.0 255.255.255.255) interface fastethernet 0 ip access-group 1 out interface fastethernet 1 ip access-group 1 out

  30. IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended { name} {deny|permit} protocol{sourcesource-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port] 2.应用ACL到接口Router(config-if)#ip access-group <100-199> { in | out }

  31. IP扩展访问列表配置实例 下例显示如何创建一条Extended IP ACL,该ACL有一条ACE,用于允许指定网络(192.168.x..x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络。 Switch (config)# ip access-list extended allow_0xc0a800_to_172.168.12.3 Switch (config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch (config-std-nacl)#end Switch # show access-lists

  32. 扩展访问列表的应用 access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any any interface <type> <number> ip access-group 115 in ip access-group 115 out

  33. 访问列表的验证 显示全部的访问列表 Router#show access-lists显示指定的访问列表Router#show access-lists <1-199>显示接口的访问列表应用Router#show ip interface <接口名称> <接口编号>

  34. 课程议题 • 园区网安全隐患 • 交换机端口安全 • 访问控制列表ACL • 防火墙基础

  35. Access Denied 什么是防火墙 企业网络边缘设备置于可信区和不可信区之间保护可信区(内部网)监控穿越防火墙的数据流Allow or Deny Internal Resources Unauthorized Service (http, ftp, telnet) Firewall Authorized Service Internet

  36. RG-WALL 产品线 大型网络HA应用VPN网关核心的应用等 大型校园网核心 与ISP的互连等 RG-WALL1500 大中型企业分支、 教育城域网VPN分支机构等 RG-WALL1000 性能 中小型企业、 普教行业大中型应用 教育城域网等 RG-WALL150 普教行业中小型应用 RG-WALL100 RG-WALL 50 特性 (会话数、端口数等)

  37. 中小型网络应用特点 • NAT(对内、对外) • 防止病毒流窜 • 接入时间控制

  38. Internet RG-WALL典型应用示意图 DMZ区 RG-WALL DB服务器 WEB服务器 内部网 MAIL服务器 中小学校园网典型应用

  39. 课程回顾 • 园区网安全隐患 • 交换机端口安全 • 访问控制列表ACL • 防火墙基础

  40. Q&A

More Related