700 likes | 967 Views
学习情境 3 内容回顾. 交换基础 交换机工作原理 VLAN 技术 VLAN 技术概述 VLAN 的优点 VLAN 划分方法 基于端口 VLAN 划分 —Port VLAN 技术 基于标识的 VLAN 划分 —Tag VLAN 技术 交换网络中的链路冗余技术 生成树技术 以太网通道聚合技术 VLAN 之间的通信 利用路由器实现 VLAN 间的通信 单臂路由技术 利用三层交换机实现 VLAN 间通信. 学习情境 4. 企业内网安全控制. 电子交易. 电子商务 电子政务. Intranet 站点. Web 浏览.
E N D
学习情境3 内容回顾 • 交换基础 • 交换机工作原理 • VLAN技术 • VLAN技术概述 • VLAN的优点 • VLAN划分方法 • 基于端口VLAN划分—Port VLAN技术 • 基于标识的VLAN划分—Tag VLAN技术 • 交换网络中的链路冗余技术 • 生成树技术 • 以太网通道聚合技术 • VLAN之间的通信 • 利用路由器实现VLAN间的通信 • 单臂路由技术 • 利用三层交换机实现VLAN间通信
学习情境4 企业内网安全控制
电子交易 电子商务 电子政务 Intranet 站点 Web 浏览 Internet Email Internet飞速增长 复杂程度 时间
网络安全的演化 秒 影响目标 安全事件对我们的威胁越来越快 波及全球网络基础架构 地区网络 多个网络 单个网络 单台计算机 分钟 • 下一代 • 网络基础设施黑客攻击 • 瞬间威胁 • 大规模蠕虫 • DDoS • 破坏有效负载的病毒和蠕虫 天 • 第三代 • 网络DOS攻击 • 混合威胁(蠕虫+病毒+特洛伊) • 广泛的系统黑客攻击 周 • 第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑客攻击 • 第一代 • 引导性病毒 1980s 1990s 今天 未来
帧中继 Internet 课程结构 情境三:构建企业交换式局域网 VLAN VLAN VLAN VLAN VLAN VLAN VLAN 情境二:企业内部路由配置 情境四:企业内网安全控制 北京总部 上海分公司 广州分公司 情境一:网络设备选型 课程综合项目:Center公司网络改造项目实施
本章目标 • 了解网络安全的基础知识 • 掌握网络互联设备的安全控制保护措施 • 掌握交换机端口的安全知识 • 学习访问控制列表技术 • 区别不同的访问控制列表技术
本章结构 网络安全概述 管理设备控制台安全 企业内网安全控制 端口安全概述 交换机端口安全 端口安全配置与维护 标准访问控制列表 访问控制列表技术 扩展访问控制列表 命名访问控制列表
任务分解 2 配置标准访问控制列表访问安全技术 配置交换机端口安全 1 配置扩展访问控制列表访问安全技术 3
配置交换机端口安全 1 任务进度
4.1 网络安全概述 • 安全威胁 • 窃听 、重放 、篡改 、拒绝服务攻击 、行为否认 、电子欺骗 、非授权访问 、传播病毒 • 网络攻击方法 • 获取口令 • 放置木马程序 • WWW的欺骗技术 • 电子邮件攻击 • 通过一个节点来攻击其他节点 • 网络监听 • 寻找系统漏洞 • 利用帐号进行攻击 • 偷取特权
网络攻击的防御技术 • 身份认证技术 • 加解密技术 • 边界防护技术 • 访问控制技术 • 主机加固技术 • 安全审计技术 • 检测监控技术
4.2 管理设备控制台安全 • 对于大多数企业内部网来说,连接网络中各个节点的互联设备,是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点,对这个接入点的破坏,直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施,来自网络内部的攻击或者恶作剧式的破坏,将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。 • 据国外调查显示,80%的安全破坏事件都是由薄弱的口令引起的,因此为网络互联设备,配置一个恰当口令,是保护网络不受侵犯最根本保护
保护设备控制台的安全措施 通过一根配置线缆连接到交换机的配置端口(Console),另一端连接到配置计算机的串口。通过如下命令,配置登入交换机控制台特权密码 • Switch> • Switch#configure terminal • Switch(config)#line console 0 • Switch(config-line)#password mypassword !配置控制台密码 • Switch(config)#login!配置登陆时需要验证密码
F0/1 Console口 配置线 RJ45口 Com1口 仿真终端 测试机 配置线缆 配置交换机的连接模式 配置线缆
配置交换机远程登录的安全措施 除通过Console端口与设备直接相连管理设备之外,用户还可以通过Telnet程序和交换机RJ45口建立远程连接,以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下(路由器远程登录密码的配置与之相同)。 • Switch> • Switch#configure terminal • Switch(config)#line vty 0 4 !开启Telnet线路 • Switch(config-line)#password mypassword !配置Telnet登录密码 • Switch(config-line)#login !配置登陆时需要验证密码
4.3交换机端口安全 • 端口安全概述 大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法,对网络的核心设备进行连续的数据包攻击,如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为,可以通过启用交换机端口安全功能特性加以防范。
MAC攻击 MAC地址:链路层唯一标识 00.d0.f8. 00.07.3c FF.FF.FF.FF.FF.FF 广播MAC地址 后3个字节:网络设备制造厂商自行分配的,不重复,生产时写入设备 前3个字节:IEEE分配给网络设备制造厂商的 MAC地址表:空间有限 MAC Port A 1 B 2 C 3 接入交换机
MAC攻击 攻击: MAC地址表空间是有限,MAC攻击会占满交换机地址表; 使得单播包在交换机内部也变成广播包, 向所有端口转发,每个连在端口上客户端都可以收到该报文; 交换机变成了一个Hub,用户的信息传输也没有安全保障了
端口安全配置方式 • 配置安全地址:当开启交换机端口安全功能并为交换机端口配置安全MAC地址,则这个端口将不转发除安全源MAC地址外的其他任何数据帧。 • 配置安全地址数:交换机安全端口不仅可以配置安全MAC地址,也可以设置安全地址数目,也就是说,一个安全端口可以配置多个安全MAC地址。
配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。 • 配置老化时间和处理方式:可以为安全端口设置老化时间和处理方式,可以清除长时间不活动的安全MAC地址。 • 将IP地址绑定到MAC地址:可以在交换机上将IP地址绑定到MAC地址,以实现在特定端口上允许特定的IP终端接入。
端口安全的配置和维护 • 配置安全端口的过程包括启用端口安全,设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC地址与IP地址绑定等。 对于Cisco交换机,需要注意的是: • Cisco系列交换机可以做基于2层的端口安全,即MAC地址与端口进行绑定。 • Cisco3550以上交换机均可做基于2层和3层的端口安全,即MAC地址与端口绑定以及MAC地址与IP地址绑定。
交换机端口安全功能 • 交换机的端口安全功能,防止网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。 • 交换机端口安全的基本功能 1、端口安全地址绑定, 解决网中IP地址冲突、ARP欺骗 例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。 2、限制端口最大连接数 ,控制恶意扩展接入 例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。
配置端口安全MAC地址 • 下面以以Cisco交换机为例,来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用: (1)设定一端口只接受第一次连接该端口的计算机MAC地址,当该端口第一次获得某计算机MAC地址后,其他计算机接入到此端口所发送的数据帧则认为非法,做丢弃处理。 • Switch#config terminal • Switch(config)#interface interface-id!进入端口 • Switch(config-if)#switchport mode access !配置端口为交换模式 • Switch(config-if)#switchport port-security !打开端口安全模式 • Switch(config-if)#switchport port-security violation protect !设置违例处理
配置端口安全MAC地址 (2)设定一端口只接受某一特定计算机MAC地址,其他计算机均无法接入到此端口。 • Switch#config terminal • Switch(config)#interface interface-id • Switch(config-if)#switchport mode access • Switch(config-if)#switchport port-security • Switch(config-if)#switchport port-security violation protect // 以上步骤与第一种应用相同 • Switch(config-if)#switchport port-security mac-address mac-address // 将端口绑定到特定的MAC地址
设置安全端口最大连接数 • 可以通过MAC地址来限制端口流量。以下配置允许一接口最多通过100个MAC地址,超过100时,来自新主机的数据帧将丢失。具体配置如下: • Switch#config terminal • Switch(config)#interface fastEthernet 0/1 • Switch(config)#Switchport mode access • Switch(config-if)#switchport port-security maximum 100 // 允许通过的最大MAC地址数目为100 • Switch(config-if)#switchport port-security violation protect // 当主机MAC地址数超过100时,交换机继续工作,但来自新主机的数据帧将丢失
配置安全违例 • 当交换机端口配制成安全端口后,以下情况发生时就产生了一个安全违例事件: • 端口安全地址数已达最大安全数目,这时,如果有一个安全MAC地址表外的MAC地址试图访问这个端口。 • 如果一个站点试图访问这个端口,而这个站点的源MAC地址已被配置为其他的端口的安全地址。
配置安全违例 当安全违例产生时,可以选择多种方式来处理违例: • protect:当MAC地址的数量达到了这个端口所最大允许的数目,带有未知的源地址的数据帧就会被丢弃,直到删除了足够数量的MAC地址为止。 • restrict:当安全违例发生时,产生一个Trap消息并将“安全违规”计数器增加1。 • shutdown:一旦违例发生,马上关闭该端口,并且发送Trap消息。安全端口由于违例被关闭后处在error-disable状态。如要恢复该端口,必须敲入全局命令errdisable recovery cause psecure-violation,或者手动的shutdown然后再no shutdown恢复该端口。这个是Cisco交换机端口安全违例的默认处理方式。
配置安全端口与IP地址绑定 MAC地址与IP地址绑定基本原理是:在交换机内建立MAC地址和IP地址映射的ARP表。端口获得的IP和MAC地址将匹配该表,不符合则丢弃该端口发送的数据帧。具体实现方法如下: • Switch#configure terminal • Switch(config)#arp ip地址mac地址arpa • 如下命令建立ip地址1.1.1.1和mac地址0001.0001.1111绑定: Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa 注意: • 需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。
配置端口安全老化 • 当为端口指定最大安全MAC地址数时,交换机可以不断学习到新MAC地址,并将它添加到该端口的安全MAC地址表中。这时,安全MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间不活动的MAC地址,从而减少网络维护的工作量。配置端口安全老化的过程如下: • Switch(config)#interface interface_id !指定欲配置端口安全老化的接口 • Switch(config-if)#switchport port-security aging time aging_time // 为安全端口配置老化时间 • Switch(config-if)#switchport port-security aging type {absolute|inactivity} // 为安全端口设置老化类型
查看端口安全设置 • 在完成端口安全相关设置后,可用下列命令查看端口安全配置: • Switch#show port-security !查看哪些接口启用了端口安全 • Switch#show port-security address !查看安全端口mac地址绑定关系
F0/1 F0/2 财务部 业务部 F0/2 F0/3 F0/1 PC1192.168.1.1 PC2192.168.1.2 PC3192.168.1.3 实例4.1 配置交换机端口安全 • 某公司拓扑如图所示,为了防止局域网内部用户的IP地址冲突,防范内部网络攻击行为,公司要求网络中心管理员为财务部中每一台计算机配置固定IP地址,并限制只允许局域网内部员工的电脑才可以使用网络,不得随意连接其他主机。此外,公司还需限制业务部的最大连接数目为20。
阶段总结 • 网络安全概述 • 安全威胁 、网络攻击方法 、网络攻击的防御技术 • 管理设备控制台安全 • 保护设备控制台的安全措施 、配置交换机远程登录的安全措施 • 交换机端口安全 • 端口安全概述 、端口安全的配置和维护
任务进度 2 配置标准访问控制列表访问安全技术 配置交换机端口安全 1 √
4.4 访问控制列表(ACL) • ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。 FTP ISP √
1 1 1 1 2 2 2 2 为什么要使用访问列表 RG-NBR1000 Internet 隔离外网病毒 RG-S3512G /RG-S4009 RG-S2126 RG-S2126 隔离病毒源 财务部 VLAN10 技术部 VLAN20 不同部门所属VLAN不同
ACL的功能 • 通过灵活地应用访问控制列表,可以把ACL作为一种网络控制的有力工具,用来实现以下功能: • 提供对通讯流量的控制手段。 • 提供网络访问的基本安全手段。 • 在路由器接口处,决定哪种类型的通讯流量被转发,哪种类型的流量被丢弃。
帧报头 数据包 段 数据 端口号 协议 使用ACL规则来检验数据包 源地址 目的地址 拒绝 允许 ACL检查数据包
交换机支持的访问控制列表 • 交换机支持三种访问控制列表的应用过滤传输: • 端口访问控制列表:也称MAC访问控制列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问控制列表。在三层接口可以应用IP访问控制列表和端口访问控制列表。 • 路由访问控制列表:对VLAN之间以及三层接口之间通信实施访问控制。并且可以控制进、出双向通信。 • VLAN访问控制列表:也称VLAN映射,对所有包实现访问控制。在同一VLAN的设备之间,可以采用VLAN ACL实施访问控制。VLAN访问控制列表的配置与访问控制均基于IP地址,不支持基于MAC地址的访问控制。
访问控制列表的类型 • 访问控制列表的分类: 1、标准ACL 2、扩展ACL 3、命名ACL (标准/扩展)
选择接口 出站 Y Y N 出站 入站数据包 可路由吗? 路由表选择入口? 规则允许? 接口配置ACL? Y N N Y N 丢弃数据 通知发送端 访问控制列表工作过程
Y Y N Y Y N 允许 是否匹配最后一个测试条件? Y Y N 系统隐含拒绝 拒绝 是否匹配测试条件2? 是否匹配测试条件1? 拒绝 拒绝 拒绝 允许 允许 允许 ACL配置数据包流程
配置标准访问控制列表 • 标准ACL的工作过程 • 标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有流量通过路由器。 • 从路由器某一接口进来的数据包经过检查其源地址和协议类型,并且与ACL条件判断语句相匹配,如果匹配,则执行允许或拒绝。如果该数据包被允许通过,就从路由器的出口转发出去;如果该数据包被拒绝通过,就丢弃它。当网络管理员要允许或阻止来自某一网络的所有通信流量,可以使用标准ACL来实现这一目标。
学生网段 教研网段 校领导网段 标准列表规则定义 • 标准访问列表 只根据源IP地址,进行数据包的过滤。
IP标准访问列表 eg.HDLC IP TCP/UDP 数据 源地址 1-99 号列表
1、定义标准ACL Router(config)# access-list access-list-number { deny | permit } source [source-wildcard] access-list-number:访问控制列表号,对于标准ACL来说,是一个从1~99之间的数字. deny | permit:如果满足测试条件,则拒绝/允许从该入口来的通信流量 Source:数据包的源地址,可以是网络地址或是主机IP地址 source-wildcard(可选项):通配符掩码,又称反掩码,用来跟源地址一起决定哪些位需要匹配
0表示检查相应的地址比特 1表示不检查相应的地址比特 128 64 32 16 8 4 2 1 0 0 1 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 反掩码(通配符) 通配符掩码是一个32比特位。其中0表示“检查相应的位”,1表示“不检查相应的位”。 在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。 通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。 在通配符掩码用255.255.255.255表示所有IP地址,全为1说明所有32位都不检查,这是可以用any来取代。 0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。 0 0 0 0 0 0 0 0
(1)access-list 1 deny host 192.168.0.99 • (2)access-list 2 deny host 192.168.0.99 access-list 2 permit any • (3)access-list 3 permit host 192.168.0.99 • (4)access-list 4 deny 192.168.0.99 0.0.0.255 access-list 4 permit any (限制所有主机) (只限制IP地址为 192.168.0.99 的主机) ( 除192.168.0.99 的主机都deny) (限制192.168.0.0 网络)
2、应用ACL到接口 Router(config-if)#ip access-group access-list-number { in | out } 其中,参数in和out表示ACL作用在接口上的方向,两者都是以路由器作为参照物。如果in和out都没有指定,那么默认为out
IP标准访问列表配置 只允许172.16.3.0网络中的计算机访问互联网络 Internet 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1 access-list 1 permit 172.16.3.00.0.0.255 (access-list 1 deny 0.0.0.0 255.255.255.255) interface serial 0 ip access-group 1 out