第5网络安全技术.pptx

1、 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。工程任务：保护园区网络安全组件一：网络攻击行为 保护园区网络安全组件二：管理设备控制台安全 组件三：交换机端口安全技术 组件四：访问控制列表安全技术 组件一：网络攻击行为 保护园区网络安全复杂程度复杂程度Internet飞速增长Internet EmailWeb

2、 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间第一代第一代 引导性病毒引导性病毒第二代第二代 宏病毒宏病毒 DOSDOS 电子邮件电子邮件 有限的黑有限的黑客攻击客攻击第三代第三代 网络网络DOSDOS攻击攻击 混合威胁混合威胁（蠕虫（蠕虫+病毒病毒+特特洛伊）洛伊）广泛的系广泛的系统黑客攻统黑客攻击击下一代下一代 网络基础网络基础设施黑客设施黑客攻击攻击 瞬间威胁瞬间威胁 大规模蠕大规模蠕虫虫 DDOSDDOS 破坏有效破坏有效负载的病负载的病毒和蠕虫毒和蠕虫波及全球网波及全球网络基础架构络基础架构地区网络地区网络多个网络多个网络单个网络单个网络单台计

3、算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化网络安全隐患 网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源

4、故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。常见网络管理中存在的安全问题（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏

5、洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。从网络安全的广义角度来看，网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。网络攻击行为 常见的攻击措施主要有：获取网络口令放置特洛伊木马程序 WWW欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 拒绝服务攻击 网络监听 寻找系统漏洞 利用账号进行攻击 偷取特权 手段多样的网络攻击：攻击不可避免攻击工具体系化攻击工具体系化网络进攻简单化 全球超过26

6、万黑客站点,提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理大量的攻击工具随手拾来大量的攻击工具随手拾来攻击工具更加“人性化”现有网络安全现有网络安全防御体制防御体制入侵检测系统IDS68%杀毒软件杀毒软件99%防火墙防火墙98%ACL71%现有网络安全体制VPNVPN 虚拟专用网虚拟专用网防火墙防火墙防火墙防火墙包过滤包过滤包过滤包过滤防病毒防病毒防病毒防病毒入侵检测入侵检测入侵检测入侵检测现有网络安全技术保护园区网络安全组件二：管理设备控制台安全 保护交换机控制台的安全措施保护交换机控制台的安全措施 对于大多数企业内部网来说，连接网络中各个节点的

7、互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护 交换机控制台安全措施配置交换机的登陆密码配置交换机的登陆密码S2126G(config)#enable secret level 1 0 star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令，1 1为分配等级为分配等级 配置交换机的特权密码配置交换机的特权密码S21

8、26G(config)#enable secret level 15 0 Star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令，1 1为分配等级为分配等级等级等级1 1分配给特权模式分配给特权模式;等级等级1515分配给全局模式，等级分配给全局模式，等级2-142-14分配给不同的命令分配给不同的命令;配置TELNET方式管理交换机Switch(config)#interface vlan 1 ！配置远程登录地址Switch(config-if)#no shutdownSwitch(config-if)#ip address 192.168.1.1 255.255.25

9、5.0Switch(config-if)#end路由器控制台安全措施 保护路由器控制台的安全措施 配置路由器控制台密码Router（config）#line concole 0Router（config-line）#loginRouter（config-line）#password star 配置路由器的特权登录密码：Router（config）#enable password starRouter（config）#enable secret star “password”表示输入的是明文形式的口令，表示输入的是明文形式的口令，“secret”为密文形式的口令，密文有最高优先级别。为密文形式的

10、口令，密文有最高优先级别。保护路由器远程登陆登录的安全措施 Router#configure terminalRouter（config）#line VTY 0 4Router（config-line）#loginRouter（config-line）#password star 保护园区网络安全组件三：交换机端口安全技术 FF.FF.FF.FF.FF.FF广播广播MAC地址地址 00.d0.f8.00.07.3c前前3个字节：个字节：IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个字节：网个字节：网络设备制造厂商络设备制造厂商自行分配的，不自行分配的，不重复，生产时写重复，生

11、产时写入设备入设备MAC地址：链路层唯一标识地址：链路层唯一标识接入交换机接入交换机MAC Port A 1 B 2 C 3 MAC地址表：空间有限地址表：空间有限MAC攻击攻击：攻击：MAC地址表空间是有限，地址表空间是有限，MAC攻击会占满交换机地址表攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包使得单播包在交换机内部也变成广播包,向所有端口转发，向所有端口转发，每个连在端口上客户端都可以收到该报文每个连在端口上客户端都可以收到该报文;交换机变成了一个交换机变成了一个Hub，用户的信息传输也没有安全保障，用户的信息传输也没有安全保障了了MAC攻击交换机端口安全功能交换机的端口安

12、全功能，防止网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数 ,控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。交换机端口安全内容 安全端口收到不属于端口上安全地址包时，一个安全违一个安全违例将产生。例将产生。当安全违例产生时，可以选择多种方式来处理违例：Protect：安全端口将丢弃未知名地址的包（不是该端口的安全

13、地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知,等候处理。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。端口安全配置示例 配置fa1/3端口安全功能，设置最大地址个数为8，违例方式为protect。Switch(config)#interface fa1/3 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security vio

14、lation protect 端口安全配置示例 配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为192.168.12.202Switch(config)#interface fa 0/3 Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202验证命令 查看接口安全信息Switch#show port-security Secure Port MaxSec

15、ureAddr（count）CurrentAddr（count）Security Action -fa0/3 8 1 Protect实习项目：实习项目：配置交换机端口安全配置交换机端口安全【工作任务】如图所示，模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突，防止学院内部的网络攻击行为，学院领导要求网络中心的管理员，为学院中每一台电脑分配固定IP地址（如为某位老师分配的IP地址是172.16.1.55/24，该主机的MAC地 址 是 00-06-1B-DE-13-B4），并限制只允许学院内部的员工才可以使用网络，并不得随意连接其他主机。【项目设备】交换机（1台），PC

16、(1台)、网线（1条）【实施过程】Switch#configure terminalSwitch(config)#interface range fa0/1-23 Switch(config-if-range)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdownSwitch(config)#interface fa 0/3 Switch(config-if)#switc

17、hport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202保护园区网络安全组件四：访问控制列表安全技术 ISP1、什么是访问列表 ACL(Access Control List)对经过设备的数据包，根据一定的规则，进行数据包的过滤。FTP2、为什么要使用访问列表提供网络安全控制的基本手段过滤数据流限制网络访问流量,从而提高网络性能RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2

18、126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒2、为什么要使用访问列表3、访问列表的组成 定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口上 访问控制列表的分类：1、标准2、扩展3、命名（标准扩展）访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制：1.入栈应用（in）2.出栈应用（out）5、ACL的基本准则 一切未被允许的就是禁止的。路由器缺省允许所有的信息流通过

19、;防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 6、一个访问列表多个测试条件 标准访问列表 根据数据包源IP地址进行规则定义，编号为1-99 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则

20、定义，编号为100-1997、ACL分类 标准访问列表 只根据源IP地址，进行数据包的过滤。学生网段学生网段学生网段学生网段校领导网段校领导网段校领导网段校领导网段教研网段教研网段教研网段教研网段8、标准列表规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表（2）1、定义标准ACLRouter(config)#access-list permit|deny 源地址 反掩码2、应用ACL到接口Router(config-if)#ip access-group|name in|out 0表示检查相应的地址比特 1表示不检查相应的地址比特001111

21、11128643216842100000000000011111111110011111111 反掩码（通配符）通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段，使用通配符掩码应为0.0.255.255。在通配符掩码用255.255.255.255表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。0.0.0.0的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。acces

22、s-list 1 permit 172.16.3.0 0.0.0.255access-list 1 deny 0.0.0.0 255.255.255.255interface serial 0ip access-group 1 out172.16.3.0172.16.4.0F0S0F1Internet172.17.0.0 IP标准访问列表配置只允许172.16.3.0网络中的计算机访问互联网络IP标准访问列表配置技术 阻止192.168.0.45主机通过E0访问网络，而允许其他的机器访问Router（config）#access-list 1 deny host 192.168.0.45Rou

23、ter（config）#access-list 1 permit anyRouter（config）#interface ethernet 0Router（config-if）#ip access-group 1 in 实习项目：配置标准访问列表控制网络流量实习项目：配置标准访问列表控制网络流量【工作任务】如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（3.0.0.0）和行政办公网（1.0.0.0）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；静态路由805图2

24、.0.0.2/8S03.0.0.1/8B2.0.0.1/81.0.0.1/8ABS01.0.0.254/8E0E03.0.0.254/8PC1PC2给主机分配IP地址Pc1Ip/ip 1.0.0.1 255.0.0.0ip/dg 1.0.0.254Pc2Ip/ip 3.0.0.1 255.0.0.0ip/dg 3.0.0.254Route ARouterenRouter#conf tRouter(config)#interface e0Router(config-if)#ip add 1.0.0.254 255.0.0.0Router(config-if)#no shutRouter(conf

25、ig-if)#exitRouter(config)#interface s0Router(config-if)#ip add 2.0.0.1 255.0.0.0Router(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network 1.0.0.0Router(config-router)#network 2.0.0.0Router#show ip routeRoute BRoutere

26、nRouter#conf tRouter(config)#interface e0Router(config-if)#ip add 3.0.0.254 255.0.0.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#interface s0Router(config-if)#ip add 2.0.0.2 255.0.0.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#router ripRouter(config-router)#versi

27、on 2Router(config-router)#network 3.0.0.0Router(config-router)#network 2.0.0.0Router#show ip route此时PC1能PING通PC2Router 1Router(config)#access-list 10 deny 3.0.0.0 0.255.255.255Router(config)#access-list 10 permit anyRouter(config)#interface e0Router(config-if)#ip access-group 10 out扩展型访问控制列表扩展型访问控制列

28、表（Extended IP ACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。ACL分类-扩展访问列表 扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。学生网段学生网段学生网段学生网段校领导网段校领导网段校领导网段校领导网段邮件邮件邮件邮件serverserverserverserverWEBserverWEBserverWEBserverWEBserver目的地址目的地址源地址源地址协议协

29、议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表（1）IP扩展访问列表的配置（2）1、定义扩展的ACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口Router(config-if)#ip access-group|name in|out IP扩展访问列表配置实例（3）允许网络192.168.0.0内所有主机访问HTTP服务器172.168.12.3，拒绝其它主机使用网络。Switch(config)#access-list 111

30、permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch#show access-lists 扩展ACL应用场景 如图所示企业网络内部结构路由器（一般为三层交换机）连接了二个子网段，地址规划分别为172.16.4.0/24，172.16.3.0/24。其中在172.16.4.0/24网段中有一台服务器提供WWW服务，其IP地址为172.16.4.13。需要进行网络管理任务是：为保护网络中心172.16.4.0/24网段安全，禁止其它网络中的计算机访问子网络172.16.4.0网络，不过可以访问在172.16.4.0网络

31、中搭建的WWW服务器 Switch(config)#access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq wwwSwitch(config)#access-list 101 deny ip any anySwitch(config)#interface Fa0/1Switch(config-if)#ip access-group 101 out access-list 115 deny udp any any eq 69 access-list 115 deny udp any any eq 69 access-list 115 deny

32、tcp any any eq 135access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny udp any any eq 138access-li

33、st 115 deny tcp any any eq 139access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq

34、593access-list 115 deny tcp any any eq 4444access-list 115 deny tcp any any eq 4444access-list 115 permit ip any anyaccess-list 115 permit ip any any interface interface ip access-group 115 in ip access-group 115 in ip access-group 115 outip access-group 115 out 扩展访问列表的应用（4）利用利用ACLACL隔离冲击波病毒隔离冲击波病毒项

35、目：配置扩展访问列表保护服务器安全项目：配置扩展访问列表保护服务器安全【工作任务】如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（172.16.1.0）和学生网（172.16.3.0）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】Router(config)#Access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 eq ftpRo

36、uter(config)#Access-list 101 permit ip any anyRouter(config)#interface fa1/0Router(config-if)#Ip access-group 101 in 命名访问控制列表 命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。通过字符串组成的名字直观地表示特定ACL；不受编号ACL中100条限制；可以方便的对ACL进行修改，无需删除重新配置 命名访问控制列表1、定义命名的扩展ACL ip access-list standard|extended name

37、deny|permit protocolsource wildcard destination wildcard operator port 2、应用ACL到接口Router(config-if)#ip access-group name in|out 配置三层交换机命名访问控制列表Switch#configure terminalSwitch（config）#ip access-list standard deny-host-192.168.l2.x Switch（config-std-nacl）#deny 192.168.12.0 0.0.0.255 Switch（config-std-n

38、acl）#permit anySwitch（config-std-nacl）#end Switch#show access-list deny-host-192.168.l2.x 冲击波（冲击波（MS BlasterMS Blaster）病毒）病毒 蠕虫病毒，大量蠕虫病毒，大量ICMPICMP扫描，导致网络阻塞扫描，导致网络阻塞利用利用ACLACL关闭关闭ICMPICMP服务，以及相应端口。服务，以及相应端口。益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。配置示例：配置示例：access-list101denytcpanyanyeq135 ac

39、cess-list101denytcpanyanyeq135 阻止感染病毒的阻止感染病毒的PCPC向其它正常向其它正常PCPC的的135135端口发布攻击代码。端口发布攻击代码。access-list101denyudpanyanyeqtftp access-list101denyudpanyanyeqtftp 限制目标主机通过限制目标主机通过tftptftp下载病毒。下载病毒。access-list101denyicmp any anyaccess-list101denyicmp any any 阻断感染病毒的阻断感染病毒的PCPC向外发送大量的向外发送大量的ICMPICMP报文，防止其堵塞

40、网络。报文，防止其堵塞网络。接入交换机接入交换机RG-S2126G防病毒配置防病毒配置RG-2126G-2(config)#ip access-list extended deny_wormsRG-2126G-2(config-ext-nacl)#deny tcp any any eq 135RG-2126G-2(config-ext-nacl)#deny tcp any any eq 136RG-2126G-2(config-ext-nacl)#deny tcp any any eq 137RG-2126G-2(config-ext-nacl)#deny tcp any any eq 138

41、RG-2126G-2(config-ext-nacl)#deny tcp any any eq 139RG-2126G-2(config-ext-nacl)#deny tcp any any eq 445RG-2126G-2(config-ext-nacl)#deny udp any any eq 135RG-2126G-2(config-ext-nacl)#deny udp any any eq 136RG-2126G-2(config-ext-nacl)#deny udp any any eq netbios-nsRG-2126G-2(config-ext-nacl)#deny udp a

42、ny any eq netbios-dgmRG-2126G-2(config-ext-nacl)#deny udp any any eq netbios-ssRG-2126G-2(config-ext-nacl)#deny udp any any eq 445RG-2126G-2(config-ext-nacl)#permit ip any any RG-2126G-2(config-ext-nacl)#exitRG-2126G-2(config)#interface range fa 0/1-24RG-2126G-2(config-if-range)#ip access-group deny

43、_worms in 访问列表的验证显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 访问列表的注意事项1 1、在进行规则匹配时，从上至下，匹配成功马、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。上停止，不会继续匹配下面的规则。2 2、所有访问列表默认规则是拒绝所有数据包、所有访问列表默认规则是拒绝所有数据包3 3、处理方式只有允许通过和拒绝通过、处理方式只有允许通过和拒绝通过4 4、一个端口在某一方向只能应用一组访问列表、一个端口在某一方向只能应用一组访问列表实习项目：配置命名实习项目：配置命名ACL保护办公网安全保护办公网安全【工作任务】如图所示网络拓扑图是中北大学计算机科学技术学院学生网和行政办公网网络工作场景，要禁止学生网（172.16.3.0）访问行政办公网（172.16.1.0）中的设备，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。【项目设备】交换机（2台），PC(1台)、网线（1条）【实施过程】