網(wǎng)絡(luò)安全技術(shù).PPT

1、 中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實(shí)施整體規(guī)劃，通過在交換機(jī)設(shè)備上增加訪問控制列表技術(shù)，實(shí)現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。 工程任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全組件一：網(wǎng)絡(luò)攻擊行為 保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全 組件三：交換機(jī)端口安全技術(shù) 組件四：訪問控制列表安全技術(shù) 組件一：網(wǎng)絡(luò)攻擊行為 保護(hù)園區(qū)網(wǎng)絡(luò)安全復(fù)雜程度復(fù)雜程度Internet飛速增長Internet EmailWe

2、b 瀏覽Intranet 站點(diǎn)電子商務(wù)電子商務(wù) 電子政務(wù)電子政務(wù)電子交易電子交易時(shí)間時(shí)間第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球網(wǎng)波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)單臺(tái)計(jì)算機(jī)周周天天分鐘分鐘秒秒影響目標(biāo)影響目標(biāo)1980s1990s今天今天未來未來安全事件對(duì)我們的安全事件對(duì)我們的威脅威脅越來越快越來越快網(wǎng)絡(luò)安全的演化網(wǎng)絡(luò)安全隱患 網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用網(wǎng)

3、絡(luò)開放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時(shí)，進(jìn)行的竊聽、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險(xiǎn)。企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識(shí)差等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。常見網(wǎng)絡(luò)管理中存在的安全問題 （1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控

4、制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。 （2）病毒的侵入。Internet開拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國國家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過計(jì)算機(jī)病毒的危害。（3）黑客的攻擊。得益于Internet的開放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。從網(wǎng)絡(luò)安全的廣義角度來看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個(gè)管理問題。它包含管理機(jī)構(gòu)

5、、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。網(wǎng)絡(luò)攻擊行為 常見的攻擊措施主要有： 獲取網(wǎng)絡(luò)口令 放置特洛伊木馬程序 WWW欺騙技術(shù) 電子郵件攻擊 通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn) 拒絕服務(wù)攻擊 網(wǎng)絡(luò)監(jiān)聽 尋找系統(tǒng)漏洞 利用賬號(hào)進(jìn)行攻擊 偷取特權(quán) 0%10%20%30%40%50%60%70%80%90%100%病毒/網(wǎng)絡(luò)蠕蟲病毒/網(wǎng)絡(luò)蠕蟲針對(duì)網(wǎng)絡(luò)服務(wù)器漏洞的攻擊針對(duì)網(wǎng)絡(luò)服務(wù)器漏洞的攻擊拒絕服務(wù)攻擊拒絕服務(wù)攻擊基于緩沖區(qū)溢出的攻擊基于緩沖區(qū)溢出的攻擊與Active Code相關(guān)的攻擊與協(xié)議弱點(diǎn)相關(guān)的攻擊與協(xié)議弱點(diǎn)相關(guān)的攻擊與不完全的密碼相關(guān)

6、的攻擊攻擊不可避免攻擊工具體系化攻擊工具體系化網(wǎng)絡(luò)進(jìn)攻簡單化 全球超過26萬黑客站點(diǎn), 提供系統(tǒng)漏洞和攻擊知識(shí) 越來越多易使用攻擊軟件出現(xiàn) 年輕人對(duì)網(wǎng)絡(luò)攻擊好奇心 年輕人的叛逆心理大量的攻擊工具隨手拾來大量的攻擊工具隨手拾來攻擊工具更加“人性化”現(xiàn)有網(wǎng)絡(luò)安全現(xiàn)有網(wǎng)絡(luò)安全防御體制防御體制入侵檢測(cè)系統(tǒng)IDS68%殺毒軟件殺毒軟件99%防火墻防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制現(xiàn)有網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全 保護(hù)交換機(jī)控制臺(tái)的安全措施保護(hù)交換機(jī)控制臺(tái)的安全措施 對(duì)于大多數(shù)企業(yè)內(nèi)部網(wǎng)來說，連接網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的互聯(lián)設(shè)備，是整個(gè)網(wǎng)絡(luò)規(guī)劃中最需要重要保護(hù)的對(duì)象。大多數(shù)網(wǎng)絡(luò)都有

7、一、二個(gè)主要的接入點(diǎn)，對(duì)這個(gè)接入點(diǎn)的破壞，直接造成整個(gè)網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)互連設(shè)備沒有很好的安全防護(hù)措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，將對(duì)網(wǎng)絡(luò)的打擊是最致命的。因此設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備防護(hù)措施是保護(hù)網(wǎng)絡(luò)安全的重要手段之一。 據(jù)國外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個(gè)恰當(dāng)口令，是保護(hù)網(wǎng)絡(luò)不受侵犯最根本保護(hù) 交換機(jī)控制臺(tái)安全措施 配置交換機(jī)的登陸密碼配置交換機(jī)的登陸密碼S2126G(config)#enable secret level 1 0 star “0”“0”表示輸入的是明文形式的口令，表示輸入的是明文形式的口令，1 1為分配等級(jí)為分配等

8、級(jí) 配置交換機(jī)的特權(quán)密碼配置交換機(jī)的特權(quán)密碼S2126G(config)#enable secret level 15 0 Star “0”“0”表示輸入的是明文形式的口令，表示輸入的是明文形式的口令， 1 1為分配等級(jí)為分配等級(jí)等級(jí)等級(jí)1 1分配給特權(quán)模式分配給特權(quán)模式; ; 等級(jí)等級(jí)1515分配給全局模式，等級(jí)分配給全局模式，等級(jí)2-142-14分配給不同的命令分配給不同的命令; ;配置TELNET方式管理交換機(jī)Switch(config)#enable secret level 1 0 star ！配置遠(yuǎn)程登陸密碼 Switch (config)#enable secret level

9、15 0 star ！配置進(jìn)入特權(quán)模式密碼Switch (config)#interface vlan 1 ！配置遠(yuǎn)程登錄地址Switch (config-if)#no shutdownSwitch (config-if)#ip address Switch (config-if)#end路由器控制臺(tái)安全措施 保護(hù)路由器控制臺(tái)的安全措施 配置路由器控制臺(tái)密碼Router （config） # line concole 0Router （config-line） # loginRouter （config-line） # password sta

10、r 配置路由器的特權(quán)登錄密碼：Router （config） # enable password starRouter （config） # enable secret star “password ”表示輸入的是明文形式的口令，表示輸入的是明文形式的口令， “secret”為密文形式的口令，密文有最高優(yōu)先級(jí)別。為密文形式的口令，密文有最高優(yōu)先級(jí)別。 保護(hù)路由器遠(yuǎn)程登陸登錄的安全措施 Router # configure terminalRouter （config） #Router （config） # line VTY 0 4Router （config-line） # loginRout

11、er （config-line） # password star 保護(hù)園區(qū)網(wǎng)絡(luò)安全組件三：交換機(jī)端口安全技術(shù) FF.FF.FF.FF.FF.FF廣播廣播MAC地址地址 00.d0.f8. 00.07.3c前前3個(gè)字節(jié)：個(gè)字節(jié)：IEEE分配給網(wǎng)分配給網(wǎng)絡(luò)設(shè)備制造廠商絡(luò)設(shè)備制造廠商的的后后3個(gè)字節(jié)：網(wǎng)個(gè)字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商絡(luò)設(shè)備制造廠商自行分配的，不自行分配的，不重復(fù)，生產(chǎn)時(shí)寫重復(fù)，生產(chǎn)時(shí)寫入設(shè)備入設(shè)備MAC地址：鏈路層唯一標(biāo)識(shí)地址：鏈路層唯一標(biāo)識(shí)接入交換機(jī)接入交換機(jī)MAC Port A 1 B 2 C 3 MAC地址表：空間有限地址表：空間有限 MAC地址表空間是有限，地址表空間是有限，MAC

12、攻擊會(huì)占滿交換機(jī)地址表攻擊會(huì)占滿交換機(jī)地址表; 使得單播包在交換機(jī)內(nèi)部也變成廣播包使得單播包在交換機(jī)內(nèi)部也變成廣播包, 向所有端口轉(zhuǎn)發(fā)，向所有端口轉(zhuǎn)發(fā)，每個(gè)連在端口上客戶端都可以收到該報(bào)文每個(gè)連在端口上客戶端都可以收到該報(bào)文; 交換機(jī)變成了一個(gè)交換機(jī)變成了一個(gè)Hub，用戶的信息傳輸也沒有安全保障，用戶的信息傳輸也沒有安全保障了了交換機(jī)端口安全功能交換機(jī)的端口安全功能，防止網(wǎng)內(nèi)部攻擊, 如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。 交換機(jī)端口安全的基本功能1、限制端口最大連接數(shù) ,控制惡意擴(kuò)展接入例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)造成破壞。2、端口安全地址

13、綁定, 解決網(wǎng)中IP地址沖突、ARP欺騙例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。交換機(jī)端口安全內(nèi)容 安全端口收到不屬于端口上安全地址包時(shí)，一個(gè)安全違一個(gè)安全違例將產(chǎn)生。例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時(shí)，可以選擇多種方式來處理違例：Protect：安全端口將丟棄未知名地址的包（不是該端口的安全地址中的任何一個(gè)）。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知,等候處理。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。端口安全配置示例 配置fa1/3端口安全功能， 設(shè)置最大地址個(gè)數(shù)為8，

14、違例方式為protect。Switch(config)# interface fa1/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect 端口安全配置示例 配置fa0/3安全功能，綁定MAC為00d0.f800.073c，IP為02Switch(config)# interface fa 0/3 Swi

15、tch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02驗(yàn)證命令 查看接口安全信息Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - - fa0/3 8 1 Protect驗(yàn)證命令 查看安全地址信息。Switch# show port-

16、security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - - 1 00d0.f800.073c 02 Configured Fa0/3 8 1實(shí)習(xí)項(xiàng)目：實(shí)習(xí)項(xiàng)目：配置交換機(jī)端口安全配置交換機(jī)端口安全 【工作任務(wù)】 如圖所示，模擬是中北大學(xué)中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院為了防止學(xué)院內(nèi)部用戶的IP地址沖突，防止學(xué)院內(nèi)部的網(wǎng)絡(luò)攻擊行為，學(xué)院領(lǐng)導(dǎo)要求網(wǎng)絡(luò)中心的管理員，為學(xué)院中每一臺(tái)電腦分配固定IP地址（如為某位老師分配的IP地址是5/24，該主機(jī)的MAC地

17、址是00-06-1B-DE-13-B4），并限制只允許學(xué)院內(nèi)部的員工才可以使用網(wǎng)絡(luò)，并不得隨意連接其他主機(jī)?！卷?xiàng)目設(shè)備】交換機(jī)（1臺(tái)），PC(1臺(tái))、網(wǎng)線（1條）【實(shí)施過程】Switch#configure terminalSwitch(config)# interface range fa0/1-23 Switch(config-if-range)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security

18、 violation shutdownSwitch(config)# interface fa 0/3 Switch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02保護(hù)園區(qū)網(wǎng)絡(luò)安全組件四：訪問控制列表安全技術(shù) ISP1、什么是訪問列表 ACL(Access Control List)對(duì)經(jīng)過設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。FTP2、為什么要使用訪問列表提供網(wǎng)絡(luò)安全控

19、制的基本手段過濾數(shù)據(jù)流限制網(wǎng)絡(luò)訪問流量,從而提高網(wǎng)絡(luò)性能RG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬不同部門所屬VLAN不同不同12221112技術(shù)部技術(shù)部VLAN20財(cái)務(wù)部財(cái)務(wù)部VLAN10隔離病毒源隔離病毒源隔離外網(wǎng)病毒隔離外網(wǎng)病毒2、為什么要使用訪問列表3、訪問列表的組成 定義訪問列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口上 訪問控制列表的分類：1、標(biāo)準(zhǔn)2、擴(kuò)展3、命名（標(biāo)準(zhǔn)擴(kuò)展） 訪問控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù) 4、訪問列表規(guī)則的應(yīng)用

20、 訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制： 1. 入棧應(yīng)用（in） 2. 出棧應(yīng)用（out）5、ACL的基本準(zhǔn)則 一切未被允許的就是禁止的。 路由器缺省允許所有的信息流通過; 防火墻缺省封鎖所有的信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開放。 按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配 從頭到尾，至頂向下的匹配方式 匹配成功馬上停止 立刻使用該規(guī)則的“允許、拒絕”Y拒絕拒絕Y是否匹配是否匹配測(cè)試條件測(cè)試條件1?允許允許N拒絕拒絕允許允許是否匹配是否匹配測(cè)試條件測(cè)試條件2?拒絕拒絕是否匹配是否匹配最后一個(gè)最后一個(gè)測(cè)試條件測(cè)試條件?YYNYY允許允許被系統(tǒng)隱被系統(tǒng)隱含拒絕含拒絕

21、N 6、一個(gè)訪問列表多個(gè)測(cè)試條件 標(biāo)準(zhǔn)訪問列表 根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義，編號(hào)為1-99 擴(kuò)展訪問列表 根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義，編號(hào)為100-1997、ACL分類 標(biāo)準(zhǔn)訪問列表 只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過濾。8、標(biāo)準(zhǔn)列表規(guī)則定義源地址源地址TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC1-99 號(hào)列表號(hào)列表 IP標(biāo)準(zhǔn)訪問列表（2） 1、定義標(biāo)準(zhǔn)ACLRouter(config)# access-list permit |deny 源地址 反掩碼Switch(config)# Ip access-list permit |deny 源地址 反掩碼

22、 2、應(yīng)用ACL到接口Router(config-if)#ip access-group |name in | out 0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111 反掩碼（通配符）通配符掩碼是一個(gè)32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。在IP子網(wǎng)掩碼中，數(shù)字1和0用來決定是網(wǎng)絡(luò)，還是主機(jī)的IP地址。通配符掩碼與子網(wǎng)掩碼工作原理是不同的。如表示這個(gè)網(wǎng)段，使用通配符掩碼應(yīng)為55。在通配符掩碼用5

23、5表示所有IP地址，全為1說明所有32位都不檢查，這是可以用any來取代。的通配符掩碼則表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。access-list 1 permit 55(access-list 1 deny 55)interface serial 0ip access-group 1 outF0S0F1Internet IP標(biāo)準(zhǔn)訪問列表配置只允許網(wǎng)絡(luò)中的計(jì)算機(jī)訪問互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪問列表

24、配置技術(shù) 阻止5主機(jī)通過E0訪問網(wǎng)絡(luò)，而允許其他的機(jī)器訪問Router（config） # access-list 1 deny host 5Router（config） # access-list 1 permit anyRouter（config） # interface ethernet 0Router（config-if） # ip access-group 1 in 實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問列表控制網(wǎng)絡(luò)流量實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問列表控制網(wǎng)絡(luò)流量 【工作任務(wù)】 如圖所示的網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景，要

25、實(shí)現(xiàn)學(xué)生網(wǎng)（）和行政辦公網(wǎng)（）的隔離，可以在其中R1路由器上做標(biāo)準(zhǔn)ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測(cè)試PC（2臺(tái)）；靜態(tài)路由805圖/8S0/8B//8ABS054/8E0E054/8PC1PC2給主機(jī)分配IP地址Pc1Ip /ip ip /dg 54Pc2Ip /ip ip /dg 54Route A Routeren Router#con

26、f t Router(config)#interface e0 Router(config-if)#ip add 54 Router(config-if)#no shut Router(config-if)#exit Router(config)#interface s0 Router(config-if)# ip add Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#router rip Router(config-rout

27、er)#version 2 Router(config-router)#network Router(config-router)#network Router#show ip routeRoute B Routeren Router#conf t Router(config)#interface e0 Router(config-if)#ip add 54 Router(config-if)#no shut Router(config-if)#exit Router(config)#interface s0 Router(co

28、nfig-if)# ip add Router(config-if)#no shut Router(config-if)#exit Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network Router(config-router)#network Router#show ip route此時(shí)PC1能PING通PC2Router 1Router(config)#access-list 10 deny 3.0.0

29、 .0 55Router(config)#access-list 10 permit anyRouter(config)#interface e0Router(config-if)#ip access-group 10 out擴(kuò)展型訪問控制列表擴(kuò)展型訪問控制列表（Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的ACL更強(qiáng)大數(shù)據(jù)包檢查功能。擴(kuò)展ACL不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址，源端口，目的端口、建立連接和IP優(yōu)先級(jí)等特征信息。利用這些選項(xiàng)對(duì)數(shù)據(jù)包特征信息進(jìn)行匹配 。ACL分類-擴(kuò)展訪問列表 擴(kuò)展A

30、CL可以根據(jù)數(shù)據(jù)包內(nèi)的源、目的地址，應(yīng)用服務(wù)進(jìn)行過濾。目的地址目的地址源地址源地址協(xié)議協(xié)議端口號(hào)端口號(hào)100-199號(hào)列表號(hào)列表 TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC IP擴(kuò)展訪問列表（1）IP擴(kuò)展訪問列表的配置（2） 1、定義擴(kuò)展的ACLRouter(config)# access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 2、應(yīng)用ACL到接口Router(config-if)#ip access-group |name in | out IP擴(kuò)展訪問列表配置實(shí)例（3） 允許網(wǎng)絡(luò)內(nèi)所有主機(jī)訪問HTTP服務(wù)器172.

31、168.12.3，拒絕其它主機(jī)使用網(wǎng)絡(luò)。 Switch (config)# access-list 111 permit tcp 55 host eq www Switch # show access-lists 擴(kuò)展ACL應(yīng)用場(chǎng)景 如圖所示企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)路由器（一般為三層交換機(jī)）連接了二個(gè)子網(wǎng)段，地址規(guī)劃分別為/24，/24。其中在/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，其IP地址為3。需要進(jìn)行網(wǎng)絡(luò)管理任務(wù)是：為保護(hù)網(wǎng)絡(luò)中心

32、/24網(wǎng)段安全，禁止其它網(wǎng)絡(luò)中的計(jì)算機(jī)訪問子網(wǎng)絡(luò)網(wǎng)絡(luò)，不過可以訪問在網(wǎng)絡(luò)中搭建的WWW服務(wù)器 Switch (config)# access-list 101 permit tcp any 3 eq wwwSwitch (config)# access-list 101 deny ip any anySwitch (config)# interface Fa0/1Switch (config-if)#ip access-group 101 in access-list 115 deny udp any any eq 6

33、9 access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 137access-list 115 deny udp

34、any any eq 138access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 445access-list 1

35、15 deny tcp any any eq 593access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 deny tcp any any eq 4444access-list 115 permit ip any anyaccess-list 115 permit ip any any interface interface ip access-group 115 in ip access-group 115 in ip access-group 115 ou

36、tip access-group 115 out 擴(kuò)展訪問列表的應(yīng)用（4）項(xiàng)目：配置擴(kuò)展訪問列表保護(hù)服務(wù)器安全項(xiàng)目：配置擴(kuò)展訪問列表保護(hù)服務(wù)器安全 【工作任務(wù)】 如圖所示網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景，要實(shí)現(xiàn)教師網(wǎng)（）和學(xué)生網(wǎng)（）之間的互相連通，但不允許學(xué)生網(wǎng)訪問教師網(wǎng)中的FTP服務(wù)器，可以在路由器R2上做擴(kuò)展ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測(cè)試PC（2臺(tái)）；【實(shí)施過程】命名訪問控制列表 命名ACL不使用編號(hào)而使用字符串來定義規(guī)則。在網(wǎng)絡(luò)管理過程中，隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改

37、某一條規(guī)則，調(diào)整用戶訪問權(quán)限。 通過字符串組成的名字直觀地表示特定ACL； 不受編號(hào)ACL中100條限制； 可以方便的對(duì)ACL進(jìn)行修改，無需刪除重新配置 命名訪問控制列表1、定義命名的擴(kuò)展ACL ip access-list extended name deny | permit protocolsource wildcard destination wildcard operator port 2、應(yīng)用ACL到接口Router(config-if)#ip access-group name in | out 配置命名訪問控制列表Switch # configure terminalSwitc

38、h（config）# ip access-list standard deny-host-192.168.l2.x Switch（config-std-nacl）# deny 55 Switch（config-std-nacl）# permit anySwitch（config-std-nacl）# end Switch # show access-list deny-host-192.168.l2.x在在3550-24上連著提供上連著提供WWW和和FTP的服務(wù)器，還連接學(xué)生宿的服務(wù)器，還連接學(xué)生宿舍樓網(wǎng)絡(luò)和教工宿舍樓舍樓網(wǎng)絡(luò)和教工宿舍樓網(wǎng)絡(luò)網(wǎng)絡(luò)學(xué)校規(guī)定

39、學(xué)生只能對(duì)服務(wù)器進(jìn)行學(xué)校規(guī)定學(xué)生只能對(duì)服務(wù)器進(jìn)行FTP訪問，不能進(jìn)行訪問，不能進(jìn)行WWW訪問，教工則沒有此限制。訪問，教工則沒有此限制。/24/24/24 配置命名擴(kuò)展IP訪問控制列表3550-24(config) # ip access-list extended denystudentwww 3550-24(config-ext-nacl)# deny tcp 55 55 eq www 3550-24(config-ext-nacl)# p

40、ermit ip any any 把訪問控制列表在接口下應(yīng)用(交換機(jī)上只有IN方向)3550-24(config)# int vlan 30 (VLAN是雙向的)3550-24(config-if)# ip access-group denystudentwww in 沖擊波（沖擊波（MS BlasterMS Blaster）病毒）病毒 蠕蟲病毒，大量蠕蟲病毒，大量ICMPICMP掃描，導(dǎo)致網(wǎng)絡(luò)阻塞掃描，導(dǎo)致網(wǎng)絡(luò)阻塞 利用利用ACLACL關(guān)閉關(guān)閉ICMPICMP服務(wù)，以及相應(yīng)端口。服務(wù)，以及相應(yīng)端口。 益處：抑制蠕蟲攻擊，控制蠕蟲蔓延，保證網(wǎng)絡(luò)帶寬。益處：抑制蠕蟲攻擊，控制蠕蟲蔓延，保證網(wǎng)絡(luò)帶

41、寬。 配置示例：配置示例： access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 135 阻止感染病毒的阻止感染病毒的PCPC向其它正常向其它正常PCPC的的135135端口發(fā)布攻擊代碼。端口發(fā)布攻擊代碼。 access-list 101 deny udp any any eq tftp access-list 101 deny udp any any eq tftp 限制目標(biāo)主機(jī)通過限制目標(biāo)主機(jī)通過tftptftp下載病毒。下載病毒。 access-list 101 deny icmp any anyaccess-list 101 deny icmp any any 阻斷感染病毒的阻斷感染病毒的PCPC向外發(fā)送大量的向外發(fā)送大量的ICMPICMP報(bào)文，防止其堵塞網(wǎng)絡(luò)。報(bào)文，防止其堵塞網(wǎng)絡(luò)。 接入交換機(jī)接入交換機(jī)RG-S2126G防病毒配置防病毒配置RG-