網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)

1、第五章 網(wǎng)絡(luò)安全技術(shù) 中北大學計算機科學技術(shù)學院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學院網(wǎng)絡(luò)安全的實施整體規(guī)劃，通過在交換機設(shè)備上增加訪問控制列表技術(shù)，實現(xiàn)學院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。 工程任務(wù)：保護園區(qū)網(wǎng)絡(luò)安全組件一：網(wǎng)絡(luò)攻擊行為 保護園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺安全 組件三：交換機端口安全技術(shù) 組件四：訪問控制列表安全技術(shù) 組件一：網(wǎng)絡(luò)攻擊行為 保護園區(qū)網(wǎng)絡(luò)安全復雜程度Internet飛速增長Internet E

2、mailWeb 瀏覽Intranet 站點電子商務(wù) 電子政務(wù)電子交易時間第一代引導性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負載的病毒和蠕蟲波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機周天分鐘秒影響目標1980s1990s今天未來安全事件對我們的威脅越來越快網(wǎng)絡(luò)安全的演化網(wǎng)絡(luò)安全隱患 網(wǎng)絡(luò)安全隱患是指借助計算機或其他通信設(shè)備，利用網(wǎng)絡(luò)開放性和匿名性的特征，在進行網(wǎng)絡(luò)交互操作時，進行的竊聽、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險。企業(yè)內(nèi)部

3、網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當、安全意識等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災(zāi)、水災(zāi)、風暴和工業(yè)事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。常見網(wǎng)絡(luò)管理中存在的安全問題 （1）機房安全。機房是網(wǎng)絡(luò)設(shè)備運行的控制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負載不均等）等情況。 （2）病毒的侵入。Inte

4、rnet開拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國國家計算機安全協(xié)會（NCSA）最近一項調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過計算機病毒的危害。（3）黑客的攻擊。得益于Internet的開放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個管理問題。它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。網(wǎng)絡(luò)安全技術(shù)只是實現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。網(wǎng)絡(luò)攻擊行為 手段多樣的網(wǎng)絡(luò)攻擊：攻擊不可避免

5、攻擊工具體系化網(wǎng)絡(luò)進攻簡單化 全球超過26萬黑客站點, 提供系統(tǒng)漏洞和攻擊知識 越來越多易使用攻擊軟件出現(xiàn) 年輕人對網(wǎng)絡(luò)攻擊好奇心 年輕人的叛逆心理大量的攻擊工具隨手拾來攻擊工具更加“人性化”現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制VPN 虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測現(xiàn)有網(wǎng)絡(luò)安全技術(shù)保護園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺安全 管理交換機控制臺安全 對于大多數(shù)企業(yè)內(nèi)部網(wǎng)來說，連接網(wǎng)絡(luò)中各個節(jié)點的互聯(lián)設(shè)備，是整個網(wǎng)絡(luò)規(guī)劃中最需要重要保護的對象。大多數(shù)網(wǎng)絡(luò)都有一、二個主要的接入點，對這個接入點的破壞，直接造成整個網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)互聯(lián)

6、設(shè)備沒有很好的安全防護措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，對網(wǎng)絡(luò)的打擊將是最致命的。因此設(shè)置恰當?shù)木W(wǎng)絡(luò)設(shè)備防護措施是保護網(wǎng)絡(luò)安全的重要手段之一。據(jù)國外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個恰當口令，是保護網(wǎng)絡(luò)不受侵犯最根本的保護。 配置交換機的登陸密碼S2126G(config)#enable secret level 1 0 star “0”表示輸入的是明文形式的口令，1為分配等級 配置交換機的特權(quán)密碼S2126G(config)#enable secret level 15 0 Star “0”表示輸入的是明文形式的口令， 15為分配等級

7、等級1分配給特權(quán)模式; 等級15分配給全局模式，登級2-14分配給不同的命令;保護交換機控制臺的安全措施 配置交換機遠程登錄的安全措施Switch(config)#enable secret level 1 0 star ！配置遠程登陸密碼 Switch (config)#enable secret level 15 0 star ！配置進入特權(quán)模式密碼Switch (config)#interface vlan 1 ！配置遠程登錄地址Switch (config-if)#no shutdownSwitch (config-if)#ip address Switch (config-if)#e

8、nd注：兩個密碼缺一不可路由器控制臺安全 保護路由器控制臺的安全措施 配置路由器控制臺密碼Router （config） # line concole 0Router （config-line） # loginRouter （config-line） # password star 配置路由器的特權(quán)登錄密碼：Router （config） # enable password starRouter （config） # enable secret star “password ”表示輸入的是明文形式的口令， “secret”為密文形式的口令，密文有最高優(yōu)先級別。 保護路由器遠程登陸登錄的安全措施

9、 Router # configure terminalRouter （config） #Router （config） # line VTY 0 4Router （config-line） # loginRouter （config-line） # password star 保護園區(qū)網(wǎng)絡(luò)安全組件三：交換機端口安全技術(shù) FF.FF.FF.FF.FF.FF廣播MAC地址 00.d0.f8. 00.07.3c前3個字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的后3個字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不重復，生產(chǎn)時寫入設(shè)備MAC地址：鏈路層唯一標識接入交換機MAC Port A 1 B 2 C 3 MAC

10、地址表：空間有限MAC地址攻擊： MAC地址表空間是有限，MAC攻擊會占滿交換機地址表; 使得單播包在交換機內(nèi)部也變成廣播包, 向所有端口轉(zhuǎn)發(fā)，每個連在端口上的客戶端都可以收到該報文; 交換機變成了一個Hub，用戶的信息傳輸也沒有安全保障了。MAC地址攻擊交換機端口安全功能交換機的端口安全功能，可以防止網(wǎng)絡(luò)內(nèi)部攻擊, 如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。交換機端口安全的基本功能1、限制端口最大連接數(shù)，控制惡意擴展接入例：學校宿舍網(wǎng)可以防止學生隨意購買小型交換機或HUB擴展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。2、端口安全地址綁定, 解決網(wǎng)中IP地址沖突、ARP欺騙例：在學校宿舍網(wǎng)內(nèi)端口地址綁定，

11、可以解決學生隨意更改IP地址，造成IP地址沖突，或者學生利用黑客工具，進行ARP地址欺騙。交換機端口安全內(nèi)容 安全端口收到不屬于端口上安全地址包時，一個安全違例將產(chǎn)生。 當安全違例產(chǎn)生時，可以選擇多種方式來處理違例：Protect：安全端口將丟棄未知地址的包（不是該端口的安全地址中的任何一個）。RestrictTrap：當違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。配置端口的最大連接數(shù) 配置fa1/3端口安全功能， 設(shè)置最大地址個數(shù)為8，違例方式為protect。Switch(config)# interface fa1/3 Switc

12、h(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect 綁定端口安全地址 配置fa0/3安全功能，綁定MAC為00d0.f800.073c，IP為02Switch(config)# interface fa 0/3 Switch(config-if)# switchport port-securitySwitch(config-if)# swi

13、tchport port-security mac-address 00d0.f800.073c ip-address 02驗證命令 查看接口安全信息Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - - fa0/3 8 1 Protect 查看安全地址信息Switch# show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - -

14、- - -1 00d0.f800.073c 02 Configured Fa0/3 8 1實習項目：配置交換機端口安全 【工作任務(wù)】 如圖所示，模擬是中北大學中北大學計算機科學技術(shù)學院為了防止學院內(nèi)部用戶的IP地址沖突，防止學院內(nèi)部的網(wǎng)絡(luò)攻擊行為，學院領(lǐng)導要求網(wǎng)絡(luò)中心的管理員，為學院中每一臺電腦分配固定IP地址（如為某位老師分配的IP地址是5/24，該主機的MAC地址是00-06-1B-DE-13-B4），并限制只允許學院內(nèi)部的員工才可以使用網(wǎng)絡(luò)，并不得隨意連接其他主機?！卷椖吭O(shè)備】交換機（1臺），PC(1臺)、網(wǎng)線（1條）【實施過程】arp綁定運行-cmdtelnet 51輸入用戶名uuuu

15、uu輸入密碼 mmmmmmshow ip arp 顯示ARP狀況en 進入編輯config t 進入配置編輯狀態(tài)show mac- 顯示mac號后處的交換口arp ip地址 mac地址 arpa gi 0/4 綁定某IP的mac地址于交換機4口上end 結(jié)束編輯wr 寫入配置文件中exit 退出no arp ip解開綁定保護園區(qū)網(wǎng)絡(luò)安全組件四：訪問控制列表技術(shù) ISP1、什么是訪問列表 ACL對經(jīng)過設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進行數(shù)據(jù)包的過濾。FTPRG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬VLAN不同1222111

16、2技術(shù)部VLAN20財務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問列表3、訪問列表的組成 定義訪問列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口上 訪問控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù) 4、訪問列表規(guī)則的應(yīng)用 訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制： 1. 入棧應(yīng)用（in） 2. 出棧應(yīng)用（out）5、ACL的基本準則 一切未被允許的就是禁止的 路由器缺省允許所有的信息流通過; 防火墻缺省封鎖所有的信息流，對希望提供的服務(wù)逐項開放。 按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配 從

17、頭到尾，至頂向下的匹配方式 匹配成功馬上停止 立刻使用該規(guī)則的“允許、拒絕”Y拒絕Y是否匹配測試條件1?允許N拒絕允許是否匹配測試條件2?拒絕是否匹配最后一個測試條件?YYNYY允許被系統(tǒng)隱含拒絕N 6、一個訪問列表多個測試條件 標準訪問列表 根據(jù)數(shù)據(jù)包源IP地址進行規(guī)則定義 擴展訪問列表 根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進行規(guī)則定義7、ACL分類 標準訪問列表 只根據(jù)源IP地址，進行數(shù)據(jù)包的過濾。學生網(wǎng)段校領(lǐng)導網(wǎng)段教研網(wǎng)段8、標準列表規(guī)則定義 1）定義標準ACLRouter(config)# access-list permit |deny 源地址 反掩碼Switch(c

18、onfig)# Ip access-list permit |deny 源地址 反掩碼反掩碼是一個32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。 55表示所有IP地址，全為1說明所有32位都不檢查，可以用any來取代。 表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。 2）應(yīng)用ACL到接口Router(config-if)#ip access-group in | out access-list 1 permit 55access-list 1 deny 55interface serial 0ip access-group 1 outF0S0F1I

19、nternetIP標準訪問列表配置實例1只允許網(wǎng)絡(luò)中的計算機訪問互聯(lián)網(wǎng)絡(luò)IP標準訪問列表配置實例2 阻止5主機通過E0訪問網(wǎng)絡(luò)，而允許其他的機器訪問Router（config） # access-list 1 deny host 5Router（config） # access-list 1 permit anyRouter（config） # interface ethernet 0Router（config-if） # ip access-group 1 in 實習項目：配置標準訪問列表控制網(wǎng)絡(luò)流量 【工作任務(wù)】 如圖所示的網(wǎng)絡(luò)拓撲是中北大學計算機科學技術(shù)學院學院學生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作

20、場景，要實現(xiàn)學生網(wǎng)（）和行政辦公網(wǎng)（）的隔離，可以在其中R1路由器上做標準ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離【項目設(shè)備】路由器（2臺）；網(wǎng)線（若干）；測試PC（2臺）；【實施過程】9、擴展型訪問控制列表擴展型訪問控制列表（Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細度和靈活性，具有比標準的ACL更強大的數(shù)據(jù)包檢查功能。擴展ACL不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口，目的端口、建立連接和IP優(yōu)先級等特征信息。利用這些選項對數(shù)據(jù)包特征信息進行匹配 。學生網(wǎng)段校領(lǐng)導網(wǎng)段郵件serverWEBserverIP擴展訪問列表的配置 1、定義擴展的A

21、CLRouter(config)# access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 2、應(yīng)用ACL到接口Router(config-if)#ip access-group in | out IP擴展訪問列表配置實例項目：配置擴展訪問列表保護服務(wù)器安全 【工作任務(wù)】 如圖所示網(wǎng)絡(luò)拓撲是中北大學計算機科學技術(shù)學院學院學生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場景，要實現(xiàn)教師網(wǎng)（）和學生網(wǎng)（）之間的互相連通，但不允許學生網(wǎng)訪問教師網(wǎng)中的FTP服務(wù)器，可以在路由器R2上做擴展ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離【項目設(shè)備】路由器（2臺）；網(wǎng)線（若干）；測試PC（2臺）；【實施過程】10、命名訪問控制列表 命名ACL不使用編號而使用字符串來定義規(guī)則。在網(wǎng)絡(luò)管理過程中，隨時根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問權(quán)限。通過字符串組成的名字直觀地表示特定ACL；不受編號ACL中100條限制；可以方便的對ACL進行修改，無需刪除重新配置 命名訪問控制列表的配置1、定義命名ACL ip access-list standard | extended name deny | permit protocolsource wildcard destination wildcard operat