通信系統(tǒng)綜合應(yīng)用實(shí)踐-第6章-網(wǎng)絡(luò)安全技術(shù)

Chap6網(wǎng)絡(luò)安全1

中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來(lái)分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過(guò)程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實(shí)施整體規(guī)劃，通過(guò)在交換機(jī)設(shè)備上增加訪(fǎng)問(wèn)控制列表技術(shù)，實(shí)現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。

工作任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全2一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全二：訪(fǎng)問(wèn)控制列表安全技術(shù)3一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全4復(fù)雜程度Internet飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間5第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲(chóng)+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲(chóng)DDoS破壞有效負(fù)載的病毒和蠕蟲(chóng)波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來(lái)安全事件對(duì)我們的威脅越來(lái)越快網(wǎng)絡(luò)安全的演化6網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用網(wǎng)絡(luò)開(kāi)放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時(shí)，進(jìn)行的竊聽(tīng)、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險(xiǎn)。企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識(shí)等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽(tīng)（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類(lèi)：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來(lái)自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。網(wǎng)絡(luò)安全隱患7（1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控制中心，經(jīng)常發(fā)生的安全問(wèn)題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。（2）病毒的侵入。Internet開(kāi)拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國(guó)大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過(guò)計(jì)算機(jī)病毒的危害。（3）黑客的攻擊。得益于Internet的開(kāi)放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問(wèn)題，必須要有綜合的解決方案。常見(jiàn)網(wǎng)絡(luò)管理中存在的安全問(wèn)題8常見(jiàn)的攻擊措施主要有：獲取網(wǎng)絡(luò)口令放置特洛伊木馬程序WWW欺騙技術(shù)電子郵件攻擊通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)拒絕服務(wù)攻擊網(wǎng)絡(luò)監(jiān)聽(tīng)尋找系統(tǒng)漏洞利用賬號(hào)進(jìn)行攻擊偷取特權(quán)網(wǎng)絡(luò)攻擊行為9手段多樣的網(wǎng)絡(luò)攻擊：10攻擊不可避免攻擊工具體系化11全球超過(guò)26萬(wàn)黑客站點(diǎn),提供系統(tǒng)漏洞和攻擊知識(shí)越來(lái)越多易使用攻擊軟件出現(xiàn)年輕人對(duì)網(wǎng)絡(luò)攻擊好奇心年輕人的叛逆心理網(wǎng)絡(luò)進(jìn)攻簡(jiǎn)單化12大量的攻擊工具隨手拾來(lái)攻擊工具更加“人性化”13現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測(cè)系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制14VPN

虛擬專(zhuān)用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)現(xiàn)有網(wǎng)絡(luò)安全技術(shù)15保護(hù)園區(qū)網(wǎng)絡(luò)安全二：訪(fǎng)問(wèn)控制列表技術(shù)16ISPACL對(duì)經(jīng)過(guò)設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。1、什么是訪(fǎng)問(wèn)列表√FTP17RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門(mén)所屬VLAN不同12221112技術(shù)部VLAN20財(cái)務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪(fǎng)問(wèn)列表18定義訪(fǎng)問(wèn)列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過(guò)，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口／ＶＬＡＮ上訪(fǎng)問(wèn)控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù)3、訪(fǎng)問(wèn)列表的組成19

訪(fǎng)問(wèn)列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制：

1.入棧應(yīng)用（in）

2.出棧應(yīng)用（out）4、訪(fǎng)問(wèn)列表規(guī)則的應(yīng)用20一切未被允許的就是禁止的

路由器缺省允許所有的信息流通過(guò);

防火墻缺省封鎖所有的信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。按規(guī)則鏈來(lái)進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”5、ACL的基本準(zhǔn)則21Y拒絕Y是否匹配

測(cè)試條件1?允許N拒絕允許是否匹配

測(cè)試條件2?拒絕是否匹配

最后一個(gè)

測(cè)試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N6、一個(gè)訪(fǎng)問(wèn)列表多個(gè)測(cè)試條件22標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪(fǎng)問(wèn)列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義7、ACL分類(lèi)23標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過(guò)濾。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)列表規(guī)則定義241）定義標(biāo)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩碼]反掩碼是一個(gè)32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。55表示所有IP地址，全為1說(shuō)明所有32位都不檢查，可以用any來(lái)取代。表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。

2）應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}25Router(config)#access-list1permit

55Router(config)#access-list1deny55Router(config)#interfaceserial0Router(config-if)#ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表配置實(shí)例1只允許網(wǎng)絡(luò)中的計(jì)算機(jī)訪(fǎng)問(wèn)互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表配置實(shí)例2

阻止5主機(jī)通過(guò)E0訪(fǎng)問(wèn)網(wǎng)絡(luò)，而允許其他的機(jī)器訪(fǎng)問(wèn)Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet1/1Router（config-if）#ipaccess-group1in

27【工作任務(wù)】

如