單元4 網(wǎng)絡系統(tǒng)安全設計

單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理

引例描述

隨著物聯(lián)網(wǎng)的不斷擴大，每年都會有數(shù)百萬的新設備加入網(wǎng)絡中。此外，使用無線功能幾乎可以在任何地方使用這些設備。威脅發(fā)起者將繼續(xù)尋找可以利用的漏洞，網(wǎng)絡管理員需要使用各種方法來保護網(wǎng)絡中的設備和數(shù)據(jù)。網(wǎng)絡系統(tǒng)本身是一個復雜的系統(tǒng)，其連接形式多樣，終端設備分布不均勻、網(wǎng)絡的開放性和互連性都容易導致網(wǎng)絡系統(tǒng)遭受惡意攻擊者和惡意軟件的攻擊，因此，要保護網(wǎng)絡安全，需對網(wǎng)絡安全進行系統(tǒng)安全設?計。

學習目標

掌握縱深防御技術、網(wǎng)絡設備安全加固技術、ACL技術、防火墻技術、入侵檢測與防御技術、VPN技術等技能。

具備系統(tǒng)規(guī)劃、設計、部署和實施網(wǎng)絡安全的能力。

具有大國工匠精神、團隊協(xié)作精神，以及遵紀守法和遵守職業(yè)道德的職業(yè)素?養(yǎng)。

明確網(wǎng)絡安全是一個動態(tài)過程，需要在網(wǎng)絡系統(tǒng)運行的過程中，不斷地檢測安全漏洞，并實施一定的安全加固措施。依據(jù)國家的《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859—1999）和相關的安全標準，可以從安全分層保護、安全策略和安全教育三方面考慮，采取以“積極防御”為首的方針進行規(guī)?劃。

任務場景

探究網(wǎng)絡環(huán)境中存在哪些安全問題。

研究網(wǎng)絡安全體系框架。

探究網(wǎng)絡安全分層保護措施。

學習網(wǎng)絡安全設計遵循的原則。

分析網(wǎng)絡安全設計過?程

任務布置

1．CIA三元組（1）機密性（2）完整性（3）可用性4.1.1網(wǎng)絡安全基本問題

1．IATF（1）人（2）技術（3）操作4.1.2網(wǎng)絡安全體系框架

2．網(wǎng)絡安全結(jié)構劃分（1）內(nèi)網(wǎng)（2）外網(wǎng)（3）公共子網(wǎng)4.1.2網(wǎng)絡安全體系框架

3．IATF縱深防御方法應用舉例（1）邊緣路由器（2）防火墻（3）內(nèi)部路由器4.1.2網(wǎng)絡安全體系框架（1）物理層安全（2）網(wǎng)絡層安全（3）系統(tǒng)層安全（4）應用層安全（5）管理層安全4.1.3網(wǎng)絡安全分層保護（1）均衡性原則（2）整體性原則（3）一致性原則（4）技術與管理相結(jié)合的原則（5）動態(tài)發(fā)展原則（6）易操作性原則4.1.4網(wǎng)絡安全設計原則1.確定需要保護的資產(chǎn)。2.識別網(wǎng)絡環(huán)境中的威脅。3.網(wǎng)絡安全需求分析。4.網(wǎng)絡安全風險分析。5.網(wǎng)絡安全策略制定。6.網(wǎng)絡安全機制設計。7.網(wǎng)絡安全集成技術。任務實施單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理

某公司局域網(wǎng)內(nèi)部采用如圖所示的網(wǎng)絡拓撲結(jié)構，假定你是該公司的一名網(wǎng)絡安全管理員，請你規(guī)劃網(wǎng)絡安全措施，確保公司局域網(wǎng)內(nèi)部網(wǎng)絡設備的安全和網(wǎng)絡訪問安?全。

任務場景

探究安全訪問網(wǎng)絡設備的主要技術措施。

探究增強局域網(wǎng)安全的措?施。

任務布置

配置健壯的系統(tǒng)密碼（1）配置密碼考慮事項（2）配置安全訪問端口密碼4.2.1網(wǎng)絡設備安全管理

1．端口安全防護技術端口安全特性會通過MAC地址表記錄連接到交換機端口的以太網(wǎng)MAC地址，并只允許某個MAC地址通過本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經(jīng)允許的設備訪問網(wǎng)絡，并增強安全性。端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。4.2.2內(nèi)部網(wǎng)絡安全機制

1．端口安全防護技術某企業(yè)采用如圖?所示的網(wǎng)絡拓撲結(jié)構，交換機連接集線器來擴展一個端口上接入用戶終端的數(shù)量。為了解決這些攻擊帶來的危害，需要在接入層交換機上啟用端口安全機制。4.2.2內(nèi)部網(wǎng)絡安全機制

1．端口安全防護技術（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數(shù)配置（3）配置安全端口的安全地址（4）配置結(jié)果驗?證4.2.2內(nèi)部網(wǎng)絡安全機制

1．端口安全防護技術（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數(shù)配置（3）配置安全端口的安全地址（4）配置結(jié)果驗?證4.2.2內(nèi)部網(wǎng)絡安全機制

2．DHCPSnooping如圖所示的網(wǎng)絡拓撲結(jié)構，Router?模擬一臺合法的DHCP服務器，向用戶PC動態(tài)分配IP地址。在交換機Switch?上規(guī)劃了VLAN5，將端口Fa0/1、Fa0/2?和Fa0/3?劃分至VLAN5?中。網(wǎng)絡中模擬了一臺攻擊服務器接入Switch?的Fa0/3，將造成合法用戶主機獲取錯誤的IP地?址。4.2.2內(nèi)部網(wǎng)絡安全機制

2．DHCPSnooping（1）網(wǎng)絡基本配置（2）DHCP服務配置（3）驗證用戶PC獲取的IP地址（4）配置DHCPSnooping

（5）配置結(jié)果驗證4.2.2內(nèi)部網(wǎng)絡安全機制

2．DHCPSnooping（1）網(wǎng)絡基本配置（2）DHCP服務配置（3）驗證用戶PC獲取的IP地址（4）配置DHCPSnooping

（5）配置結(jié)果驗證4.2.2內(nèi)部網(wǎng)絡安全機制

3．使用?802.1X實現(xiàn)安全訪問控制如圖所示的網(wǎng)絡拓撲結(jié)構，接入層交換機SW支持?802.1X，RADIUSServer?實現(xiàn)用戶的集中管理，管理員不必考慮用戶連接到哪個端口上，因此將與RADIUS服務器相連的接口配置為非受控端口，以便SW能正常地與RADIUS服務器進行通信，使驗證用戶能通過該端口訪問網(wǎng)絡資源；將與用戶PC相連的端口配置為受控端口，實現(xiàn)對用戶的控制，用戶必須通過驗證后才能訪問網(wǎng)絡資?源。4.2.2內(nèi)部網(wǎng)絡安全機制

3．使用?802.1X實現(xiàn)安全訪問控制（1）配置接口IP地址和主機IP地址（2）升級交換機IOS（3）配置RADIUS服務器（4）在交換機上配置?802.1X

（5）驗證配置結(jié)果4.2.2內(nèi)部網(wǎng)絡安全機制

SW(config)#aaanew-model //啟用AAA功能SW(config)#radius-serverhostauth-port1645key123456//配置RADIUS服務器的IP地址、設置認證端口與通信密?鑰SW(config)#aaaauthenticationdot1xdefaultgroupradius //使用默認的認證方法列表SW(config)#dot1xsystem-auth-control //啟用系統(tǒng)認證控制命?令SW(config)#intFa0/2 //選定Fa0/2?端口SW(config-if)#authenticationport-controlauto //啟用?802.1X功能SW(config-if)#dot1xpaeauthenticator //設置端口的認證角色為認證者1.網(wǎng)絡設備密碼保護規(guī)劃。2.網(wǎng)絡設備訪問安全設計。3.局域網(wǎng)安全機制設計部署。4.參加成果分享。任務實施單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理

某公司采用如圖所示的網(wǎng)絡拓撲結(jié)構。其中，公司辦公人員的終端劃分在VLAN10中，使用?/24?網(wǎng)段；財務人員的終端劃分在VLAN20?中，使用?/24?網(wǎng)段；公共Web?服務器劃分在VLAN30?中，使用?/24?網(wǎng)段；財務Web?服務器劃分在VLAN40?中，使用?/24?網(wǎng)段，各網(wǎng)段所使用的網(wǎng)關都部署在核心交換機上，均使用每個網(wǎng)段的第?1?個地址，/24?網(wǎng)段用于設備互連使用，ISP路由器用于模擬Internet。

任務場景

為了提高公司網(wǎng)絡運行的安全性，要求使用訪問控制列表，實施以下安全策略：辦公PC和財務PC之間不能相互通信，財務PC不能訪問公共Web?服務器，辦公PC不能訪問財務Web?服務器，財務PC不能訪問Internet，財務Web?服務器不能與Internet?通?信。

回顧訪問控制列表的基本知識。

研究層次結(jié)構網(wǎng)絡模型。

分析網(wǎng)絡拓撲結(jié)構設計原則。

探究網(wǎng)絡拓撲結(jié)構設計內(nèi)?容。

任務布置訪問控制列表（ACL）是基于協(xié)議（主要是IP）有序匹配規(guī)則的過濾器列表（由若干條語句組成），每條規(guī)則（Rule）包括了過濾信息及匹配此規(guī)則時應采取的動作（允許或拒絕），規(guī)則包含的信息可以是IP地址、協(xié)議、端口號等條件的有效組合。4.3.1訪問控制列表概述ACL為網(wǎng)絡工程師提供了一種識別不同類型數(shù)據(jù)包的方法。ACL的配置列出了路由器可以在IP、TCP、UDP和其他包頭中看到的值。4.3.1訪問控制列表概述

1．訪問控制列表的主要功能（1）限制網(wǎng)絡流量以提高網(wǎng)絡性能（2）提供控制或優(yōu)化通信流量的手段（3）提供基本的網(wǎng)絡訪問安全控制（4）區(qū)分或匹配特定的數(shù)據(jù)流4.3.1訪問控制列表概述

2．訪問控制列表的分類

在路由器上，按照ACL的創(chuàng)建方式來劃分，使用數(shù)字或名稱來標識ACL，同時ACL分為標準的或擴展的4.3.1訪問控制列表概述

ACL類型數(shù)

字擴展數(shù)字檢查項目IP標準ACL1~991300~1999源地址IP擴展ACL100~1992000~2699源地址、目的地址、協(xié)議、端口號及其他命名標準ACL名字源地址命名擴展ACL名字源地址、目的地址、協(xié)議、端口號及其他

3.訪問控制列表的工作原理

路由器的ACL與接口關聯(lián)，并與數(shù)據(jù)包流動方向（輸入或輸出）關聯(lián)。因此，ACL要么用于入站流量過濾，要么用于出站流量過濾。每當分組經(jīng)過有ACL的接口時，路由器將在ACL中按從上到下的順序查找與分組匹配的語句，ACL使用允許或拒絕規(guī)則來決定數(shù)據(jù)包的命運。4.3.1訪問控制列表概述

4．訪問控制列表設置規(guī)則（1）當沒有配置ACL時，路由器默認允許所有數(shù)據(jù)包通?過。（2）ACL對路由器自身產(chǎn)生的數(shù)據(jù)包不起作?用。（3）對于每個協(xié)議，每個接口的每個方向只能設置一個ACL。（4）每個ACL中包含一條或多條語句，但是有先后順序之?分。（5）每個ACL的末尾都隱含一條“拒絕所有流量”語?句。（6）ACL條件中必須至少存在一條?permit?語句，否則將拒絕所有流?量。（7）不能單獨刪除數(shù)字標識ACL中的一條語?句。（8）可以在名稱標識ACL中單獨增加或刪除一條語?。4.3.1訪問控制列表概述

1．通配符掩碼的概念通配符掩碼與IP地址配合使用，采用“IP地址通配符掩碼”的表達形式，其中通配符掩碼位是“0”表示必須匹配IP地址對應的比特，通配符掩碼位是“1”表示不必匹配IP地址對應的比特。4.3.2通配符掩碼的匹配操作

2．常用的通配符掩碼（1）全?0?通配符掩碼，對應IP地址的所有位都必須匹配。例如??表示的就是IP地址??本身，在訪問列表中亦可表示為?host（2）全?1?通配符掩碼，表示對應的IP地址的所有位都不必匹配。例如?55?表示的就是任意主機的IP地址，在訪問列表中亦可表示為?any4.3.2通配符掩碼的匹配操作

3．匹配操作過程分析圖中的ACL偽代碼使用了通配符掩碼創(chuàng)建的邏輯。這兩個圖中的ACL偽代碼中的邏輯包括以下內(nèi)?容4.3.2通配符掩碼的匹配操作

圖?4-18ACL中匹配操作過程示意圖

圖?4-19不同主機的ACL匹配操作比較第?1?行：匹配并允許所有源地址為

的數(shù)據(jù)?包。第?2?行：匹配并拒絕源地址為前?3?個八位字節(jié)?10.1.1.x?的所有數(shù)據(jù)?包。第?3?行：將所有地址匹配并允許使用第?1?個八位字節(jié)?10.x.x.x。

1．標準訪問控制列表配置命令標準ACL使得路由器通過對源IP地址的識別，控制對來自某個或某一網(wǎng)段的主機的數(shù)據(jù)包的過濾。在全局配置模式下，標準IPACL的命令格式為：4.3.3訪問控制列表配置操作

（1）access-list-number?為列表編號，取值為?1～99，允許擴充使用?1300～1999?的編?號。（2）deny|permit意為“拒絕或允許”，必選其一，source-ip-address?為源IP地址或網(wǎng)絡地址；wildcard-mask為通配符掩碼，如果不明確指定，默認為?。

2．擴展訪問控制列表配置命令擴展ACL除了能基于源IP地址對數(shù)據(jù)包進行過濾，還可以基于目標IP地址、協(xié)議或者端口號（服務）對數(shù)據(jù)包進行控制：4.3.3訪問控制列表配置操作

2．擴展訪問控制列表配置命令擴展ACL除了能基于源IP地址對數(shù)據(jù)包進行過濾，還可以基于目標IP地址、協(xié)議或者端口號（服務）對數(shù)據(jù)包進行控制。在全局配置模式下，擴展ACL的命令格式為：4.3.3訪問控制列表配置操作

關鍵字或參數(shù)含

義protocol協(xié)議或協(xié)議標識關鍵字，包括?ip、eigrp、ospf、gre、icmp、igmp、igrp、tcp、udp?等source源地址或網(wǎng)絡號source-wildcard-mask源通配符掩碼destination目標地址或網(wǎng)絡號destination-wildcard-mask目標通配符掩碼access-list-number訪問列表號，取值?100～199；2000～2699operatorport|server-nameoperator操作符，可用的操作符包括?lt（小于）、gt（大于）、eq（等于）、neq（不等于）和?range（范圍）等；port?協(xié)議端口號，server-name服務名established僅用于TCP：指示已建立的連接

下面通過一個具體的實例來討論訪問控制列表的規(guī)劃與部署步驟，規(guī)劃的網(wǎng)絡拓撲結(jié)構如圖所示，網(wǎng)絡安全策略是禁止源主機HOST1?和目標主機HOST2?之間的通?信。（1）位置與方向（2）創(chuàng)建ACL（3）生效ACL4.3.4訪問控制列表的規(guī)劃與部署

1.針對具體的安全策略進行分析，決定使用何種ACL，應用在哪個路由器的接口上，是?in?方向還是?out?方向。2.設計ACL規(guī)則表。3.網(wǎng)絡基本配置。4.配置訪問控制列表并驗證測試。5.參加成果分享。任務實施如圖所示，完成辦公網(wǎng)絡的互連互通，實現(xiàn)數(shù)據(jù)交換和資源共享功能。針對辦公網(wǎng)絡中銷售部和財務部兩個不同的子網(wǎng)，實現(xiàn)銷售部和財務部所在子網(wǎng)相互隔離，不能互訪。實現(xiàn)財務部子網(wǎng)用戶只能訪問服務子網(wǎng)中的財務服務器，銷售部子網(wǎng)中的用戶只能在上班時間訪問服務子網(wǎng)Web?和FTP服務器，在任何時間都不能訪問財務服務器，任何其他通信都是允許?的。技能訓練單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理某組織采用如圖所示的網(wǎng)絡拓撲結(jié)構（含IP地址規(guī)劃），在網(wǎng)絡出口方向上部署了一臺ASA5505?防火墻。在防火墻上規(guī)劃了?inside、outside?和DMZ三個不同的接口，對應的安全級別為?100、0、50，使用防火墻默認的安全訪問策略，這樣組織內(nèi)部與Internet?之間互訪的所有數(shù)據(jù)流，包括組織中的用戶訪問Internet?中公網(wǎng)服務器的Web?資源和公網(wǎng)用戶訪問組織的公共Web?資源，都必須接受防火墻的檢查，并根據(jù)配置的規(guī)則來允許或拒絕數(shù)據(jù)通過，達到網(wǎng)絡邊界安全訪問的目?的。

任務場景

回顧防火墻的基本概念。

分析防火墻的區(qū)域劃分。

學習防火墻的工種模式。

研究防火墻的性能指標。

探究防火墻在實際網(wǎng)絡中的應?用。

任務布置防火墻是一種高級訪問控制設備，是置于不同網(wǎng)絡安全域之間（網(wǎng)絡的邊界上）的一系列部件的組合。它是不同網(wǎng)絡安全域之間通信流的唯一通道，能根據(jù)組織有關的安全策略控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。4.4.1防火墻的基本概念

1．防火墻的主要功能（1）網(wǎng)絡安全的屏障（2）強化網(wǎng)絡安全策略（3）對網(wǎng)絡訪問進行監(jiān)控審計（4）防止內(nèi)部信息外泄4.4.1防火墻的基本概念

Internet

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

來自內(nèi)部用戶的攻擊攻擊包沒有經(jīng)過防火墻，防火墻無能為力AttackcodeAttackcode

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

繞過防火墻的攻擊Attackcode攻擊包沒有經(jīng)過防火墻，防火墻無能為力

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

%c1%1c防火墻根據(jù)訪問控制規(guī)則，判斷為合法訪問而將數(shù)據(jù)包放行低版本的IIS將%c1%1c解析為dirc:\并執(zhí)行該命令unicodeattack數(shù)據(jù)驅(qū)動型攻擊一臺硬件防火墻最少有三個接口：內(nèi)網(wǎng)接口（高安全級別）、外網(wǎng)接口（低安全級別）和非軍事化區(qū)DMZ接口（中等安全級別）。將網(wǎng)絡劃分為三個區(qū)域—內(nèi)部網(wǎng)絡（如LAN）、外部網(wǎng)絡（如Internet）和DMZ（如放置公共服務器）。（1）外部網(wǎng)絡（2）DMZ（3）內(nèi)部網(wǎng)絡4.4.2防火墻的區(qū)域劃分

防火墻采用何種工作模式是由組織的網(wǎng)絡環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻的主要性能參數(shù)是指影響網(wǎng)絡防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

防火墻的主要性能參數(shù)是指影響網(wǎng)絡防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

1．單防火墻DMZ網(wǎng)絡結(jié)構設?計單防火墻DMZ結(jié)構將網(wǎng)絡劃分為?3?個區(qū)域，內(nèi)網(wǎng)（LAN）、外網(wǎng)（Internet）和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個安全區(qū)域，這個安全區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。4.4.5防火墻的應用場景

2．雙防火墻DMZ網(wǎng)絡結(jié)構設?計如圖所示，防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡安全的第一道屏障。通常的方法是在路由器中設置數(shù)據(jù)包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡性?能。4.4.5防火墻的應用場景

3．基于區(qū)域的策略防火?墻區(qū)域是具有類似功能或特性的一個或多個接口的組，是應用防火墻策略的最小單位。ZFW（Zone-BasedPolicyFirewall）是一種基于區(qū)域的防火墻。如果要實現(xiàn)不同接口之間的通信，只需要把這些接口劃入同一個區(qū)域，它們之間就可以任意互訪了。4.4.5防火墻的應用場景

1.網(wǎng)絡安全需求分析。2.基本網(wǎng)絡配置。3.防火墻基本配?置。4.路由配?置。5.NAT配?置。6.防火墻安全策略配?置。7.參加任務結(jié)果分?享。任務實施假設網(wǎng)絡策略安全規(guī)則確定：外部主機發(fā)來的Web?訪問在內(nèi)部主機??中被接收；拒絕從IP地址為??的外部主機發(fā)來的數(shù)據(jù)流；允許內(nèi)部主機訪問外部Web?站點。請設計一個包過濾規(guī)則?表。技能訓練單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理如圖所示的網(wǎng)絡拓撲結(jié)構，在路由器R1?接口Fa0/0?的輸出方向設置入侵檢測機制，一旦檢測到終端C發(fā)送給終端A的ICMPECHO請求報文，則丟棄該請求報文，并向日志服務器發(fā)送警告信息。啟動該入侵規(guī)則后，如果終端C發(fā)起?ping?終端A的操作，則?ping?操作不僅無法完成，還會在日志服務器中記錄警告信息，而其他終端之間的?ping?操作依然能夠完?成

任務場景

回顧靜態(tài)路由、動態(tài)路由的基本概念。

探究靜態(tài)路由的應用場合和規(guī)劃方法。

研究動態(tài)路由的應用場合和規(guī)劃要點

任務布置網(wǎng)絡要抵御快速演變的各類攻擊，就需要具有有效檢測和防御的系統(tǒng)設備，如IDS或IPS，通常將這類系統(tǒng)設備部署到網(wǎng)絡的入口點和出口點。1.IDS的優(yōu)點和缺?點IDS的主要優(yōu)點是在離線模式下部署；IDS傳感器主要側(cè)重于識別可能發(fā)生的事件、記錄事件的相關信息及報告事件，無法停止觸發(fā)數(shù)據(jù)包，并且不能保證停止連接。2.IPS的優(yōu)點和缺?點IPS的優(yōu)點在于可以配置為執(zhí)行數(shù)據(jù)包丟棄，以停止觸發(fā)數(shù)據(jù)包、與連接關聯(lián)的數(shù)據(jù)包或來自源IP地址的數(shù)據(jù)包。IPS的缺點在于發(fā)生錯誤、故障或者IPS傳感器的流量過多都會對網(wǎng)絡性能造成負面影響。4.5.1入侵檢測系統(tǒng)與防御系統(tǒng)的概念

從入侵檢測的定義可以看出，入侵檢測的一般過程是：信息收集、信息（數(shù)據(jù)）預處理、數(shù)據(jù)的檢測分析、根據(jù)安全策略做出響應。4.5.2入侵檢測系統(tǒng)的工作過程

IPS直接嵌入網(wǎng)絡流量中對數(shù)據(jù)流進行檢測，它通過一個網(wǎng)絡端口接收網(wǎng)絡上傳輸?shù)牧髁俊?.5.3入侵防護系統(tǒng)的工作過程

1．IDS的部署策略IDS一般旁路連接在網(wǎng)絡中的各個關鍵位置。4.5.4入侵檢測與防御系統(tǒng)的部署

2．IPS的部署策略IPS不但能夠檢測入侵的發(fā)生，而且還能實時終止入侵行為。IPS在網(wǎng)絡中采用串接式連接。4.5.4入侵檢測與防御系統(tǒng)的部署

未來將是混合技術的天下，在網(wǎng)絡邊緣和核心層進行檢測，遍布在網(wǎng)絡上的傳感設備和矯正控制的通力協(xié)作將是安全應用的主流。下圖給出了一個高可用性IPS、IDS與防火墻綜合的入侵防御解決方?案4.5.5混合技術解決方案

1.網(wǎng)絡基本配置。2.確定特征庫的存儲位置。3.制定入侵檢測規(guī)則。4.開啟日志功能。5.配置每一類特征。6.定義擴展分組過濾器。7.將規(guī)則應用到路由器接口。8.重新定義特征。9.配置結(jié)果驗證。10.參加任務結(jié)果分?享任務實施根據(jù)網(wǎng)絡安全防范需求，需在不同位置部署不同的安全設備，進行不同的安全防范，為圖中的安全設備選擇相應的網(wǎng)絡安全設?備。（1）在安全設備?1?處部署（），在安全設備?2?處部署（），在安全設備?3?處部署（）。A.防火墻 B.入侵檢測系統(tǒng)（IDS）C.入侵防御系統(tǒng)（IPS）（2）在網(wǎng)絡中需要加入如下安全防范措施（）。A.訪問控制 B.NATC.上網(wǎng)行為審計 D.包檢測分析E.數(shù)據(jù)庫審計 F.DDoS攻擊檢測和阻止G.服務器負載均衡 H.異常流量阻斷I.漏洞掃描 J.Web?應用防護其中，在防火墻上可部署的防范措施有（）；在IDS上可部署的防范措施有（）；在IPS上可部署的防范措施有（）。請簡要說明入侵防御系統(tǒng)（IPS）的優(yōu)點和缺?點技能訓練單元2網(wǎng)絡綜合布線系統(tǒng)設計單元1網(wǎng)絡安全系統(tǒng)集成概述目錄單元3網(wǎng)絡工程設計單元5網(wǎng)絡工程的實施與測試驗收單元4網(wǎng)絡系統(tǒng)安全設計單元6網(wǎng)絡系統(tǒng)安全管理如圖所示的網(wǎng)絡拓撲結(jié)構中詳細規(guī)劃了IP地址及VLAN，在總部和分部的網(wǎng)絡出口分別部署了一臺ASA5505?防火墻，提供NAT功能，使總部用戶能夠訪問Internet?中公網(wǎng)服務器資源；同時提供IPSecVPN功能，實現(xiàn)總部用戶PC1?和分部用戶之間安全互訪；公網(wǎng)用戶能夠訪問DMZ的公共服務器或通過SSLVPN訪問內(nèi)部服務器的資?源。

任務場景

回顧VPN基本概念。

探究GREVPN的應用場合和規(guī)劃方法。

研究IPsecVPN的應用場合和規(guī)劃方法。

研究SSLVPN的應用場合和規(guī)劃方?法

任務布置VPN是在兩個網(wǎng)絡實體之間建立的一種受保護連接，這兩個實體可以通過點到點的鏈路直接相連，但通常情況下它們的距離相隔較遠。VirtualPrivateNetwork?中的“Virtual”一詞意為“虛擬的”，通過隧道（Tunnel）技術使用不同的封裝協(xié)議對原始數(shù)據(jù)包進行重新封裝來實現(xiàn)；“Private”一詞意為“專用的”，通過安全（Security）機制對原始數(shù)據(jù)包進行加密等來實現(xiàn)；“Network”一詞意為“網(wǎng)絡”，通常指組織機構所使用的RemoteAccess、Intranet、Extranet?等類型的網(wǎng)絡。4.6.1VPN的概念

1．按隧道協(xié)議分類（1）點到點隧道協(xié)議（2）第二層隧道協(xié)議（3）通用路由封裝協(xié)議（4）IP安全協(xié)議（5）安全套接層協(xié)議（6）多協(xié)議標簽交換協(xié)議4.6.1VPN的概念

2．按應用領域分類（1）站點到站點VPN

（2）遠程訪問VPN4.6.1VPN的概念

VPN技術有兩種基本的連接模式：傳輸模式和隧道模式。這兩種模式實際上定義了兩臺實體設備之間傳輸數(shù)據(jù)時所采用的不同封裝過?程。（1）傳輸模式

（2）隧道模式4.6.2VPN的連接模式

GREVPN技術主要用在內(nèi)部網(wǎng)絡的數(shù)據(jù)需要通過公共網(wǎng)絡來傳輸，擴大包含跳數(shù)受