網(wǎng)絡(luò)系統(tǒng)集成（微課版） 課件 項(xiàng)目4 網(wǎng)絡(luò)安全設(shè)計(jì)

模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.課前評(píng)估DES加密算法的密鑰長(zhǎng)度為56位，三重DES的密鑰長(zhǎng)度為（）位。A．168 B．128 C．112 D．56流量分析屬于（）方式。A．被動(dòng)攻擊 B．主動(dòng)攻擊 C．物理攻擊 D．分發(fā)攻擊PPP的認(rèn)證協(xié)議CHAP是一種（①）安全認(rèn)證協(xié)議，發(fā)起挑戰(zhàn)的應(yīng)該是（②）。①A．一次握手 B．兩次握手 C．三次握手 D．同時(shí)握手②A．連接方 B．被連接方 C．任意一方 D．第三方首先，應(yīng)該明確網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)過程，需要在網(wǎng)絡(luò)系統(tǒng)運(yùn)行的過程中，不斷地檢測(cè)安全漏洞，并實(shí)施一定的安全加固措施。依據(jù)國(guó)家的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859—1999）和相關(guān)的安全標(biāo)準(zhǔn)，可以從安全分層保護(hù)、安全策略和安全教育三方面考慮，采取以“積極防御”為首的方針進(jìn)行規(guī)劃。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或者惡意的原因而遭受破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)的安全及防范問題變得非常重要，需要解決使用者對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的信心和責(zé)任感的問題，最終就是為了保障信息的機(jī)密性（Confidentiality）、完整性（Integrity）和可用性（Availability），這三者簡(jiǎn)稱CIA三元組網(wǎng)絡(luò)安全設(shè)計(jì)是邏輯設(shè)計(jì)工作的重要內(nèi)容之一，在設(shè)計(jì)網(wǎng)絡(luò)體系時(shí)存在多種安全架構(gòu)模型，本模塊將依據(jù)美國(guó)國(guó)家安全局提出的信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)的介紹。當(dāng)前使用的企業(yè)網(wǎng)、園區(qū)網(wǎng)和校園網(wǎng)等網(wǎng)絡(luò)的結(jié)構(gòu)一般劃分為內(nèi)網(wǎng)、外網(wǎng)和公共子網(wǎng)三個(gè)部分組織必須使用一種縱深防御的方法識(shí)別威脅（資產(chǎn)的任何潛在危險(xiǎn)）并保護(hù)易受攻擊的資產(chǎn)（任何對(duì)組織而言有價(jià)值且必須加以保護(hù)的東西，包括服務(wù)器、基礎(chǔ)設(shè)施設(shè)備、終端設(shè)備和數(shù)據(jù)）。此方法在網(wǎng)絡(luò)邊緣、網(wǎng)絡(luò)內(nèi)部以及網(wǎng)絡(luò)端點(diǎn)上使用多個(gè)安全層。物理層安全:物理層安全指計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施本身及其所在環(huán)境的安全網(wǎng)絡(luò)層安全:網(wǎng)絡(luò)層安全涉及網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、邊界等受到的各種威脅系統(tǒng)層安全:在系統(tǒng)層的安全隱患主要有操作系統(tǒng)漏洞、緩沖區(qū)溢出、弱口令以及不可信的訪問等應(yīng)用層安全:應(yīng)用層的任務(wù)主要有郵件服務(wù)、文件服務(wù)、數(shù)據(jù)庫(kù)、Web服務(wù)器等管理層安全:管理層是最為關(guān)鍵的一層，是協(xié)助以上安全措施的有力保障網(wǎng)絡(luò)安全設(shè)計(jì)原則:1.均衡性原則2．整體性原則3．一致性原則4．技術(shù)與管理相結(jié)合的原則5．動(dòng)態(tài)發(fā)展原則6．易操作性原則網(wǎng)絡(luò)安全設(shè)計(jì)過程網(wǎng)絡(luò)安全系統(tǒng)集成一般經(jīng)歷如下過程：在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上，在安全策略的指導(dǎo)下，決定所需的安全服務(wù)類型，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè)全面綜合的安全系統(tǒng)，建立相關(guān)的規(guī)章制度，并對(duì)安全系統(tǒng)進(jìn)行審計(jì)評(píng)估和維護(hù)。1．確定需要保護(hù)的資產(chǎn)2．識(shí)別網(wǎng)絡(luò)環(huán)境中的威脅3.網(wǎng)絡(luò)安全需求分析:（1）業(yè)務(wù)管理的需要。（2）組織生產(chǎn)的需要。（3）信息安全等級(jí)保護(hù)的需要。（4）網(wǎng)絡(luò)安全需求的具體內(nèi)容。4.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析（1）物理安全風(fēng)險(xiǎn)分析。（2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析。（3）系統(tǒng)安全風(fēng)險(xiǎn)分析。（4）應(yīng)用安全風(fēng)險(xiǎn)分析。5.網(wǎng)絡(luò)安全策略制定需求分析和風(fēng)險(xiǎn)分析是安全策略的主要來源。安全組織通過安全策略向用戶、員工和管理人員告知其對(duì)保護(hù)技術(shù)和信息資產(chǎn)的要求。6.網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)（1）物理安全機(jī)制。（2）網(wǎng)絡(luò)系統(tǒng)安全機(jī)制。（3）信息安全機(jī)制的設(shè)計(jì)。7.網(wǎng)絡(luò)安全集成技術(shù)（1）身份認(rèn)證技術(shù)。（2）信息加密技術(shù)。（3）訪問控制技術(shù)。（4）虛擬專用網(wǎng)絡(luò)技術(shù)。（5）網(wǎng)絡(luò)設(shè)備安全加固技術(shù)。（6）網(wǎng)絡(luò)防病毒技術(shù)。（7）網(wǎng)絡(luò)安全設(shè)備部署。1．（）組成了CIA三元組。A．機(jī)密性，完整性，保障 B．機(jī)密性，完整性，可用性C．機(jī)密性，綜合性，保障 D．機(jī)密性，綜合性，可用性2．某計(jì)算機(jī)遭到ARP病毒的攻擊，為臨時(shí)解決故障，可將網(wǎng)關(guān)IP地址與其MAC綁定，正確的命令是（）。A．a(chǎn)rp-a5400-22-aa-00-22-aa B．a(chǎn)rp-d5400-22-aa-00-22-aaC．a(chǎn)rp-r5400-22-aa-00-22-aa D．a(chǎn)rp-s5400-22-aa-00-22-aa思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.課前評(píng)估1．帶內(nèi)管理與帶外管理的區(qū)別是什么？2．列舉常見的密碼安全策略。3．計(jì)算機(jī)的COM端口與交換機(jī)的Console端口連接應(yīng)使用（）線。4．使用遠(yuǎn)程登錄方式配置交換機(jī)，必須進(jìn)行的是（）。A．IP地址配置 B．主機(jī)地址配置C．服務(wù)器配置

D．網(wǎng)絡(luò)地址配置本節(jié)討論路由器的交互式訪問、口令保護(hù)和路由協(xié)議認(rèn)證等安全機(jī)制，這些安全機(jī)制緩解了路由器因自身安全問題而給整個(gè)網(wǎng)絡(luò)帶來的漏洞和風(fēng)險(xiǎn)。交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，一般都嵌入了各種安全模塊，實(shí)現(xiàn)了相當(dāng)多的安全機(jī)制，包括各種類型的VLAN技術(shù)、端口安全技術(shù)、802.1X接入認(rèn)證技術(shù)等，有些交換機(jī)還具有防范欺騙攻擊的功能，如DHCPSnooping、源地址防護(hù)和動(dòng)態(tài)ARP檢測(cè)等。最后還介紹了網(wǎng)絡(luò)安全監(jiān)控工具，包括系統(tǒng)日志（Syslog）、網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）和NetFlow等。網(wǎng)絡(luò)設(shè)備安全管理：交換機(jī)或路由器等網(wǎng)絡(luò)設(shè)備的訪問方式包括物理訪問和邏輯訪問兩種方式，可以通過控制臺(tái)（Console）端口或輔助（Auxiliary）端口來物理訪問CLI，也可以通過Telnet或SSH連接來邏輯訪問CLI。防止物理路由器被攻擊配置健壯的系統(tǒng)密碼虛擬登錄的安全配置配置健壯的系統(tǒng)訪問密碼1）最小長(zhǎng)度：密碼的字符數(shù)越多，猜測(cè)密碼所需的時(shí)間就越長(zhǎng)。2）組合字符：密碼應(yīng)該是大小寫字母、數(shù)字、元字符（符號(hào)和空格）的組合。字符種類和數(shù)量越多，攻擊者需要嘗試的密碼組合就越多。

3）不要使用字典單詞：避免使用字典中出現(xiàn)的單詞，從而減少字典攻擊的成功率。

4）經(jīng)常變更密碼：經(jīng)常變更密碼可以限制密碼被破解后的有用性，從而降低整體損失。配置安全訪問端口密碼（1）嚴(yán)格控制Console端口的訪問。（2）禁用不需要的Auxiliary端口。（3）設(shè)置使能密碼。（4）加密配置文件中的密碼。（5）設(shè)置密碼最小長(zhǎng)度。（6）創(chuàng)建本地用戶數(shù)據(jù)庫(kù)。遠(yuǎn)程訪問網(wǎng)絡(luò)設(shè)備的安全配置Telnet的特點(diǎn)（1）所有的用戶名、密碼和數(shù)據(jù)都以明文的方式在公共網(wǎng)絡(luò)中傳輸。（2）用戶使用系統(tǒng)中的一個(gè)賬戶可以獲得更高的權(quán)限。（3）遠(yuǎn)程攻擊者可以使Telnet服務(wù)癱瘓。攻擊者通過發(fā)起DoS攻擊，比如打開過多的虛假Telnet會(huì)話，就可以阻止合法用戶使用該服務(wù)。（4）遠(yuǎn)程攻擊者可以找到啟用的用戶賬戶，而該賬戶可能屬于服務(wù)器可信域。遠(yuǎn)程訪問網(wǎng)絡(luò)設(shè)備的安全配置SSH的特點(diǎn)1）SSH的運(yùn)行過程。2）配置SSH前的準(zhǔn)備工作。通過AAA本地認(rèn)證方式使用SSH訪問網(wǎng)絡(luò)設(shè)備

AAA（認(rèn)證、授權(quán)、審計(jì)）使用集中部署的標(biāo)準(zhǔn)化方法來質(zhì)詢用戶的認(rèn)證憑證，審計(jì)用戶在網(wǎng)絡(luò)設(shè)備上的操作行為。(1)網(wǎng)絡(luò)基本配置

按照下圖所示的IP地址，在路由器上完成設(shè)備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡(luò)的連通性。通過AAA本地認(rèn)證方式使用SSH訪問網(wǎng)絡(luò)設(shè)備(2)SSH的AAA本地認(rèn)證方式配置(3)配置結(jié)果的驗(yàn)證通過外部服務(wù)器認(rèn)證方式使用SSH訪問網(wǎng)絡(luò)設(shè)備(1)網(wǎng)絡(luò)基本配置

按照下圖所示的IP地址，在路由器上完成設(shè)備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡(luò)的連通性。通過外部服務(wù)器認(rèn)證方式使用SSH訪問網(wǎng)絡(luò)設(shè)備(2)外部服務(wù)器認(rèn)證方式配置

設(shè)置客戶端的名稱為R2，客戶端IP地址為，服務(wù)器類型為Radius，認(rèn)證密鑰為123456，單擊“添加”按鈕即可。添加用戶名為cqcet，密碼為cisco的用戶賬號(hào)，用于設(shè)備登錄的身份認(rèn)證。(3)在路由器R2上配置AAA認(rèn)證服務(wù)。(4)配置結(jié)果的驗(yàn)證。（1）使用遠(yuǎn)程登錄方式配置交換機(jī)，必須進(jìn)行的是（）A．IP地址配置

B．主機(jī)地址配置C．服務(wù)器配置

D．網(wǎng)絡(luò)地址配置（2）下面是路由器帶外登錄方式的有（）。A．通過Telnet登錄

B．通過超級(jí)終端登錄C．通過Web方式登錄D．通過SNMP方式登錄（3）不是路由器上配置SSH所需的命令（）A．全局配置模式下的IP域名B．在VTY線路上傳輸SSHC．刪除一個(gè)VTY線路上的passwordD．加密密鑰在全局配置模式下生成RSA密碼思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.保護(hù)接入層網(wǎng)絡(luò)訪問安全03.課前評(píng)估1．（）是訪問路由器的第一個(gè)關(guān)口，也是防御攻擊的第一道防線。A．VTY登錄端口 B．Console端口C．根端口

D．Auxiliary端口2．使用遠(yuǎn)程登錄方式配置交換機(jī)，必須進(jìn)行的是（）。A．IP地址配置 B．主機(jī)地址配置C．服務(wù)器配置

D．網(wǎng)絡(luò)地址配置實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全的常見技術(shù)措施有端口安全、DHCPSnooping、動(dòng)態(tài)ARP檢測(cè)、802.1X接入認(rèn)證、緩解VLAN跳躍攻擊、STP防護(hù)、PVLAN、端口保護(hù)及抑制廣播風(fēng)暴等，限于篇幅，本節(jié)只詳細(xì)討論端口安全、DHCPSnooping和802.1X接入認(rèn)證等三項(xiàng)安全技術(shù)措施的部署與實(shí)現(xiàn)。本任務(wù)采用右圖所示的DHCPSnooping網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，Router模擬了一臺(tái)合法的DHCP服務(wù)器，向用戶PC動(dòng)態(tài)分配IP地址。在交換機(jī)Switch上規(guī)劃了VLAN5，將端口Fa0/1、Fa0/2和Fa0/3劃分至VLAN5中。該網(wǎng)絡(luò)模擬了一臺(tái)攻擊服務(wù)器接入SwitchFa0/3的情況，將導(dǎo)致合法用戶主機(jī)獲取錯(cuò)誤的IP地址。端口安全防護(hù)技術(shù)

端口安全特性會(huì)通過MAC地址表記錄連接到交換機(jī)端口的以太網(wǎng)MAC地址，并只允許某個(gè)MAC地址通過本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時(shí)，端口安全特性會(huì)阻止它。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問網(wǎng)絡(luò)，并增強(qiáng)安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。DHCPSnooping

DHCP的主要作用是為主機(jī)動(dòng)態(tài)分配IP地址信息，它的缺點(diǎn)是不具備驗(yàn)證機(jī)制。如果非法的DHCP服務(wù)器連接到網(wǎng)絡(luò)，將向合法的客戶端提供錯(cuò)誤IP配置參數(shù)，從而將客戶機(jī)的流量引向攻擊者所期望的目的地。使用802.1X實(shí)現(xiàn)安全訪問控制

在前面的學(xué)習(xí)中，使用安全端口、地址綁定及限制最大連接數(shù)等措施實(shí)現(xiàn)了網(wǎng)絡(luò)接入安全控制。但這些方法使用起來不夠靈活，不能針對(duì)客戶網(wǎng)絡(luò)實(shí)施接入管理。在簡(jiǎn)單、廉價(jià)的以太網(wǎng)技術(shù)基礎(chǔ)上，提供用戶對(duì)網(wǎng)絡(luò)或設(shè)備訪問的合法性驗(yàn)證，已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)，802.1X正是在這樣的背景下提出來的。規(guī)劃與實(shí)施端口安全機(jī)制

某企業(yè)采用如圖所示的端口安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過交換機(jī)與集線器的連接來擴(kuò)展一個(gè)端口接入用戶終端的數(shù)量。這樣的網(wǎng)絡(luò)架構(gòu)存在非法用戶接入的安全風(fēng)險(xiǎn)，如MAC地址欺騙、交換機(jī)MAC地址表泛洪攻擊和IP地址資源耗盡。規(guī)劃與實(shí)施端口安全機(jī)制1）將交換機(jī)S1的Fa0/1-3端口配置為接入端口。2）配置端口安全參數(shù)。

設(shè)置端口接入的最大MAC地址數(shù)為1，分別在Fa0/1、Fa0/2和Fa0/3端口上設(shè)置shutdown、restrict和protect違例規(guī)則規(guī)劃與實(shí)施端口安全機(jī)制2）配置安全端口的安全地址。

在Fa0/1上配置靜態(tài)安全MAC地址，在Fa0/2上配置動(dòng)態(tài)安全MAC地址，在Fa0/3上配置黏滯安全MAC地址使用802.1X實(shí)現(xiàn)安全訪問控制1．配置接口IP地址和主機(jī)IP地址2．升級(jí)交換機(jī)IOS3．配置RADIUS服務(wù)器4．在交換機(jī)上配置802.1X（1）（）最能描述MAC地址欺騙攻擊。A．更改攻擊主機(jī)的MAC地址以匹配合法主機(jī)的MAC地址B．用偽造的源MAC地址攻擊交換機(jī)C．強(qiáng)迫選舉非法根網(wǎng)橋D．大量流量淹沒局域網(wǎng)（2）802.1X是一項(xiàng)基于（）的安全技術(shù)。A．IP地址B．物理端口C．應(yīng)用類型D．物理地址（3）（）緩解技術(shù)可以幫助防止MAC地址表泛洪攻擊。A．根防護(hù)B．PDU防護(hù)C．風(fēng)暴控制D．端口安全思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.課前評(píng)估1．當(dāng)在交換機(jī)上啟用端口安全機(jī)制時(shí)，若超過允許的最大MAC地址數(shù)，則默認(rèn)操作是（）。A．將端口的違反模式設(shè)置為限制B．清空MAC地址表，并將新的MAC地址輸入到該表中C．保持端口啟用狀態(tài)，但是帶寬將受到限制，直到舊的MAC地址過期D．關(guān)閉端口網(wǎng)絡(luò)在運(yùn)行時(shí)會(huì)發(fā)生很多突發(fā)情況，因此需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，管理員可以使用各種類型的數(shù)據(jù)來檢測(cè)、驗(yàn)證和遏制漏洞攻擊。網(wǎng)絡(luò)運(yùn)行監(jiān)控的主要措施是配置系統(tǒng)日志（Syslog）、網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）和NetFlow等。系統(tǒng)日志信息格式簡(jiǎn)介NTP使用權(quán)威時(shí)間源的層次結(jié)構(gòu)，為網(wǎng)絡(luò)上的設(shè)備共享時(shí)間信息，并且共享一致時(shí)間信息的設(shè)備消息可以提交到系統(tǒng)日志服務(wù)器上，NTP通常偵聽UDP的123端口。系統(tǒng)日志和網(wǎng)絡(luò)時(shí)間協(xié)議概述系統(tǒng)日志用于記錄來自網(wǎng)絡(luò)設(shè)備和終端的事件消息，有助于使安全監(jiān)控切實(shí)可行，運(yùn)行日志的服務(wù)器通常偵聽UDP的514端口。流量分析工具NetFlowNetFlow是思科開發(fā)的一種協(xié)議，為IP應(yīng)用提供一系列高效的重要服務(wù)，包括網(wǎng)絡(luò)流量統(tǒng)計(jì)、基于利用率的網(wǎng)絡(luò)賬單、網(wǎng)絡(luò)規(guī)劃、安全、拒絕服務(wù)監(jiān)控、網(wǎng)絡(luò)監(jiān)控，可提供有關(guān)網(wǎng)絡(luò)用戶、應(yīng)用程序、高峰使用時(shí)間以及流量路由的重要信息。流量分析工具NetFlow

NetFlow不像完整的數(shù)據(jù)包捕獲一樣捕獲數(shù)據(jù)包的全部?jī)?nèi)容，而是記錄有關(guān)數(shù)據(jù)包流的信息。例如，在Wireshark中可以查看完整的數(shù)據(jù)包捕獲，而NetFlow收集元數(shù)據(jù)或有關(guān)流的數(shù)據(jù)，而不是數(shù)據(jù)流本身，將高速緩存中的流量進(jìn)行歸納總結(jié)，以更為直觀的圖形化方式在管理終端上顯示出來，如圖所示。（1）NTP的作用是什么?（2）系統(tǒng)日志的日志記錄服務(wù)具有哪些功能？（3）下列（）協(xié)議或服務(wù)用于自動(dòng)同步路由器上的軟件時(shí)鐘。A．NTPB．DHCPC．DNSD．SNMP（4）（）不是NetFlow的特性。A．記錄IP流量的“W”問題B．記錄流經(jīng)和終止于路由器的流量C．降低設(shè)備CPU和內(nèi)存負(fù)載D．支持采樣思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.課前評(píng)估在下列日志管理命令中，能將日志信息寫入VTY的是（）。A．Router(config)#terminalmonitorB．Router(config)#loggingonC．Router(config)#logginghostD．Router(config)#loggingbufferedNTP使用的端口為（）。。A．UDP123B．TCP123C．TCP321D．UDP321網(wǎng)絡(luò)基礎(chǔ)設(shè)施定義了設(shè)備為實(shí)現(xiàn)端到端通信而連接到一起的方式，就像有多種規(guī)模的網(wǎng)絡(luò)一樣，構(gòu)建基礎(chǔ)設(shè)施也有多種方法。但是，為了實(shí)現(xiàn)網(wǎng)絡(luò)的可用性和安全性，網(wǎng)絡(luò)行業(yè)推薦了一些標(biāo)準(zhǔn)設(shè)計(jì)。如果希望一個(gè)子網(wǎng)中的主機(jī)能夠在整個(gè)組織網(wǎng)絡(luò)中進(jìn)行通信，則必須要有一小堆服務(wù)器保護(hù)敏感數(shù)據(jù)，以及政府的隱私規(guī)則要求：不僅能通過用戶名和登錄名來保護(hù)訪問權(quán)限，還需要有將數(shù)據(jù)包傳遞到受保護(hù)主機(jī)或服務(wù)器的能力。訪問控制列表（ACL）為實(shí)現(xiàn)這些目標(biāo)提供了有用的解決方案，并且可以運(yùn)行在路由器或三層交換機(jī)設(shè)備上。訪問控制列表概述ACL是基于協(xié)議（主要是IP）有序匹配規(guī)則的過濾器列表（由若干條語句組成），每條規(guī)則（Rule）包括了過濾信息及匹配此規(guī)則時(shí)應(yīng)采取的動(dòng)作（允許或拒絕），規(guī)則包含的信息可以是IP地址、協(xié)議、端口號(hào)等條件的有效組合，如圖所示。限制網(wǎng)絡(luò)流量以提高網(wǎng)絡(luò)性能提供控制或優(yōu)化通信流量的手段提供基本的網(wǎng)絡(luò)訪問安全控制區(qū)分或匹配特定的數(shù)據(jù)流訪問控制列表的主要功能訪問控制列表的分類ACL類型數(shù)字?jǐn)U展數(shù)字檢查項(xiàng)目IP標(biāo)準(zhǔn)ACL1~991300~1999源地址IP擴(kuò)展ACL100~1992000~2699源地址、目的地址、協(xié)議、端口號(hào)及其他命名標(biāo)準(zhǔn)ACL名字源地址命名擴(kuò)展ACL名字源地址、目的地址、協(xié)議、端口號(hào)及其他訪問控制列表的設(shè)置規(guī)則（1）當(dāng)沒有配置ACL時(shí)，路由器默認(rèn)允許所有數(shù)據(jù)包通過。（2）ACL對(duì)路由器自身產(chǎn)生的數(shù)據(jù)包不起作用。（3）對(duì)于每個(gè)協(xié)議，每個(gè)接口的每個(gè)方向只能設(shè)置一個(gè)ACL。（4）每個(gè)ACL中包含一條或多條語句，但是有先后順序之分。（5）每個(gè)ACL的末尾都隱含一條“拒絕所有流量”語句。（6）ACL條件中必須至少存在一條permit語句，否則將拒絕所有流量。（7）不能單獨(dú)刪除數(shù)字標(biāo)識(shí)ACL中的一條語句。（8）可以在名稱標(biāo)識(shí)ACL中單獨(dú)增加或刪除一條語句。訪問控制列表的匹配操作

通配符掩碼的概念:網(wǎng)絡(luò)中有幾種類型的掩碼。

在IP地址的表示中使用的是默認(rèn)掩碼或子網(wǎng)掩碼（Mask）：網(wǎng)絡(luò)號(hào)為連續(xù)的1，主機(jī)號(hào)為連續(xù)的0，用來區(qū)分IP地址的網(wǎng)絡(luò)部分與主機(jī)部分；在OSPF路由進(jìn)程宣告某一區(qū)域的直連網(wǎng)絡(luò)IP地址時(shí)使用的是反掩碼（Wildcard）：網(wǎng)絡(luò)號(hào)為連續(xù)的0，主機(jī)號(hào)為連續(xù)的1，用來確定同一區(qū)域內(nèi)主機(jī)IP地址的范圍，如OSPF中要求處于同一子網(wǎng)的主機(jī)才能建立鄰居關(guān)系；在ACL中使用通配符掩碼（Wildcard）：網(wǎng)絡(luò)號(hào)中的1可以不連續(xù)，用于指示路由器怎樣檢查數(shù)據(jù)包中的IP地址，用來匹配一個(gè)或者一組IP地址。訪問控制列表的匹配操作

（1）全0通配符掩碼。全0的通配符掩碼要求對(duì)應(yīng)IP地址的所有位都必須匹配。例如表示的就是IP地址本身，在訪問列表中亦可表示為host。

（2）全1通配符掩碼。全1的通配符掩碼表示對(duì)應(yīng)的IP地址的所有位都不必匹配。也就是說，IP地址可任意。例如55表示的就是任意主機(jī)的IP地址，在訪問列表中亦可表示為any。（1）寫出匹配/24，/24，/24，/24，…，/24的所有偶數(shù)路由條目的通配符掩碼。（2）使用一條ACL來匹配/24，/24，/24，/24，…，/24，/24，/24，/24這些IP地址的通配符掩碼思考題訪問控制列表配置命令簡(jiǎn)介

（1）標(biāo)準(zhǔn)訪問控制列表配置命令。Router(config)#access-listaccess-list-numberdeny|permitsourcewildcard-mask

（2）擴(kuò)展訪問控制列表配置命令access-listacess-list-numberdeny|permit|remarkprotocolsourcesource-wildcard-mask[operatorport|protocol-name]destinationdestination-wildcard-mask[operatorport|protocol-name]

[established]訪問控制列表的規(guī)劃與部署網(wǎng)絡(luò)安全策略是禁止源主機(jī)HOST1和目標(biāo)主機(jī)HOST2之間的通信。(1)位置與方向(2)創(chuàng)建ACL(3)生效ACL（1）根據(jù)判斷條件不同，ACL分為（）和（）；根據(jù)標(biāo)識(shí)方法不同，ACL分為（）和（)。（2）將ACL用作數(shù)據(jù)包過濾有何用途？（3）標(biāo)準(zhǔn)ACL和擴(kuò)展ACL有什么區(qū)別？（4）標(biāo)準(zhǔn)ACL以（）作為判別條件。A．?dāng)?shù)據(jù)包的大小

B．?dāng)?shù)據(jù)包的源地址C．?dāng)?shù)據(jù)包的端口號(hào)

D．?dāng)?shù)據(jù)包的目的地址思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.保護(hù)網(wǎng)絡(luò)邊界安全06.課前評(píng)估如圖所示，要求只允許主機(jī)0執(zhí)行ping命令測(cè)試到達(dá)主機(jī)0的網(wǎng)絡(luò)連通性，不允許反向ping測(cè)試，試寫出主要的ACL配置語句，并對(duì)結(jié)果進(jìn)行分析網(wǎng)絡(luò)系統(tǒng)需要各種網(wǎng)絡(luò)安全設(shè)備來保護(hù)網(wǎng)絡(luò)邊界，使網(wǎng)絡(luò)免受外部的非法訪問。網(wǎng)絡(luò)邊界設(shè)備可能包括提供NAT功能的出口路由器、VPN功能的出口網(wǎng)關(guān)、防火墻、IDS（入侵檢測(cè)系統(tǒng)）和IPS（入侵防御系統(tǒng)）設(shè)備。防火墻和IDS或IPS是網(wǎng)絡(luò)邊界上的重要安全設(shè)備。防火墻，包括前面所講的網(wǎng)絡(luò)設(shè)備保護(hù)和ACL等都是根據(jù)配置規(guī)則來完成安全任務(wù)的，因此沒有一個(gè)網(wǎng)絡(luò)系統(tǒng)是無懈可擊的，但它們的目標(biāo)都是相同的：降低惡意流量的風(fēng)險(xiǎn)，雖然惡意流量無法徹底從網(wǎng)絡(luò)中消除。對(duì)于網(wǎng)絡(luò)安全管理員來說，防止病毒、蠕蟲等進(jìn)入網(wǎng)絡(luò)的一個(gè)方法是，不斷監(jiān)視網(wǎng)絡(luò)和分析網(wǎng)絡(luò)設(shè)備生成的日志文件。但這個(gè)方案不太容易擴(kuò)展，手工分析日志文件信息需要消耗時(shí)間，并且對(duì)已經(jīng)開始的網(wǎng)絡(luò)攻擊的認(rèn)識(shí)是有限的，因?yàn)樵诜治鋈罩疚募臅r(shí)候，攻擊就已經(jīng)開始了。為了應(yīng)對(duì)快速變化的攻擊，網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)必須包括性價(jià)比高的檢測(cè)系統(tǒng)或防御系統(tǒng)，以智能地識(shí)別和防御惡意流量防火墻的通用特征所有防火墻共享一些通用屬性：（1）防火墻可抵御網(wǎng)絡(luò)攻擊。（2）防火墻是組織內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間唯一的中轉(zhuǎn)站，因?yàn)樗辛髁烤鹘?jīng)防火墻。（3）防火墻強(qiáng)制執(zhí)行訪問控制策略。在網(wǎng)絡(luò)中使用防火墻有以下好處：（1）防止將敏感的主機(jī)、資源和應(yīng)用暴露給不受信任的用戶。（2）凈化協(xié)議流，防止協(xié)議缺陷被利用。（3）阻止來自服務(wù)器和客戶端的惡意數(shù)據(jù)。（4）通過將大多數(shù)網(wǎng)絡(luò)中的訪問控制功能轉(zhuǎn)移到防火墻上來降低安全管理的復(fù)雜性。數(shù)據(jù)包過濾（無狀態(tài)）防火墻代理防火墻（應(yīng)用網(wǎng)關(guān)防火墻）狀態(tài)防火墻PPT下載/xiazai/防火墻的分類數(shù)據(jù)包過濾（無狀態(tài)）防火墻：

通常是能夠根據(jù)一組配置好的規(guī)則過濾某些數(shù)據(jù)包內(nèi)容（例如第3層信息，有時(shí)是第4層信息）的路由器狀態(tài)防火墻：最通用和最常用的防火墻。狀態(tài)防火墻使用狀態(tài)表中所維護(hù)的連接信息來提供有狀態(tài)數(shù)據(jù)包過濾，如圖所示。有狀態(tài)數(shù)據(jù)包過濾是在網(wǎng)絡(luò)層分類的防火墻架構(gòu)之上，其還可分析OSI第4層和第5層的流量。代理防火墻（應(yīng)用網(wǎng)關(guān)防火墻）：

用于過濾OSI參考模型的第3、4、5和7層的信息。大多數(shù)防火墻控制和過濾是使用軟件完成的。當(dāng)客戶端需要訪問遠(yuǎn)程服務(wù)器時(shí)，將連接到代理服務(wù)器，代理服務(wù)器代表客戶端連接到遠(yuǎn)程服務(wù)器，如圖所示。因此，服務(wù)器只看到來自代理服務(wù)器的連接防火墻產(chǎn)品選型（1）系統(tǒng)性能。防火墻系統(tǒng)性能參數(shù)主要是指防火墻的處理器的類型及主頻、內(nèi)存容量、閃存容量、存儲(chǔ)容量和類型等數(shù)據(jù)。（2）接口。接口數(shù)量關(guān)系到防火墻能夠支持的連接方式。（3）并發(fā)連接數(shù)。并發(fā)連接數(shù)是衡量防火墻性能的一個(gè)重要指標(biāo)，是指防火墻或代理服務(wù)器對(duì)其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目，反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力，該參數(shù)值直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。（4）吞吐量。防火墻的主要功能就是對(duì)每個(gè)網(wǎng)絡(luò)中傳輸?shù)拿總€(gè)數(shù)據(jù)包進(jìn)行過濾，因此需要消耗大量的資源。（5）安全過濾帶寬。安全過濾帶寬是指防火墻在某種加密算法標(biāo)準(zhǔn)下的整體過濾功能，如DES（56位）算法或3DES（168位）算法等。（6）支持用戶數(shù)。防火墻的用戶數(shù)限制分為固定用戶數(shù)限制和無用戶數(shù)限制兩種。防火墻的安全策略

硬件防火墻最少有3個(gè)接口：內(nèi)網(wǎng)口（高安全級(jí)別）、外網(wǎng)口（低安全級(jí)別）和DMZ口（中等安全級(jí)別），它們之間的關(guān)系應(yīng)能滿足“外網(wǎng)口可以訪問DMZ口，不能直接訪問內(nèi)網(wǎng)口；DMZ口可以訪問外網(wǎng)口，不能訪問內(nèi)網(wǎng)口；內(nèi)網(wǎng)口可以訪問外網(wǎng)和DMZ口”，如圖所示。硬件防火墻的部署（1）單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)。硬件防火墻的部署（2）雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)。硬件防火墻的部署（3）基于區(qū)域的策略防火墻。1.數(shù)據(jù)包過濾防火墻通過（）來確定數(shù)據(jù)包能否通過。A．路由表B．ARP表C．NAT表D．過濾規(guī)則2．?dāng)?shù)據(jù)包過濾防火墻會(huì)對(duì)通過防火墻的數(shù)據(jù)包進(jìn)行檢查，只有滿足條件的數(shù)據(jù)包才能通過，對(duì)數(shù)據(jù)包的檢查內(nèi)容一般不包括（）。A．源地址B．目的地址C．協(xié)議D．有效載荷3．代理防火墻的功能是（）。A．代表客戶端連接到遠(yuǎn)程服務(wù)器B．過濾橋接接口間的IP流量C．使用簽名來檢測(cè)網(wǎng)絡(luò)流量中的模式D．根據(jù)數(shù)據(jù)包報(bào)頭信息來丟棄或轉(zhuǎn)發(fā)流量思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—項(xiàng)目四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.復(fù)習(xí)舊課本任務(wù)采用圖4-38所示的IPS配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。具體要求如下。（1）在路由器R1中Fa0/0端口的輸出方向上設(shè)置入侵檢測(cè)機(jī)制，一旦檢測(cè)到終端C發(fā)送給終端A的ICMPECHO請(qǐng)求報(bào)文，就丟棄該請(qǐng)求報(bào)文，并向日志服務(wù)器發(fā)送警告信息。（2）在啟動(dòng)該入侵規(guī)則后，如果終端C發(fā)起ping終端A的操作，則ping操作不僅無法完成，還會(huì)在日志服務(wù)器中記錄警告信息，而其他終端之間的ping操作依然能夠完成。入侵檢測(cè)和防御設(shè)備網(wǎng)絡(luò)要抵御快速演變的各類攻擊，就需要具有有效檢測(cè)和防御功能的系統(tǒng)設(shè)備，如IDS或IPS，通常將這類系統(tǒng)設(shè)備部署到網(wǎng)絡(luò)的入口點(diǎn)和出口點(diǎn)上。IDS和IPS技術(shù)使用簽名來檢測(cè)網(wǎng)絡(luò)流量中的濫用模式。簽名是IDS或IPS用來檢測(cè)惡意活動(dòng)的一組規(guī)則，可用于檢測(cè)嚴(yán)重的安全漏洞、常見的網(wǎng)絡(luò)攻擊和收集信息。IDS和IPS技術(shù)均部署為傳感器，可以檢測(cè)原子簽名模式（單數(shù)據(jù)包）或組合簽名模式（多數(shù)據(jù)包）。（1）IDS的優(yōu)點(diǎn)和缺點(diǎn)。IDS的主要優(yōu)點(diǎn)是在離線模式下部署。IDS傳感器主要側(cè)重于識(shí)別可能發(fā)生的事件、記錄事件的相關(guān)信息以及報(bào)告事件，無法停止觸發(fā)數(shù)據(jù)包，并且不能保證停止連接。IDS傳感器不是以在線方式部署的，因此實(shí)施IDS更容易受到采用各種網(wǎng)絡(luò)攻擊方法的網(wǎng)絡(luò)安全規(guī)避技術(shù)的影響。（2）IPS的優(yōu)點(diǎn)和缺點(diǎn)。IPS的優(yōu)點(diǎn)在于可以配置為執(zhí)行數(shù)據(jù)包丟棄，以停止觸發(fā)數(shù)據(jù)包、與連接關(guān)聯(lián)的數(shù)據(jù)包或來自源IP地址的數(shù)據(jù)包。IDS和IPS的優(yōu)缺點(diǎn)IDS的部署策略IDS一般旁路連接在網(wǎng)絡(luò)中各個(gè)關(guān)鍵位置。IDS安裝在網(wǎng)絡(luò)邊界區(qū)域IDS系統(tǒng)安裝在服務(wù)器群區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機(jī)區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡(luò)核心層IDS的部署策略IPS的部署策略。IPS不但能夠檢測(cè)入侵的發(fā)生，而且還能實(shí)時(shí)終止入侵行為。IPS在網(wǎng)絡(luò)中采用串接式連接。IPS是網(wǎng)關(guān)型設(shè)備，最好串接在網(wǎng)絡(luò)的出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護(hù)內(nèi)部網(wǎng)絡(luò)，如圖所示。

1．IDS是一類重要的安全技術(shù)，其基本思想是（①），與其他網(wǎng)絡(luò)安全技術(shù)相比，IDS的最大特點(diǎn)是（②）。①A．過濾特定來源的數(shù)據(jù)包B．過濾發(fā)往特定對(duì)象的數(shù)據(jù)包C．利用網(wǎng)閘等隔離措施D．通過網(wǎng)絡(luò)行為判斷是否安全②A．準(zhǔn)確度高B．防木馬效果最好C．能發(fā)現(xiàn)內(nèi)部誤操作D．能實(shí)現(xiàn)訪問控制思考題謝謝—網(wǎng)絡(luò)系統(tǒng)集成—項(xiàng)目四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.提高數(shù)據(jù)傳輸安全性08.復(fù)習(xí)舊課根據(jù)網(wǎng)絡(luò)安全防范需求，需在不同位置部署不同的安全設(shè)備，進(jìn)行不同的安全防范，為圖中的安全設(shè)備選擇相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。隨著現(xiàn)代信息技術(shù)的發(fā)展，越來越多的組織機(jī)構(gòu)將日常辦公平臺(tái)逐漸遷移到網(wǎng)絡(luò)平臺(tái)和統(tǒng)一應(yīng)用平臺(tái)之上。在使用Internet作為基本傳輸媒體時(shí)，存在一些安全風(fēng)險(xiǎn)：如數(shù)據(jù)在傳輸?shù)倪^程中可能泄密；數(shù)據(jù)在傳輸?shù)倪^程中可能失真；數(shù)據(jù)的來源可能是偽造的；數(shù)據(jù)傳輸?shù)某杀究赡芎芨?。VPN可以使用全球網(wǎng)絡(luò)資源，在組織機(jī)構(gòu)的分支、移動(dòng)和總部站點(diǎn)之間，構(gòu)建業(yè)務(wù)延伸的專用網(wǎng)絡(luò)。