網(wǎng)絡(luò)安全運維部分

運行維護目錄交換機、路由器訪問控制策略配置VLAN劃分和訪問控制策略配置防火墻、IDS、IPS策略配置交換機、路由器訪問控制策略配置交換機、路由器訪問控制策略配置

1.交換機的訪問控制2.什么是ACL3.ACL的作用4.ACL的執(zhí)行規(guī)則5.ACL的分類6.ACL的配置原則交換機、路由器訪問控制策略配置交換機的訪問控制

交換機通過進入端口配置IP、劃分VLAN進行控制，依靠配置端口狀態(tài)進行訪問。 交換機的端口狀態(tài)： 1、Access類型的端口只能屬于1個VLAN，一般用于連接計算機的端口。

2、Trunk類型的端口可以允許多個VLAN通過，可以接收和發(fā)送多個VLAN的報文，一般用于交換機之間連接的端口。交換機、路由器訪問控制策略配置什么是ACL

主要提供網(wǎng)絡(luò)訪問的基本安全和流量控制等方面，通過讀取網(wǎng)絡(luò)第3層和第4層包頭中的信息，根據(jù)預(yù)先定義好的規(guī)則，對包進行過濾，從而到達訪問控制的目的。交換機、路由器訪問控制策略配置ACL的作用ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。ACL提供對通信流量的控制手段。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。交換機、路由器訪問控制策略配置ACL的執(zhí)行規(guī)則 1.自上而下（先比較第一條，再比較第二條，第三條……） 2.優(yōu)先匹配（不斷比較，直到滿足條件為止） 3.末尾隱含拒絕（如果不滿足ACL中任何條件，分組將被丟棄）。交換機、路由器訪問控制策略配置ACL的執(zhí)行規(guī)則ACL匹配流程圖交換機、路由器訪問控制策略配置ACL的分類 根據(jù)過濾字段（元素）可將訪問控制列表分為以下兩類： （1）標準訪問控制列表：只能根據(jù)數(shù)據(jù)包的源IP地址進行過濾；編號范圍：1~99。

配置：access-list

1~99

permit/deny

源IP

通配符 （2）擴展訪問控制列表：可以根據(jù)協(xié)議、源/目的IP地址、源/目的端口號進行包過濾。編號范圍：100~199。

配置：access-list

100~199

permit/deny

協(xié)議

源IP

掩碼

目的IP

掩碼

eq

服務(wù)端口號

交換機、路由器訪問控制策略配置ACL的配置原則 1.在接口的特定方向上，每種協(xié)議只能有一個ACL。 2.在ACL中，將具體的測試條件放在前面。 3.新增語句將放在ACL列表的末尾。 4.不能刪除ACL中的一行，只能刪除整個ACL列表。 5.除非ACL以permitany（允許所有）結(jié)尾，否則不滿足任何條件的分組都將被丟棄（ACL至少應(yīng)包含一條permit，否則它將拒絕所有）。 6.創(chuàng)建ACL后，必須應(yīng)用于接口上。 7.ACL過濾穿過路由器的數(shù)據(jù)流，不會對始發(fā)于當前路由器的數(shù)據(jù)進行過濾。 8.將標準ACL放在離目的地盡可能近的地方。（根據(jù)源地址過濾） 9.將擴展ACL放在離源盡可能近的地方。

VLAN劃分和訪問控制策略配置VLAN劃分和訪問控制策略配置

1.什么是VLAN2.劃分VLAN的目的3.VLAN劃分的方法VLAN劃分和訪問控制策略配置什么是VLAN

把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。VLAN劃分和訪問控制策略配置劃分VLAN的目的1.減少廣播風暴 限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風暴的設(shè)備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。2.提高網(wǎng)絡(luò)安全性 增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。VLAN劃分和訪問控制策略配置劃分VLAN的目的3.成本降低 成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本4.性能提高將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。VLAN劃分和訪問控制策略配置VLAN劃分的方法

1.靜態(tài)——基于端口劃分vlan 2.動態(tài)——基于MAC地址劃分vlan 3.基于路由的VLAN

路由協(xié)議工作在7層協(xié)議的第3層-網(wǎng)絡(luò)層，比如基于IP和IPX的路由協(xié)議，這類設(shè)備包括路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。在按IP劃分的VLAN中，很容易實現(xiàn)路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。 4.基于策略的VLAN

基于策略的VLAN的劃分是一種比較有效而直接的方式，主要取決于在VLAN的劃分中所采用的策略。防火墻、IDS、IPS策略配置防火墻、IDS、IPS策略配置1.防火墻的通用特點2.防火墻策略配置3.IDS策略配置4.IPS策略配置防火墻、IDS、IPS策略配置防火墻的通用特點

不論防火墻如何分類，是哪家產(chǎn)的，他們都要遵循以下原則生產(chǎn)設(shè)備： 1.能識別一個完整的會話信息(能檢測出去的數(shù)據(jù)和回來時應(yīng)答的數(shù)據(jù))； 2.都必須有三個區(qū)域：I受信區(qū)trust

II非受信區(qū)untrust

III?；饏^(qū)DMZ； 3.區(qū)域間默認互不能通信；可信度高的區(qū)域流量可以流向可信度低的區(qū)域，反之不然 4.沒有明確申明允許的流量，都被拒絕掉(隱含拒絕)； 5.所有廠商的安全設(shè)備都要將一個接口關(guān)聯(lián)到一個具體的安全區(qū)域中。 6.所有廠商對自己的安全設(shè)備都有一套安全機制，詳見說明書。防火墻、IDS、IPS策略配置防火墻的通用特點

Inbound與Outbound定義

數(shù)據(jù)流從高受信區(qū)到低受信區(qū)為outbound

數(shù)據(jù)流從低受信區(qū)到高受信區(qū)為inbound防火墻、IDS、IPS策略配置防火墻策略配置

防火墻、IDS、IPS策略配置防火墻策略配置

配置各接口IP：interfaceG0/0/1ipaddress192.168.1.25424interfaceG0/0/2ipaddress192.168.2.25424interfaceG0/0/3ipaddress192.168.3.25424interfaceG0/0/4ipaddress192.168.4.25424向安全區(qū)域中添加接口：[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet0/0/1[FW-zone-trust]addinterfaceGigabitEthernet0/0/4[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet0/0/3[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet0/0/2防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略，使得trust區(qū)域能夠訪問untrust區(qū)域：[FW]policyinterzonetrustuntrustoutbound#進入outbound方向配置[FW-policy-interzone-trust-untrust-outbound]policy0#建立第一條策略[FW-policy-interzone-trust-untrust-outbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-trust-untrust-outbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-trust-untrust-outbound-0]actionpermit#開始允許

防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略，使得untrust區(qū)域能夠訪問dmz區(qū)域：[FW]policyinterzonedmzuntrustinbound#進入inbound方向配置[FW-policy-interzone-dmz-untrust-inbound]policy0#建立第一條策略[FW-policy-interzone-dmz-untrust-inbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-dmz-untrust-inbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit#開始允許防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略，使得trust區(qū)域能夠訪問dmz區(qū)域：[FW]policyinterzonetrustdmzoutbound#進入outbound方向配置[FW-policy-interzone-trust-dmz-outbound]policy0#建立第一條策略[FW-policy-interzone-trust-dmz-outbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-trust-dmz-outbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-trust-dmz-outbound-0]actionpermit#開始允許

防火墻、IDS、IPS策略配置防火墻策略配置

PC3可以ping通PC4[FW]policyinterzonetrustuntrustinbound#進入inbound方向配置[FW-policy-interzone-trust-untrust-inbound]policy0#建立第一條策略[FW-policy-interzone-trust-untrust-inbound-0]policydestination192.168.4.00.0.0.255#規(guī)定目的IP為192.168.4.0網(wǎng)段[FW-policy-interzone-trust-untrust-inbound-0]policysource192.168.3.00.0.0.255

#規(guī)定目的IP為192.168.3.0網(wǎng)段[FW-policy-interzone-trust-untrust-inbound-0]actionpermit#開始允許防火墻、IDS、IPS策略配置IDS策略配置

防火墻、IDS、IPS策略配置IDS策略配置 第二步:派生新策略在策略模板區(qū)域選中一個預(yù)定義策略AttackDetector,右鍵單擊該策略，在出現(xiàn)的菜單中選擇“派生策略”。

防火墻、IDS、IPS策略配置IDS策略配置

第三步:策略編輯策略中可以選擇用戶所關(guān)注的事件簽名進行檢測，編輯策略的步驟如下:1)點擊一個自定義策略。2)點擊“編輯鎖定”以確保其他人不能同時更改策略。3)在攻擊簽名窗口展開攻擊簽名。4)“選中”或“取消選中”攻擊簽名。5)為攻擊簽名選擇響應(yīng)方式。6)點擊“保存策略”。

注意:不能編輯預(yù)定義策略?？梢杂深A(yù)定義派生出一個新策略,然后對新策略進行調(diào)整。防火墻、IDS、I