学习情境
Download
1 / 70

学习情境 3 内容回顾 - PowerPoint PPT Presentation


  • 193 Views
  • Uploaded on

学习情境 3 内容回顾. 交换基础 交换机工作原理 VLAN 技术 VLAN 技术概述 VLAN 的优点 VLAN 划分方法 基于端口 VLAN 划分 —Port VLAN 技术 基于标识的 VLAN 划分 —Tag VLAN 技术 交换网络中的链路冗余技术 生成树技术 以太网通道聚合技术 VLAN 之间的通信 利用路由器实现 VLAN 间的通信 单臂路由技术 利用三层交换机实现 VLAN 间通信. 学习情境 4. 企业内网安全控制. 电子交易. 电子商务 电子政务. Intranet 站点. Web 浏览.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 学习情境 3 内容回顾' - miliani-thomas


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
学习情境3 内容回顾

  • 交换基础

    • 交换机工作原理

    • VLAN技术

    • VLAN技术概述

    • VLAN的优点

    • VLAN划分方法

    • 基于端口VLAN划分—Port VLAN技术

    • 基于标识的VLAN划分—Tag VLAN技术

  • 交换网络中的链路冗余技术

    • 生成树技术

    • 以太网通道聚合技术

  • VLAN之间的通信

    • 利用路由器实现VLAN间的通信

    • 单臂路由技术

    • 利用三层交换机实现VLAN间通信


学习情境4

企业内网安全控制


Internet

电子交易

电子商务 电子政务

Intranet 站点

Web 浏览

Internet Email

Internet飞速增长

复杂程度

时间


网络安全的演化

影响目标

安全事件对我们的威胁越来越快

波及全球网络基础架构

地区网络

多个网络

单个网络

单台计算机

分钟

  • 下一代

  • 网络基础设施黑客攻击

  • 瞬间威胁

  • 大规模蠕虫

  • DDoS

  • 破坏有效负载的病毒和蠕虫

  • 第三代

  • 网络DOS攻击

  • 混合威胁(蠕虫+病毒+特洛伊)

  • 广泛的系统黑客攻击

  • 第二代

  • 宏病毒

  • DOS

  • 电子邮件

  • 有限的黑客攻击

  • 第一代

  • 引导性病毒

1980s

1990s

今天

未来


帧中继

Internet

课程结构

情境三:构建企业交换式局域网

VLAN

VLAN

VLAN

VLAN

VLAN

VLAN

VLAN

情境二:企业内部路由配置

情境四:企业内网安全控制

北京总部

上海分公司

广州分公司

情境一:网络设备选型

课程综合项目:Center公司网络改造项目实施


本章目标

  • 了解网络安全的基础知识

  • 掌握网络互联设备的安全控制保护措施

  • 掌握交换机端口的安全知识

  • 学习访问控制列表技术

  • 区别不同的访问控制列表技术


本章结构

网络安全概述

管理设备控制台安全

企业内网安全控制

端口安全概述

交换机端口安全

端口安全配置与维护

标准访问控制列表

访问控制列表技术

扩展访问控制列表

命名访问控制列表


任务分解

2

配置标准访问控制列表访问安全技术

配置交换机端口安全

1

配置扩展访问控制列表访问安全技术

3



4.1 网络安全概述

  • 安全威胁

    • 窃听 、重放 、篡改 、拒绝服务攻击 、行为否认 、电子欺骗 、非授权访问 、传播病毒

  • 网络攻击方法

    • 获取口令

    • 放置木马程序

    • WWW的欺骗技术

    • 电子邮件攻击

    • 通过一个节点来攻击其他节点

    • 网络监听

    • 寻找系统漏洞

    • 利用帐号进行攻击

    • 偷取特权



网络攻击的防御技术

  • 身份认证技术

  • 加解密技术

  • 边界防护技术

  • 访问控制技术

  • 主机加固技术

  • 安全审计技术

  • 检测监控技术


4.2 管理设备控制台安全

  • 对于大多数企业内部网来说,连接网络中各个节点的互联设备,是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点,对这个接入点的破坏,直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施,来自网络内部的攻击或者恶作剧式的破坏,将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。

  • 据国外调查显示,80%的安全破坏事件都是由薄弱的口令引起的,因此为网络互联设备,配置一个恰当口令,是保护网络不受侵犯最根本保护


保护设备控制台的安全措施

通过一根配置线缆连接到交换机的配置端口(Console),另一端连接到配置计算机的串口。通过如下命令,配置登入交换机控制台特权密码

  • Switch>

  • Switch#configure terminal

  • Switch(config)#line console 0

  • Switch(config-line)#password mypassword !配置控制台密码

  • Switch(config)#login!配置登陆时需要验证密码


F0/1

Console口

配置线

RJ45口

Com1口

仿真终端

测试机

配置线缆

配置交换机的连接模式

配置线缆


配置交换机远程登录的安全措施

除通过Console端口与设备直接相连管理设备之外,用户还可以通过Telnet程序和交换机RJ45口建立远程连接,以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下(路由器远程登录密码的配置与之相同)。

  • Switch>

  • Switch#configure terminal

  • Switch(config)#line vty 0 4 !开启Telnet线路

  • Switch(config-line)#password mypassword !配置Telnet登录密码

  • Switch(config-line)#login !配置登陆时需要验证密码


4.3交换机端口安全

  • 端口安全概述

    大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法,对网络的核心设备进行连续的数据包攻击,如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为,可以通过启用交换机端口安全功能特性加以防范。


MAC攻击

MAC地址:链路层唯一标识

00.d0.f8. 00.07.3c

FF.FF.FF.FF.FF.FF

广播MAC地址

后3个字节:网络设备制造厂商自行分配的,不重复,生产时写入设备

前3个字节:IEEE分配给网络设备制造厂商的

MAC地址表:空间有限

MAC Port

A 1

B 2

C 3

接入交换机


MAC攻击

攻击:

MAC地址表空间是有限,MAC攻击会占满交换机地址表;

使得单播包在交换机内部也变成广播包, 向所有端口转发,每个连在端口上客户端都可以收到该报文;

交换机变成了一个Hub,用户的信息传输也没有安全保障了


端口安全配置方式

  • 配置安全地址:当开启交换机端口安全功能并为交换机端口配置安全MAC地址,则这个端口将不转发除安全源MAC地址外的其他任何数据帧。

  • 配置安全地址数:交换机安全端口不仅可以配置安全MAC地址,也可以设置安全地址数目,也就是说,一个安全端口可以配置多个安全MAC地址。



端口安全的配置和维护配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 配置安全端口的过程包括启用端口安全,设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC地址与IP地址绑定等。 对于Cisco交换机,需要注意的是:

    • Cisco系列交换机可以做基于2层的端口安全,即MAC地址与端口进行绑定。

    • Cisco3550以上交换机均可做基于2层和3层的端口安全,即MAC地址与端口绑定以及MAC地址与IP地址绑定。


交换机端口安全功能配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 交换机的端口安全功能,防止网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。

  • 交换机端口安全的基本功能

    1、端口安全地址绑定, 解决网中IP地址冲突、ARP欺骗

    例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。

    2、限制端口最大连接数 ,控制恶意扩展接入

    例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。


配置端口安全配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。MAC地址

  • 下面以以Cisco交换机为例,来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用:

    (1)设定一端口只接受第一次连接该端口的计算机MAC地址,当该端口第一次获得某计算机MAC地址后,其他计算机接入到此端口所发送的数据帧则认为非法,做丢弃处理。

    • Switch#config terminal

    • Switch(config)#interface interface-id!进入端口

    • Switch(config-if)#switchport mode access !配置端口为交换模式

    • Switch(config-if)#switchport port-security !打开端口安全模式

    • Switch(config-if)#switchport port-security violation protect !设置违例处理


配置端口安全配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。MAC地址

(2)设定一端口只接受某一特定计算机MAC地址,其他计算机均无法接入到此端口。

  • Switch#config terminal

  • Switch(config)#interface interface-id

  • Switch(config-if)#switchport mode access

  • Switch(config-if)#switchport port-security

  • Switch(config-if)#switchport port-security violation protect

    // 以上步骤与第一种应用相同

  • Switch(config-if)#switchport port-security mac-address mac-address

    // 将端口绑定到特定的MAC地址


设置安全端口最大连接数 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 可以通过MAC地址来限制端口流量。以下配置允许一接口最多通过100个MAC地址,超过100时,来自新主机的数据帧将丢失。具体配置如下:

    • Switch#config terminal

    • Switch(config)#interface fastEthernet 0/1

    • Switch(config)#Switchport mode access

    • Switch(config-if)#switchport port-security maximum 100

      // 允许通过的最大MAC地址数目为100

    • Switch(config-if)#switchport port-security violation protect

      // 当主机MAC地址数超过100时,交换机继续工作,但来自新主机的数据帧将丢失


配置安全违例 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 当交换机端口配制成安全端口后,以下情况发生时就产生了一个安全违例事件:

    • 端口安全地址数已达最大安全数目,这时,如果有一个安全MAC地址表外的MAC地址试图访问这个端口。

    • 如果一个站点试图访问这个端口,而这个站点的源MAC地址已被配置为其他的端口的安全地址。


配置安全违例配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

当安全违例产生时,可以选择多种方式来处理违例:

  • protect:当MAC地址的数量达到了这个端口所最大允许的数目,带有未知的源地址的数据帧就会被丢弃,直到删除了足够数量的MAC地址为止。

  • restrict:当安全违例发生时,产生一个Trap消息并将“安全违规”计数器增加1。

  • shutdown:一旦违例发生,马上关闭该端口,并且发送Trap消息。安全端口由于违例被关闭后处在error-disable状态。如要恢复该端口,必须敲入全局命令errdisable recovery cause psecure-violation,或者手动的shutdown然后再no shutdown恢复该端口。这个是Cisco交换机端口安全违例的默认处理方式。


配置安全端口与配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。IP地址绑定

MAC地址与IP地址绑定基本原理是:在交换机内建立MAC地址和IP地址映射的ARP表。端口获得的IP和MAC地址将匹配该表,不符合则丢弃该端口发送的数据帧。具体实现方法如下:

  • Switch#configure terminal

  • Switch(config)#arp ip地址mac地址arpa

  • 如下命令建立ip地址1.1.1.1和mac地址0001.0001.1111绑定:

    Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa 

    注意:

  • 需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。


配置端口安全老化 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 当为端口指定最大安全MAC地址数时,交换机可以不断学习到新MAC地址,并将它添加到该端口的安全MAC地址表中。这时,安全MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间不活动的MAC地址,从而减少网络维护的工作量。配置端口安全老化的过程如下:

    • Switch(config)#interface interface_id !指定欲配置端口安全老化的接口

    • Switch(config-if)#switchport port-security aging time aging_time

      // 为安全端口配置老化时间

    • Switch(config-if)#switchport port-security aging type {absolute|inactivity}

      // 为安全端口设置老化类型


查看端口安全设置 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 在完成端口安全相关设置后,可用下列命令查看端口安全配置:

  • Switch#show port-security !查看哪些接口启用了端口安全

  • Switch#show port-security address !查看安全端口mac地址绑定关系


F0/1配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

F0/2

财务部

业务部

F0/2

F0/3

F0/1

PC1192.168.1.1

PC2192.168.1.2

PC3192.168.1.3

实例4.1 配置交换机端口安全

  • 某公司拓扑如图所示,为了防止局域网内部用户的IP地址冲突,防范内部网络攻击行为,公司要求网络中心管理员为财务部中每一台计算机配置固定IP地址,并限制只允许局域网内部员工的电脑才可以使用网络,不得随意连接其他主机。此外,公司还需限制业务部的最大连接数目为20。


阶段总结配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 网络安全概述

    • 安全威胁 、网络攻击方法 、网络攻击的防御技术

  • 管理设备控制台安全

    • 保护设备控制台的安全措施 、配置交换机远程登录的安全措施

  • 交换机端口安全

    • 端口安全概述 、端口安全的配置和维护


任务进度配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

2

配置标准访问控制列表访问安全技术

配置交换机端口安全

1


4 4 acl
4.4 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。访问控制列表(ACL)

  • ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。

FTP

ISP


1配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

1

1

1

2

2

2

2

为什么要使用访问列表

RG-NBR1000

Internet

隔离外网病毒

RG-S3512G /RG-S4009

RG-S2126

RG-S2126

隔离病毒源

财务部

VLAN10

技术部

VLAN20

不同部门所属VLAN不同


ACL配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。的功能

  • 通过灵活地应用访问控制列表,可以把ACL作为一种网络控制的有力工具,用来实现以下功能:

    • 提供对通讯流量的控制手段。

    • 提供网络访问的基本安全手段。

    • 在路由器接口处,决定哪种类型的通讯流量被转发,哪种类型的流量被丢弃。


帧报头配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

数据包

数据

端口号

协议

使用ACL规则来检验数据包

源地址

目的地址

拒绝

允许

ACL检查数据包


交换机支持的访问控制列表 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 交换机支持三种访问控制列表的应用过滤传输:

    • 端口访问控制列表:也称MAC访问控制列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问控制列表。在三层接口可以应用IP访问控制列表和端口访问控制列表。

    • 路由访问控制列表:对VLAN之间以及三层接口之间通信实施访问控制。并且可以控制进、出双向通信。

    • VLAN访问控制列表:也称VLAN映射,对所有包实现访问控制。在同一VLAN的设备之间,可以采用VLAN ACL实施访问控制。VLAN访问控制列表的配置与访问控制均基于IP地址,不支持基于MAC地址的访问控制。


访问控制列表的类型 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 访问控制列表的分类:

    1、标准ACL

    2、扩展ACL

    3、命名ACL (标准/扩展)


选择接口配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

出站

Y

Y

N

出站

入站数据包

可路由吗?

路由表选择入口?

规则允许?

接口配置ACL?

Y

N

N

Y

N

丢弃数据

通知发送端

访问控制列表工作过程


Y配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

Y

N

Y

Y

N

允许

是否匹配最后一个测试条件?

Y

Y

N

系统隐含拒绝

拒绝

是否匹配测试条件2?

是否匹配测试条件1?

拒绝

拒绝

拒绝

允许

允许

允许

ACL配置数据包流程


配置标准访问控制列表 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 标准ACL的工作过程

    • 标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有流量通过路由器。

    • 从路由器某一接口进来的数据包经过检查其源地址和协议类型,并且与ACL条件判断语句相匹配,如果匹配,则执行允许或拒绝。如果该数据包被允许通过,就从路由器的出口转发出去;如果该数据包被拒绝通过,就丢弃它。当网络管理员要允许或阻止来自某一网络的所有通信流量,可以使用标准ACL来实现这一目标。


学生网段配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

教研网段

校领导网段

标准列表规则定义

  • 标准访问列表

    只根据源IP地址,进行数据包的过滤。


IP配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。标准访问列表

eg.HDLC

IP

TCP/UDP

数据

源地址

1-99 号列表


1配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。、定义标准ACL

Router(config)# access-list access-list-number { deny | permit } source [source-wildcard]

access-list-number:访问控制列表号,对于标准ACL来说,是一个从1~99之间的数字.

deny | permit:如果满足测试条件,则拒绝/允许从该入口来的通信流量

Source:数据包的源地址,可以是网络地址或是主机IP地址

source-wildcard(可选项):通配符掩码,又称反掩码,用来跟源地址一起决定哪些位需要匹配


0配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。表示检查相应的地址比特

1表示不检查相应的地址比特

128

64

32

16

8

4

2

1

0

0

1

1

1

1

1

1

0

0

0

0

1

1

1

1

1

1

1

1

1

0

1

0

1

1

1

1

1

1

1

1

反掩码(通配符)

通配符掩码是一个32比特位。其中0表示“检查相应的位”,1表示“不检查相应的位”。

在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。

通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。

在通配符掩码用255.255.255.255表示所有IP地址,全为1说明所有32位都不检查,这是可以用any来取代。

0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。

0

0

0

0

0

0

0

0


  • 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。1)access-list 1 deny host 192.168.0.99

  • (2)access-list 2 deny host 192.168.0.99

    access-list 2 permit any

  • (3)access-list 3 permit host 192.168.0.99

  • (4)access-list 4 deny 192.168.0.99 0.0.0.255

    access-list 4 permit any

(限制所有主机)

(只限制IP地址为 192.168.0.99 的主机)

( 除192.168.0.99 的主机都deny)

(限制192.168.0.0 网络)


2配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。、应用ACL到接口

Router(config-if)#ip access-group access-list-number { in | out }

其中,参数in和out表示ACL作用在接口上的方向,两者都是以路由器作为参照物。如果in和out都没有指定,那么默认为out


IP配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。标准访问列表配置

只允许172.16.3.0网络中的计算机访问互联网络

Internet

172.17.0.0

172.16.3.0

172.16.4.0

S0

F0

F1

access-list 1 permit 172.16.3.00.0.0.255

(access-list 1 deny 0.0.0.0 255.255.255.255)

interface serial 0

ip access-group 1 out


IP配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。标准访问列表配置技术

 阻止192.168.0.45主机通过E0访问网络,而允许其他的机器访问

Router(config)# access-list 1 deny host 192.168.0.45

Router (config)# access-list 1 permit any

Router (config)# interface ethernet 0

Router (config-if)# ip access-group 1 in


网络三配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

192.168.17.0/24

R1

R2

网络一

192.168.19.0/24

网络二

192.168.16.0/24

S2/0

S2/0

F0/0

F0/0

PC1:192.168.19.1

PC2:192.168.16.1

实例4.2 配置标准访问控制列表

  • 拓扑如图所示,要实现网络一和网络二隔离,可以在路由器R2上做标准ACL技术控制,以实现网络之间的隔离。


阶段总结配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • ACL简介

    • 访问列表功能 、交换机支持的访问控制列表 、访问控制列表的类型、访问控制列表工作过程

  • 配置标准访问控制列表

    • 标准ACL的工作过程 、配置标准ACL


任务进度配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

2

2

配置标准访问控制列表访问安全技术

配置标准访问控制列表访问安全技术

配置交换机端口安全

配置交换机端口安全

1

1

配置扩展访问控制列表访问安全技术

配置扩展访问控制列表访问安全技术

3

3


N配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

允许

将数据包转发出去

Y

Y

Y

Y

N

N

N

拒绝

Y

N

至下一条规则

通知发送端

丢弃数据

允许或拒绝?

匹配协议端口?

匹配目的地址?

是否匹配源地址?

接口是否有ACL?

最后一条规则?

配置扩展访问控制列表

  • 扩展ACL的工作过程


扩展型访问控制列表配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 扩展型访问控制列表(Extended IP ACL )在数据包的过滤和控制方面,增加了更多的精细度和灵活性,具有比标准的ACL更强大数据包检查功能。

  • 扩展ACL不仅检查数据包源IP地址,还检查数据包中目的IP地址,源端口,目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配 。


学生网段配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

邮件server

校领导网段

WEBserver

扩展访问列表

  • 扩展ACL可以根据数据包内的源、目的地址,应用服务等进行过滤。


IP配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。扩展访问列表

eg.HDLC

IP

TCP/UDP

数据

端口号

协议

源地址

100-199号列表

目的地址


IP配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。扩展访问列表的配置

1、定义扩展的ACL

Router(config)#access-list access-list-number {deny|permit} protocolsource [source-wildcarddestinationdestination-wildcard] [operator operand] [established]

Access-list-number:访问控制列表表号,使用一个100~199之间的数字来标识

Deny| Permit:如果条件符合就拒绝/允许后面指定的特定地址的通信流量

Protocol:用来指定协议类型,如IP、ICMP、TCP或UDP等

Source或destination:数据包的源地址和目的地址,可以是网络地址或主机IP地址


Source-wildcard| Desstination-wilcard配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。:应用于源/目的地址的反掩码

Operator(可选项):比较源和目的端口,可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括范围)如果操作符位于源地址和源地址反掩码之后,那么它必须匹配源端口。如果操作符位于目的地址和反掩码之后,那么它必须匹配目的端口。Range操作符需要两个端口号,其他操作符中需要一个端口

Operand(可选项):指明TCP或UDP端口的十进制数字或名字(端口号可以从0到65535)

Established(可选项):只针对TCP协议,如果数据包使用一个已建连接(例如,具有ACK位组),使可允许TCP信息通过


2配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。、将扩展ACL应用到某一接口

用access-group命令把一个已经建立的扩展ACL应用到某一个接口。access-group命令的使用方法与标准ACL完全一样,这里不再赘述


实例配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。4.3 配置扩展访问控制列表

  • 拓扑如图所示,某公司销售部的网络和财务部的网络通过路由器R1和R2相连,对整个网络配置RIPv2动态路由协议,保证网络正常通信。

网络三

192.168.17.0/24

R1

R2

销售部

192.168.18.0/24

财务部

192.168.16.0/24

S2/0

S2/0

F0/0

F0/0

PC1:

192.168.18.1

WEB服务器:192.168.16.1

FTP服务器:192.168.16.2


  • 要求在配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。R2上配置扩展ACL,实现以下4个功能:

    (1)允许销售部网络192.168.18.0的主机访问WWW Server 192.168.16.1。

    (2)拒绝销售部网络192.168.18.0的主机访问FTP Server 192.168.16.2。

    (3)拒绝销售部网络192.168.18.0的主机Telnet路由器R2。


命名访问控制列表 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中,随时根据网络变化修改某一条规则,调整用户访问权限。

    • 通过字符串组成的名字直观地表示特定ACL;

    • 不受编号ACL中100条限制;

    • 可以方便的对ACL进行修改,无需删除重新配置


命名访问控制列表配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

1、定义命名的ACL

  • Router(config)#ip access-list {standard|extented} name

  • Router(congfig-std-nacl)#permit|deny {source {source-wilcard}|any}

    其中,standard/extended选项是指明该命名ACL是标准ACL还是扩展ACL。ACL配置命令中,permit或deny操作符用于通知路由器当一个分组满足某一ACL语句时应执行转发还是丢弃操作。

    2、应用ACL到接口

    Router(config-if)#ip access-group name { in | out }


情境分解项目配置企业内网安全配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 拓扑如图所示,Center公司北京总部四个部门通过交换机统一连接到核心交换机上,总部设有财务、研发、高管、信息中心四个部门,每个部门属于一个VLAN。 为了防止企业网出现ARP攻击,我们需要在二层交换机上配置端口安全。为了保证财务部的敏感数据的安全性,我们需要在在三层交换机上配置安全策略,只允许高管部可以访问财务部。为了防止连接外网的出口路由器出现DoS拒绝服务攻击,我们需要在出口路由器上配置扩展ACL,不允许外网用户ping出口路由器。


200.200.100.1/24配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

E0/2

Internet

BJ-R-1

E0/0

E0/1

10.10.10.2/24

10.10.20.2/24

10.10.10.1/24

10.10.20.1/24

F0/15

F0/15

E0/2

200.200.100.2/24

BJ-RS-1

BJ-RS-2

SH-R-1

172.18.10.1/24

F0/6

F0/6

E0/0

F0/6

F0/6

BJ-S-3

BJ-S-4

F0/4

F0/3

F0/4

F0/3

PC5

172.18.10.2/24

GW:172.18.10.1

PC1

172.16.10.2/24

GW:172.16.10.1

VLAN10

财务部

PC2

172.16.20.2/24

GW:172.16.20.1

VLAN20

研发部

PC3

172.16.30.2/24

GW:172.16.30.1

VLAN20

高管部

Web服务器

172.16.127.2/24

GW:172.16.127.1

VLAN127

信息中心

情境分解项目拓扑图


阶段总结配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

  • 配置扩展访问控制列表

    • 扩展ACL的工作过程、配置扩展ACL

  • 命名访问控制列表


任务进度配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

2

配置标准访问控制列表访问安全技术

配置交换机端口安全

1

配置扩展访问控制列表访问安全技术

3


本章结构配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。

网络安全概述

管理设备控制台安全

企业内网安全控制

端口安全概述

交换机端口安全

端口安全配置与维护

标准访问控制列表

访问控制列表技术

扩展访问控制列表

命名访问控制列表


ad