1 / 38

第 十 章

第 十 章. 校园网安全与防范. 保护园区网路由安全. 项目一:使用路由器保护园区网安全. 保护园区网三层交换网络安全. 项目二:三层交换机保护园区网络安全. Contents. 保护园区网路由安全. 项目一:使用路由器保护园区网安全. 保护园区网三层交换网络安全. 项目二:三层交换机保护园区网络安全. Contents. 路由器安全 基础.

guang
Download Presentation

第 十 章

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第十章 校园网安全与防范

  2. 保护园区网路由安全 项目一:使用路由器保护园区网安全 保护园区网三层交换网络安全 项目二:三层交换机保护园区网络安全 Contents

  3. 保护园区网路由安全 项目一:使用路由器保护园区网安全 保护园区网三层交换网络安全 项目二:三层交换机保护园区网络安全 Contents

  4. 路由器安全基础 • 路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、OSPF等。当一台设置了相同路由协议,或者相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,此外由于网络中每台路由器都向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。

  5. 保护路由器控制台安全 • 保护路由器控制台的安全措施 • 配置路由器控制台密码 • Router (config) # line concole 0 • Router (config-line) # login • Router (config-line) # password star • 配置路由器的特权登录密码: • Router (config) # enable password star • Router (config) # enable secret star • “password ”表示输入的是明文形式的口令, • “secret”为密文形式的口令,密文有最高优先级别。

  6. 路由器远程登录 • 保护路由器远程登陆登录的安全措施 • Router # configure terminal • Router (config) # • Router (config) # line VTY 0 4 • Router (config-line) # login • Router (config-line) # password star

  7. 访问控制列表基础 • ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。 FTP ISP √

  8. 访问控制列表基础 • 定义访问列表的步骤 • 第一步:定义规则(哪些数据允许通过,哪些不允许) • 第二步:将规则应用在设备接口/VLAN上 • 访问控制列表的分类: • 1、标准ACL • 2、扩展ACL • 3、命名ACL(标准/扩展) • 访问控制列表规则元素 • 源IP、目的IP、源端口、目的端口、协议、服务

  9. 访问控制列表基础 • 访问列表对流经接口的数据包进行控制: • 1. 入栈应用(in) • 2. 出栈应用(out)

  10. ACL的基本准则 • 一切未被允许的就是禁止的。 • 路由器缺省允许所有的信息流通过; • 防火墙缺省封锁所有的信息流,对希望提供的服务逐项开放。 • 按规则链来进行匹配 • 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 • 从头到尾,至顶向下的匹配方式 • 匹配成功马上停止 • 立刻使用该规则的“允许、拒绝……”

  11. ACL分类 • 标准访问列表 • 根据数据包源IP地址进行规则定义 • 扩展访问列表 • 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义

  12. 标准访问控制列表基础 • 标准访问列表 • 只根据源IP地址,进行数据包的过滤 学生网段 教研网段 校领导网段

  13. 标准访问控制列表 • 1、定义标准ACL • Router(config)# access-list <1-99> { permit |deny } 源地址 [反掩码] • Switch(config)# Ip access-list <1-99> { permit |deny } 源地址 [反掩码] • 2、应用ACL到接口 • Router(config-if)#ip access-group <1-99>|{name} { in | out }

  14. IP标准访问列表配置 • 只允许172.16.3.0网络中的计算机访问互联网络 • access-list 1 permit 172.16.3.00.0.0.255 • (access-list 1 deny 0.0.0.0 255.255.255.255) • interface serial 0 • ip access-group 1 out Internet 172.17.0.0 172.16.3.0 172.16.4.0 S0 F0 F1

  15. IP标准访问列表配置技术 • 阻止 192.168.0.45 主机通过E0访问网络,而允许其他的机器访问 • Router(config) # access-list 1 deny host 192.168.0.45 • Router(config) # access-list 1 permit any • Router(config) # interface ethernet 0 • Router(config-if) # ip access-group 1 in

  16. 128 64 32 16 8 4 2 1 0 0 1 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 反掩码(通配符) • 通配符掩码是一个32比特位。其中0表示“检查相应的位”,1表示“不检查相应的位”。 在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。 通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。 在通配符掩码用255.255.255.255表示所有IP地址,全为1说明所有32位都不检查,这是可以用any来取代。 0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。 0 0 0 0 0 0 0 0 0表示检查相应的地址比特 1表示不检查相应的地址比特

  17. 学生网段 校领导网段 扩展访问控制列表基础 • 扩展ACL可以根据数据包内的源、目的地址,应用服务进行过滤。 邮件server WEBserver

  18. 扩展访问控制列表 1、定义扩展的ACL Router(config)# access-list <100-199> { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码[ 目的端口 ] 2、应用ACL到接口 Router(config-if)#ip access-group <100-199> |{name} { in | out }

  19. IP扩展访问列表配置 • 允许网络192.168.0.0内所有主机访问HTTP服务器172.168.12.3,拒绝其它主机使用网络。 • Switch (config)# access-list 111 permit tcp 192.168.0.0 • 0.0.255.255 host 172.168.12.3 eq www • Switch # show access-lists

  20. 扩展访问列表的应用 • 利用ACL隔离冲击波病毒 • access-list 115 deny udp any anyeq 69 • access-list 115 deny tcp any anyeq 135 • access-list 115 deny udp any anyeq 135 • access-list 115 deny udp any anyeq 137 • access-list 115 deny udp any anyeq 138 • access-list 115 deny tcp any anyeq 139 • access-list 115 deny udp any anyeq 139 • access-list 115 deny tcp any anyeq 445 • access-list 115 deny tcp any anyeq 593 • access-list 115 deny tcp any anyeq 4444 • access-list 115 permit ip any any • interface <type> <number> • ipaccess-group 115 in • ipaccess-group 115 out

  21. 保护园区网路由安全 项目一:使用路由器保护园区网安全 保护园区网三层交换网络安全 项目二:三层交换机保护园区网络安全 Contents

  22. 任务一:配置标准ACL访问规则 • 【任务描述】 • 学校校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。 • 由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,实施了访问控制列表安全技术,禁止学生宿舍网络访问教师所在网络。 • 由于是禁止来自整个学生网络中计算机访问,按照规则,需要实施标准访问控制列表技术实施网络安全访问。 • 【知识准备】 • ACL

  23. 任务一:配置标准ACL访问规则 • 【网络拓扑】 • 【任务目标】 • 学习标准ACL访问规则,实施园区网络隔离。 • 【设备清单】 • 路由器(1台)、 计算机(>=3台)、 双绞线(若干根)。 • 【工作过程】

  24. 任务二:配置扩展ACL访问规则 • 【任务描述】 • 学校的校园网扩建后,实现了分散于各校区的网络之间的互联互通,满足了各校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。 • 为了实现校园网络中不同区域网络之间信息共享,在教师所在的网络中搭建了一台FTP网络服务器,为学校中提供教学资源共享。但是,由于没有实施部门网之间的安全策略,出现学生登录到教师网中FTP网络服务器查看试卷的情况。 • 为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,实施了访问控制列表安全技术,允许学生宿舍网络访问教师所在网络,但需要禁止学生访问教师网中FTP网络服务器。 • 由于是禁止某项服务的访问,按照规则,需要实施扩展的访问控制列表技术,保障网络安全访问。 • 【知识准备】 • 访问控制列表

  25. 任务二:配置扩展ACL访问规则 • 【网络拓扑】 • 【任务目标】 • 在路由器上配置扩展ACL,保护教师网络中FTP服务器的安全 • 【设备清单】 • 路由器(2台);网络连线(若干根);测试计算机(>=2台) • 【工作过程】

  26. 保护园区网路由安全 项目一:使用路由器保护园区网安全 保护园区网三层交换网络安全 项目二:三层交换机保护园区网络安全 Contents

  27. 命名访问控制列表 • 在标准与扩展访问控制列表中均要使用编号,而在命名访问控制列表中使用一个字母或数字组合的字符串,来代替数字,从而实现见名识意效果。 • 命名访问控制列表技术不仅可以形象地描述访问控制列表功能,而且还可以让网络管理员删除某个访问控制列表中不需要的语句,在使用过程中方便地修改。

  28. 标准命名访问控制列表 • 命名IP访问控制列表广泛地应用在园区网络的三层交换机上,而在路由器上应用命名IP访问控制列表技术,需要其OS较高的版本才能支持。 • Switch#configure • Switch (config)#ip access-list standard test1 !命名了标准访问控制列表 • Switch (config-std-nacl)#deny 30.1.1.0 0.0.0.255 !拒绝30.1.1.0的网络 • Switch (config-std-nacl)#permit any !允许任何其它网络访问 • Switch (config-std-nacl)#exit • Switch (config)#int s1/0 !进入S1/0接口 • Switch (config-if)#ip access-group test1 in !把命名ACL应用到接口S1/0

  29. 扩展命名访问控制列表 • Switch#configure • Switch (config)#ip access-list extended test2 !定义命名扩展访问控制列表 • Switch(config-ext-nacl)#deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 • Switch(config-ext-nacl)#permit ip any any!允许其它一切访问 • Switch (config-ext-nacl)#exit • Switch (config)# • Switch (config)#int f0/0

  30. 保护园区网路由安全 项目一:使用路由器保护园区网安全 保护园区网三层交换网络安全 项目二:三层交换机保护园区网络安全 Contents

  31. 任务一:使用标准命名ACL访问规则 • 【任务描述】 • 学校的校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。 • 由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,在校园网的三层交换机上实施标准命名ACL访问规则安全技术,实施了访问控制列表安全技术,禁止学生宿舍网络访问教师所在网络。 • 由于是禁止来自整个学生网络中计算机访问,按照规则,需要实施标准命名访问控制列表技术,实施网络安全访问。 • 【知识准备】 • 标准命名ACL

  32. 任务一:使用标准命名ACL访问规则 • 【网络拓扑】 • 【任务目标】 • 学习标准命名ACL访问规则,实施园区网络隔离。 • 【设备清单】 • 三层交换机(1台)、 计算机(>=3台)、 双绞线(若干根)。 • 【工作过程】

  33. 任务二:使用扩展命名ACL规则 • 【任务描述】 • 学校的校园网扩建后,实现了分散于各校区的网络之间的互联互通,满足了各校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。 • 为了实现校园网络中不同区域网络之间信息共享,在教师所在的网络中搭建了一台FTP网络服务器,为学校中提供教学资源共享。但是,由于没有实施部门网之间的安全策略,出现学生登录到教师网中FTP网络服务器查看试卷的情况。 • 为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,在三层交换机上实施命名扩展访问控制列表安全技术,允许学生宿舍网络访问教师所在网络,但需要禁止学生访问教师网中FTP网络服务器。 • 由于是禁止某项服务的访问,按照规则,需要实施扩展命名的访问控制列表技术,保障网络安全访问。 • 【知识准备】 • 命名ACL

  34. 任务二:使用扩展命名ACL规则 • 【网络拓扑】 • 【任务目标】 • 禁止学生访问FTP服务器,实施命名扩展ACL技术控制,以实现网络间服务隔离。 • 【设备清单】 • 三层交换机(2台)、 计算机(>=3台)、 双绞线(若干根)。 • 【工作过程】

  35. 任务三:配置Vlan标准命名访问控制列表 • 【任务描述】 • 学校的校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。 • 由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务。网络中心重新进行安全规划,在校园网的三层交换机上实施标准命名ACL访问规则安全技术,学校需要将学生网与教师网隔离,学生网与办公网之间的网络仍然可以实现互连互通。 • 由于是禁止来自整个学生网络中计算机访问,按照规则,需要实施标准命名访问控制列表技术,实施网络安全访问。 • 【网络拓扑】

  36. 任务三:配置Vlan标准命名访问控制列表 • 【任务目标】 • 配置Vlan标准命名访问控制列表项目,学生网可以访问办公网,也不能访问教师网,以实现网络间服务隔离。 • 【设备清单】 • 三层交换机(1台)、 计算机(>=3台)、 双绞线(若干根)。 • 【工作过程】

  37. 本章总结 • 保护园区网路由安全 • 项目一:使用路由器保护园区网安全 • 保护园区网三层交换网络安全 • 项目二:三层交换机保护园区网络安全

  38. Thank You! www.benic.gov.cn

More Related