网络互联技术第5章网络安全技术课件.ppt

1、2023-1-18网络互联技术PPT第5章网络安全技术网络互联技术网络互联技术PPT第第5章章网络安全技术网络安全技术网络互联技术PPT第5章网络安全技术 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。工程任务：保护园区网络安全网络互联技术PPT第5章网络安全技术组件一：网络攻击行为 保护园区网络安全组件二：

2、管理设备控制台安全 组件三：交换机端口安全技术 组件四：访问控制列表安全技术 网络互联技术PPT第5章网络安全技术组件一：网络攻击行为 保护园区网络安全网络互联技术PPT第5章网络安全技术复杂程度复杂程度Internet飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间网络互联技术PPT第5章网络安全技术第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球网波及全

3、球网络基础架构络基础架构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化网络互联技术PPT第5章网络安全技术网络安全隐患 网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流

4、量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。网络互联技术PPT第5章网络安全技术常见网络管理中存在的安全问题（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%

5、的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。网络互联技术PPT第5章网络安全技术网络攻击行为 常见的攻击措施主要有：l获取网络口令l放置特洛伊木马程序 lWWW欺骗技术 l电子邮件攻击 l通过一个节点来

6、攻击其他节点 l拒绝服务攻击 DDOSl网络监听 l寻找系统漏洞 l利用账号进行攻击 l偷取特权 网络互联技术PPT第5章网络安全技术网络互联技术PPT第5章网络安全技术攻击不可避免攻击工具体系化攻击工具体系化网络互联技术PPT第5章网络安全技术网络进攻简单化 全球超过26万黑客站点,提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理网络互联技术PPT第5章网络安全技术大量的攻击工具随手拾来大量的攻击工具随手拾来攻击工具更加“人性化”网络互联技术PPT第5章网络安全技术现有网络安全现有网络安全防御体制防御体制入侵检测系统IDS68%杀毒软件杀毒软件99

7、%防火墙防火墙98%ACL71%现有网络安全体制网络互联技术PPT第5章网络安全技术现有网络安全技术网络互联技术PPT第5章网络安全技术保护园区网络安全组件二：管理设备控制台安全 网络互联技术PPT第5章网络安全技术管理交换机控制台安全管理交换机控制台安全 对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互联设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，对网络的打击将是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外

8、调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本的保护。网络互联技术PPT第5章网络安全技术 配置交换机的登陆密码配置交换机的登陆密码S2126G(config)#enable secret level 1 0 star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令，1 1为分配等级为分配等级 配置交换机的特权密码配置交换机的特权密码S2126G(config)#enable secret level 15 0 Star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令，1515为分配等

9、级为分配等级等级等级1 1分配给特权模式分配给特权模式;等级等级1515分配给全局模式，登级分配给全局模式，登级2-142-14分配给不同的命令分配给不同的命令;保护交换机控制台的安全措施保护交换机控制台的安全措施 网络互联技术PPT第5章网络安全技术配置交换机远程登录的安全措施配置交换机远程登录的安全措施Switch(config)#enable secret level 1 0 star ！配置远程登陆密码 Switch(config)#enable secret level 15 0 star ！配置进入特权模式密码Switch(config)#interface vlan 1 ！配置远

10、程登录地址Switch(config-if)#no shutdownSwitch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#end网络互联技术PPT第5章网络安全技术路由器控制台安全路由器控制台安全 保护路由器控制台的安全措施 l 配置路由器控制台密码Router（config）#line concole 0Router（config-line）#loginRouter（config-line）#password starl 配置路由器的特权登录密码：Router（config）#enable passwo

11、rd starRouter（config）#enable secret star “password”表示输入的是明文形式的口令，表示输入的是明文形式的口令，“secret”为密文形式的口令，密文有最高优先级别。为密文形式的口令，密文有最高优先级别。网络互联技术PPT第5章网络安全技术 保护路由器远程登陆登录的安全措施 Router#configure terminalRouter（config）#Router（config）#line VTY 0 4Router（config-line）#loginRouter（config-line）#password star 网络互联技术PPT第5章网

12、络安全技术保护园区网络安全组件三：交换机端口安全技术 网络互联技术PPT第5章网络安全技术FF.FF.FF.FF.FF.FF广播广播MAC地址地址 00.d0.f8.00.07.3c前前3个字节：个字节：IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个字节：网个字节：网络设备制造厂商络设备制造厂商自行分配的，不自行分配的，不重复，生产时写重复，生产时写入设备入设备MAC地址：链路层唯一标识地址：链路层唯一标识接入交换机接入交换机MAC Port A 1 B 2 C 3 MAC地址表：空间有限地址表：空间有限网络互联技术PPT第5章网络安全技术 MAC地址表空间是有限，地址表空间

13、是有限，MAC攻击会占满交换机地址表攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包使得单播包在交换机内部也变成广播包,向所有端口转发，向所有端口转发，每个连在端口上的客户端都可以收到该报文每个连在端口上的客户端都可以收到该报文;交换机变成了一个交换机变成了一个Hub，用户的信息传输也没有安全保障，用户的信息传输也没有安全保障了。了。网络互联技术PPT第5章网络安全技术交换机端口安全功能 交换机的端口安全功能，可以防止网络内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数，控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交

14、换机或HUB扩展网络，对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。网络互联技术PPT第5章网络安全技术交换机端口安全内容 安全端口收到不属于端口上安全地址包时，一个安全违一个安全违例将产生。例将产生。当安全违例产生时，可以选择多种方式来处理违例：Protect：安全端口将丢弃未知地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通

15、知。网络互联技术PPT第5章网络安全技术配置端口的最大连接数 配置fa1/3端口安全功能，设置最大地址个数为8，违例方式为protect。Switch(config)#interface fa1/3 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect 网络互联技术PPT第5章网络安全技术绑定端口安全地址 配置fa0/3安全功能，绑定MA

16、C为00d0.f800.073c，IP为192.168.12.202Switch(config)#interface fa 0/3 Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202网络互联技术PPT第5章网络安全技术验证命令 查看接口安全信息Switch#show port-security Secure Port MaxSecureAddr（count）CurrentA

17、ddr（count）Security Action -fa0/3 8 1 Protect 查看安全地址信息Switch#show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1网络互联技术PPT第5章网络安全技术实习项目：实习项目：配置交换机端口安全配置交换机端口安全【工作任务】如图所示，模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突，防止学院内部的网络

18、攻击行为，学院领导要求网络中心的管理员，为学院中每一台电脑分配固定IP地址（如为某位老师分配的IP地址是172.16.1.55/24，该主机的MAC地址是00-06-1B-DE-13-B4），并限制只允许学院内部的员工才可以使用网络，并不得随意连接其他主机。【项目设备】交换机（1台），PC(1台)、网线（1条）【实施过程】网络互联技术PPT第5章网络安全技术网络互联技术PPT第5章网络安全技术arp绑定绑定运行-cmdtelnet 172.16.1.251输入用户名uuuuuu输入密码 mmmmmmshow ip arp 显示ARP状况en 进入编辑config t 进入配置编辑状态show

19、mac-显示mac号后处的交换口arp ip地址 mac地址 arpa gi 0/4 绑定某IP的mac地址于交换机4口上end 结束编辑wr 写入配置文件中exit 退出no arp ip解开绑定网络互联技术PPT第5章网络安全技术保护园区网络安全组件四：访问控制列表技术 网络互联技术PPT第5章网络安全技术ISP1、什么是访问列表 ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。FTP网络互联技术PPT第5章网络安全技术RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属不同部门所属VLAN不同不同12221112

20、技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒2、为什么要使用访问列表网络互联技术PPT第5章网络安全技术3、访问列表的组成 定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口上 访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务网络互联技术PPT第5章网络安全技术 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制：1.入栈应用（in）2.出栈应用（out）网络互联技术PPT第5章网络安全技术5、ACL的基本准则 一切未被允许的就是禁止的 路由器缺省允许所有的信息流通过;防火墙缺

21、省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”网络互联技术PPT第5章网络安全技术Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 6、一个访问列表多个测试条件网络互联技术PPT第5章网络安全技术 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源

22、IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类网络互联技术PPT第5章网络安全技术 标准访问列表 只根据源IP地址，进行数据包的过滤。8、标准列表规则定义网络互联技术PPT第5章网络安全技术 1）定义标准ACLRouter(config)#access-list permit|deny 源地址 反掩码Switch(config)#Ip access-list permit|deny 源地址 反掩码 反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。255.255.255.255表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。0.

23、0.0.0表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。2）应用ACL到接口Router(config-if)#ip access-group in|out 网络互联技术PPT第5章网络安全技术access-list 1 permit 172.16.3.0 0.0.0.255access-list 1 deny 0.0.0.0 255.255.255.255interface serial 0ip access-group 1 out172.16.3.0172.16.4.0F0S0F1Internet172.17.0.0IP标准访问列表配置实例1只允许172.16.3

24、.0网络中的计算机访问互联网络网络互联技术PPT第5章网络安全技术IP标准访问列表配置实例2 阻止192.168.0.45主机通过E0访问网络，而允许其他的机器访问Router（config）#access-list 1 deny host 192.168.0.45Router（config）#access-list 1 permit anyRouter（config）#interface ethernet 0Router（config-if）#ip access-group 1 in 网络互联技术PPT第5章网络安全技术实习项目：配置标准访问列表控制网络流量实习项目：配置标准访问列表控制网络

25、流量【工作任务】如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（172.16.3.0）和行政办公网（172.16.1.0）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】网络互联技术PPT第5章网络安全技术9、扩展型访问控制列表 扩展型访问控制列表（Extended IP ACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大的数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口，目的端

26、口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。网络互联技术PPT第5章网络安全技术IP扩展访问列表的配置 1、定义扩展的ACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口Router(config-if)#ip access-group in|out 网络互联技术PPT第5章网络安全技术 IP扩展访问列表配置实例 允许网络192.168.0.0内所有主机访问HTTP服务器172.168.12.3，拒绝其它主机使用网络。Switch(config)#acce

27、ss-list 111 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch(config)#access-list 111 deny ip any anySwitch#show access-lists网络互联技术PPT第5章网络安全技术项目：配置扩展访问列表保护服务器安全项目：配置扩展访问列表保护服务器安全【工作任务】如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（172.16.1.0）和学生网（172.16.3.0）之间的互相连通，但不允许学生网访问教师网中的FT

28、P服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】网络互联技术PPT第5章网络安全技术10、命名访问控制列表 命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。l 通过字符串组成的名字直观地表示特定ACL；l 不受编号ACL中100条限制；l 可以方便的对ACL进行修改，无需删除重新配置 网络互联技术PPT第5章网络安全技术命名访问控制列表的配置1、定义命名ACL ip access-list standard|extended name d

29、eny|permit protocolsource wildcard destination wildcard operator port 2、应用ACL到接口Router(config-if)#ip access-group name in|out 网络互联技术PPT第5章网络安全技术配置命名标准访问控制列表Switch#configure terminalSwitch（config）#ip access-list standard deny-host-192.168.l2.x Switch（config-std-nacl）#deny 192.168.12.0 0.0.0.255 Switc

30、h（config-std-nacl）#permit anySwitch（config-std-nacl）#end Switch#show access-list deny-host-192.168.l2.x网络互联技术PPT第5章网络安全技术配置命名扩展配置命名扩展IP访问控制列表访问控制列表3550-24(config)#ip access-list extended denystudentwww 3550-24(config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 3550-24(con

31、fig-ext-nacl)#permit ip any any 把访问控制列表在接口下应用(交换机上只有IN方向)3550-24(config)#int vlan 30 (VLAN是双向的)3550-24(config-if)#ip access-group denystudentwww in网络互联技术PPT第5章网络安全技术 访问列表的验证显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 网络互联技术PPT第5章网络安全技术访问列表的注意事项1 1、在进行规则匹配时，从上至下，匹配成功马、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。上停止，不会继续匹配下面的规则。2 2、所有访问列表默认规则是拒绝所有数据包、所有访问列表默认规则是拒绝所有数据包3 3、处理方式只有允许通过和拒绝通过、处理方式只有允许通过和拒绝通过4 4、锐捷路由器只能编写编号方式的规则、锐捷路由器只能编写编号方式的规则5 5、锐捷交换机只能编写命名方式的规则、锐捷交换机只能编写命名方式的规则6 6、一个端口在某一方向只能应用一组访问列表、一个端口在某一方向只能应用一组访问列表2023-1-18网络互联技术PPT第5章网络安全技术