園區網安全Contents思考與練習訪問控制列表交換機端口安全園區網安全隱患引言Hubeiuniversityoftechnology園區網安全隱患Hubeiuniversityoftechnology園區網的常見安全隱患網絡安全的隱患是指計算機或其他通信設備利用網絡進行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統安全或危害系統資源的潛在的環境、條件或事件。園區網絡安全隱患包括的范圍比較廣，如自然火災、意外事故、人為行為（如使用不當、安全意識差等）、黑客行為、內部泄密、外部泄密、信息丟失、電子監聽（信息流量分析、信息竊取等）和信息戰等。非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災、水災、風暴和工業事故等。人為但屬于操作人員無意的失誤造成的數據丟失或損壞。來自園區網外部和內部人員的惡意攻擊和破壞。Hubeiuniversityoftechnology人的威脅最為嚴重人自然災害惡意非惡意不熟練的員工（外部）黑客威脅（內部）不滿的員工（外部）戰爭Hubeiuniversityoftechnology漏洞物理自然硬件軟件媒介通訊人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirusHubeiuniversityoftechnology網絡安全的演化第一代引導性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網絡DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統黑客攻擊下一代網絡基礎設施黑客攻擊瞬間威脅大規模蠕蟲DDoS破壞有效負載的病毒和蠕蟲波及全球的網絡基礎架構地區網絡多個網絡單個網絡單臺計算機周天分鐘秒影響的目標和范圍1980s1990s今天未來安全事件對我們的威脅越來越快第三代網絡DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統黑客攻擊下一代網絡基礎設施黑客攻擊瞬間威脅大規模蠕蟲DDoS破壞有效負載的病毒和蠕蟲第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網絡DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統黑客攻擊下一代網絡基礎設施黑客攻擊瞬間威脅大規模蠕蟲DDoS破壞有效負載的病毒和蠕蟲第一代引導性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網絡DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統黑客攻擊下一代網絡基礎設施黑客攻擊瞬間威脅大規模蠕蟲DDoS破壞有效負載的病毒和蠕蟲1980s1990s今天1980s1990s未來今天1980s1990sHubeiuniversityoftechnology園區網安全解決方案的整體思路制定一個嚴格的安全策略可以通過交換機端口安全、配置訪問控制列表ACL、在防火墻實現包過濾等技術來實現一套可行的園區網安全解決方案。宣傳教育Hubeiuniversityoftechnology現有網絡安全防御體制現有網絡安全體制IDS68%殺毒軟件99%防火墻98%ACL71%Hubeiuniversityoftechnology交換機端口安全Hubeiuniversityoftechnology交換機端口安全概述交換機的端口安全機制是工作在交換機二層端口上的一個安全特性只允許特定MAC地址的設備接入到網絡中，從而防止用戶將非法或未授權的設備接入網絡。限制端口接入的設備數量，防止用戶將過多的設備接入到網絡中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。Hubeiuniversityoftechnology補充——關于SPANSPAN技術主要是用來監控交換機上的數據流，大體分為兩種類型，本地SPAN和遠程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，實現方法上稍有不同。利用SPAN技術我們可以把交換機上某些想要被監控端口（以下簡稱受控端口）的數據流COPY或MIRROR一份，發送給連接在監控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC.受控端口和監控端口可以在同一臺交換機上（本地SPAN），也可以在不同的交換機上（遠程SPAN）。Hubeiuniversityoftechnology交換機端口安全概述當配置完成端口安全之后，如果當違例產生時，可以設置下面幾種針對違例的處理模式：protect：當安全地址個數滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包restrict：當違例產生時，交換機不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發送一個SNMPTrap報文shutdown：當違例產生時，交換機將丟棄接收到的幀（MAC地址不在安全地址表中），發送一個SNMPTrap報文，而且將端口關閉。Hubeiuniversityoftechnology端口安全的配置Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#

switchportport-securityviolation{protect|restrict|shutdown}設置接口上安全地址的最大個數打開該接口的端口安全功能設配置處理違例的方式Hubeiuniversityoftechnology配置安全端口上的安全地址Switch(conifg-if)#switchportport-security[mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址當端口由于違規操作而進入“err-disabled”狀態后，必須在全局模式下使用如下命令手工將其恢復為UP狀態：設置端口從“err-disabled”狀態自動恢復所等待的時間HubeiuniversityoftechnologySwitch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

配置安全地址的老化時間使老化時間僅應用于動態學習到的安全地址關閉一個接口的安全地址老化功能（老化時間為0）Hubeiuniversityoftechnology查看端口安全信息Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

顯示所有接口的安全設置狀態、違例處理等信息來查看安全地址信息，顯示安全地址及老化時間顯示所有安全端口的統計信息，包括最大安全地址數，當前安全地址數以及違例處理方式等Hubeiuniversityoftechnology訪問控制列表Hubeiuniversityoftechnology通過本小結的學習，您應該掌握以下內容：

識別IP訪問列表的主要作用和工作流程配置標準的IP訪問列表利用訪問列表控制虛擬會話的建立配置擴展的IP訪問列表查看IP訪問列表訪問控制列表概述訪問表（accesslist）是一個有序的語句集，它通過匹配報文中信息與訪問表參數，來允許報文通過（permit）或拒絕（deny）報文通過某個接口。Hubeiuniversityoftechnology訪問控制列表概述訪問控制列表總的說起來有下面三個作用:安全控制

允許一些符合匹配規則的數據包通過訪問的同時而拒絕另一部分不符合匹配規則的數據包。流量過濾

防止一些不必要的數據包通過路由器，來提高網絡帶寬的利用率。數據流量標識此功能是對公司有兩條或兩條以上的網絡鏈路時，訪問控制列表與路由策略等來實現分工，讓不同的數據包選擇不同的鏈路。HubeiuniversityoftechnologyACL工作原理及規則ACL語句有兩個組件：一個是條件，一個是操作。條件：條件基本上是一個組規則，定義了要在數據包內容中查找什么來確定數據包是否匹配。

每條ACL語句中只可以列出一個條件，但是可以將ACL語句組合在一起形成一個列表或策略，語句使用標號或名稱來分組。access-list1deny3access-list1permit55HubeiuniversityoftechnologyACL工作原理及規則操作：當ACL語句條件與比較的數據包內容匹配時，可以采取允許和拒絕兩個操作。ACL語句從上往下一次執行，當ACL語句找到一個匹配時，則不會再處理其他語句。每個ACL最后都有一條看不見的語句，稱為“隱式的拒絕”語句，這條語句的作用是丟棄數據包，如果一個數據包和列表中的每條語句都不匹配，則該數據包被丟棄。

access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)Hubeiuniversityoftechnology出端口方向上的訪問列表ACL工作原理及規則入站ACL出端口方向上的訪問列表ACL工作原理及規則出站ACL訪問列表配置指南基本規則、準則和限制ACL語句按名稱或編號分組；每條ACL語句都只有一組條件和操作，如果需要多個條件或多個行動，則必須生成多個ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數據包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個允許操作，否則，所有數據包都會被拒絕；語句的順序很重要，約束性最強的語句應該放在列表的頂部，約束性最弱的語句應該放在列表的底部；Hubeiuniversityoftechnology訪問列表配置指南基本規則、準則和限制一個空的ACL組允許所有數據包，空的ACL組已經在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句；只能在每個接口、每個協議、每個方向上應用一個ACL；在數據包被路由到其它接口之前，處理入站ACL；在數據包被路由到接口之后，而在數據包離開接口之前，處理出站ACL；當ACL應用到一個接口時，這會影響通過接口的流量，但ACL不會過濾路由器本身產生的流量。Hubeiuniversityoftechnology訪問列表配置指南ACL放置在什么位置（課本256面圖10-8）只過濾數據包源地址的ACL應該放置在離目的地盡可能近的地方；過濾數據包的源地址和目的地址以及其他信息的ACL，則應該放在離源地址盡可能近的地方；只過濾數據包中的源地址的ACL有兩個局限性：即使ACL應用到路由器C的E0，任何用戶A來的流量都將被禁止訪問該網段的任何資源，包括數據庫服務器。流量要經過所有到達目的地的途徑，它在即將到達目的地時被丟棄，這是對帶寬的浪費。HubeiuniversityoftechnologyACL的種類兩種基本的ACL：標準ACL和擴展ACL標準IPACL只能過濾IP數據包頭中的源IP地址擴展IPACL可以過濾源IP地址、目的IP地址、協議（TCP/IP）、協議信息（端口號、標志代碼）等，Hubeiuniversityoftechnology標準ACL標準ACL只能過濾IP數據包頭中的源IP地址標準ACL通常用在路由器配置以下功能：

限制通過VTY線路對路由器的訪問（telnet、SSH）；限制通過HTTP或HTTPS對路由器的訪問；過濾路由更新。Hubeiuniversityoftechnology標準ACL通過兩種方式創建標準ACL：編號或名稱一、使用編號使用編號創建ACL在接口上應用In：當流量從網絡網段進入路由器接口時Out：當流量離開接口到網絡網段時Router(config)#access-list

listnumber{permit|deny}[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology標準ACL二、使用命名定義ACL名稱定義規則在接口上應用Router(config)#ipaccess-liststandard

nameRouter(config-std-nacl)#deny|permit

[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{name}{in|out}Hubeiuniversityoftechnology擴展訪問控制列表擴展的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文：源和目的地址、協議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。Hubeiuniversityoftechnology擴展訪問控制列表可以通過兩種方式為擴展ACL語句分組：通過編號或名稱編號的擴展ACL創建擴展ACL接口上應用Router(config)#access-list[listnumber

]{permit|deny}[協議][源IP地址][源地址子網掩碼][目的IP地址][目的IP地址子網掩碼][目的端口號]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology擴展訪問控制列表命名的擴展ACL定義擴展ACL名稱定義規則在接口上應用Router(config)#ip

acess-listextended

nameRouter(config-if)#ipaccess-group{name}{in|out}Router(conig-ext-nacl)#{permit|deny}[協議][源IP地址][源地址子網掩碼][目的IP地址][目的IP地址子網掩碼][目的端口號]Hubeiuniversityoftechnology配置標準ACL示例Hubeiuniversityoftechnology配置擴展ACL示例Hubeiuniversity