通信系统综合应用实践_第6章_网络安全技术方案.pptVIP

? 标准访问列表 只根据源IP地址，进行数据包的过滤。 学生网段 校领导网段 教研网段 8、标准列表规则定义 * 1）定义标准ACL Router(config)# access-list 1-99 { permit |deny } 源地址 [反掩码] Switch(config)# Ip access-list 1-99 { permit |deny } 源地址 [反掩码] 反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。 55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。 表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 2）应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } * Router(config) #access-list 1 permit 55 Router(config) #access-list 1 deny 55 Router(config) #interface serial 0 Router(config-if) #ip access-group 1 out F0 S0 F1 Internet 只允许网络中的计算机访问互联网络 阻止5主机通过E0访问网络，而允许其他的机器访问 Router（config） # access-list 1 deny host 5 Router（config） # access-list 1 permit any Router（config） # interface ethernet 1/1 Router（config-if） # ip access-group 1 in * 【工作任务】 如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（）和行政办公网（）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离 【实验设备】路由器（2台）；网线（若干）；测试PC（2台）； 【实验过程】 ………… * * * * * * * 攻击工具更多更危险，更容易使用，工具者需要具有的知识则更少 * * * * * * * * * * * * * * 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。 * 保护园区网络安全 二：访问控制列表安全技术 * 保护园区网络安全 * 复杂程度 Internet Email Web 浏览 Intranet 站点 电子商务 电子政务 电子交易 时间 * 第一代 引导性病毒 第二代 宏病毒 DOS 电子邮件 有限的黑客攻击 第三代 网络DOS攻击 混合威胁（蠕虫+病毒+特洛伊） 广泛的系统黑客攻击 下一代 网络基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDoS 破坏有效负载的病毒和蠕虫 波及全球网络基础架构 地区网络 多个网络 单个网络 单台计算机 周 天 分钟 秒 影响目标 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 * 网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。 企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 一般根据网络安全隐患源头可分为以下几类： （1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损坏。 （3）来自企业网外部和内部人员的恶意攻击和破坏。 * （1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 　　 （2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。 （3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从