09 网络安全.docVIP

网络安全 网络安全基础 网络威胁 网络入侵的危险 确定网络入侵的源 社会工程和钓鱼攻击 攻击类型---瘫痪服务、欺骗 1 病毒（Viruses）、蠕虫（Worms）、特络伊木马（Trojan Horse） 2 拒绝服务和暴力攻击（Denial of Service and Brute Force attacks） 3 间谍软件、跟踪Cookies 、广告软件、弹出窗口 4 垃圾邮件(Spam Email) 9.1.3 安全的步骤和应用 1 定义一个安全策略 2 定义一个公共的安全程序 9.1.4 防火墙的特征和怎么使用防火墙防止攻击 1 什么是防火墙(Fire Wall) 2 使用防火墙来防止攻击 3 脆弱性分析 4 安全最佳方法 9.2 访问控制列表介绍 9.2.1 为什么要使用访问控制列表 访问控制列表（Access Control List，ACL） 1.过滤 2.分类 ACL的应用 允许或拒绝数据包通过路由器； 允许或拒绝通过VTY访问路由器； 没有ACL时，所有数据包能够在网络中被传输。 ACL的类型 1 标准ACL（Standard ACL）：只检查源地址，通常允许或拒绝的是一个完整协议栈（IP\IPX） 2 扩展ACL（Extend ACL）：既检查源地址，也检查目标地址，还可以检查传输层的协议和端口,通常允许或拒绝一个特定的协议。 9.2.4 识别ACL 1 标准IP ACL：列表号（List Number）是从1-99,1300-1999 2 扩展IP ACL：列表号从100-199，2000-2699 9.2.5 ACL的操作 9.2.6 通配符掩码（Wildcard Mask） 192.168.123.1 0.0.0.0=host 192.168.123.1 0.0.0.0 255.255.255.255=any 9.3 ACL的配置 9.3.1 ACL的配置指南 1.ACL执行从上到下的处理顺序；应把最多限制条件的语句放最上面 2.ACL最后有一条隐藏Deny any存在，至少需要一条 PERMIT语句 3.标准ACL应该放置在离目标近的位置；扩展ACL应该放置在离源近的位置。 标准IP ACL的配置 1 创建ACL Router(config)#access-list [1-99] [permit | deny] [源地址] [通符掩码] 将ACL应用到接口 -if)#ip access-group [ACL号] [in | out] 默认的通配掩码为:0.0.0.0 应用到接口默认的方向是out 9.3.3 扩展IP ACL的配置 Router（config）#access-list [100-199] permit | deny [协议] [源地址] [通配符掩码] [目标地址] [通配符掩码] [eq | gt | lt 端口号] “协议”参数：IP、icmp、TCP、UDP 当“协议”参数使用的是TCP或UDP的时候，源地址和目标地址后面可以跟 [eq | gt | lt 端口号] EQ:等于；GT:大于；LT:小于 将ACL应用到接口 -if)#ip access-group [ACL号] [in | out] 使用命名式的IP ACL Router（config）#ip access-list [standard | extended] [名称] Standard： Router(config-std-nacl)#permit | deny [源地址] [通配符掩码] Extended： Router(config-ext-nacl)#permit | deny [协议] [源地址] [通配符掩码] [目标地址] [通配符掩码] [其他参数] 过滤VTY访问一台路由器 Router(config)#line vty 0 15 Router(config-line)#access-class [列表号 | 名称] [in | out] 检查ACL Router#show ip int [接口号] 查看特定接口ACL的应用情况 Router#show access-list [列表号] 查看路由器上ACL的配置 使用NAT和PAT来隐藏网络 进行私有和公有地址的转换 NAT和PAT概述 地址转换的类型 静态NAT：将内部本地地址和内部全局地址作一对一（One to One）转换---开销大 动态NAT：将内部本地址和内部全局地址通过地址池作动态一对一转换； 过载（Overload）/PAT：将内部本地址同一个公共的内部全局地址作复用转换--- NAT（Network Address Translation，网络地址翻译/转换） PAT（Po