第六讲园区网安全讲解.ppt

园区网安全 Contents 人的威胁最为严重 漏洞 物理自然硬件软件媒介通讯人 网络安全的演化 现有网络安全体制 补充——关于SPAN SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 　　利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。 通过本小结的学习，您应该掌握以下内容： 识别 IP 访问列表的主要作用和工作流程 配置标准的 IP 访问列表 利用访问列表控制虚拟会话的建立 配置扩展的 IP 访问列表 查看 IP 访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表配置指南 访问列表配置指南 访问列表配置指南 练 习 一、只封禁一台IP地址为2主机的ACL？ 练 习 二、一台路由器，只允许一个网络号为/24的网段上奇数 的访问，不允许偶数的访问，怎么配置ACL？ 标准ACL 通过两种方式创建标准ACL：编号或名称 一、使用编号 使用编号创建ACL 在接口上应用 In：当流量从网络网段进入路由器接口时 Out：当流量离开接口到网络网段时 Router(config)# access-list listnumber { permit | deny } [源地址IP] [ wildcard–mask ] Router(config-if)# ip access-group {listnumber} {in|out} 标准ACL 二、使用命名 定义ACL名称 定义规则 在接口上应用 Router(config)# ip access-list standard name Router(config-std-nacl)# deny|permit [源地址IP] [ wildcard–mask ] Router(config-if)# ip access-group {name} {in|out} 扩展访问控制列表 扩展的IP访问表用于扩展报文过滤能力。 一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。 扩展访问控制列表 可以通过两种方式为扩展ACL语句分组：通过编号或名称 编号的扩展ACL 创建扩展ACL 接口上应用 Router(config)# access-list [ listnumber ] { permit | deny } [ 协议 ] [源IP地址] [源地址子网掩码] [目的IP地址] [目的IP地址子网掩码] [目的端口号] Router(config-if)# ip access-group {listnumber} {in|out} 扩展访问控制列表 命名的扩展ACL 定义扩展ACL名称 定义规则 在接口上应用 Router(config)# ip acess-list extended name Router(config-if)# ip access-group {name} {in|out} Router(conig-ext-nacl)# { permit | deny } [协议 ] [源IP地址] [源地址子网掩码] [目的IP地址] [目的IP地址子网掩码] [目的端口号] 配置标准ACL示例 配置扩展ACL示例 配置扩展ACL示例 验证ACL配置 显示所有协议的所有ACL 查看接口应用的ACL情况 Router# show access-lists Router# show ip access-group 总结 园区网的安全隐患有很多种，有非人为的，也有非人为的，也有来自园区网外部和内部人员的恶意攻击和破坏。 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。 访问控制列表包括标准的访问控制列表和扩展的访问控制列表。 access-list 111 deny ip host 2 any access-list 111 deny ip any host 2 access-list 111 permit ip any any access-list 1 permit 54