第9章 园区网的安全技术演示课件.pptVIP

访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 F1/0 F1/1 IN OUT 访问列表的入栈应用 N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是 否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” Y 拒绝 Y 是否匹配规则条件1 ? 允许 N 拒绝 允许 是否匹配规则条件2 ? 拒绝 是否匹配最后一个条件? Y Y N Y Y 允许 隐含拒绝 N 一个访问列表多条过滤规则 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 IP标准访问列表 第9章 园区网的安全技术 RCNA_T009 教学目标 通过本章学习使学员能够： 1、了解常见的网络安全隐患及常用防范技术； 2、熟悉交换机端口安全功能及配置 3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。 本章内容 网络安全隐患 交换机端口安全 IP访问控制列表 课程议题 网络安全隐患 常见的网络攻击： 网络攻击手段多种多样，以上是最常见的几种 攻击不可避免 攻击工具体系化 网络攻击原理日趋复杂，但攻击却变得越来越简单易操作 额外的不安全因素 DMZ E-Mail File Transfer HTTP Intranet 企业网络 生产部 工程部 市场部 人事部 路由 Internet 中继 外部个体 外部/组织 内部个体 内部/组织 现有网络安全体制 现有网络安全 防御体制 IDS/IPS 68% 杀毒软件 99% 防火墙 98% ACL 71% VPN 虚拟专用网 防火墙 包过滤 防病毒 入侵检测 课程议题 交换机端口安全 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 交换机端口安全 安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知 配置安全端口 端口安全最大连接数配置 switchport port-security ！打开该接口的端口安全功能 switchport port-security maximum value ！设置接口上安全地址的最大个数，范围是1－128，缺省值为128 switchport port-security violation{protect|restrict |shutdown} ！设置处理违例的方式 注意： 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。 配置安全端口 端口的安全地址绑定 switchport port-security ！打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address ！手工配置接口上的安全地址 注意： 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有