网络管理与维护案例教程网络安全管理.ppt

第5章网络安全管理;园区网常见安全隐患 ;威胁;漏洞;网络安全的演化;现有网络安全体制;常见解决安全隐患的方案 ;交换机端口安全;交换机端口安全;配置安全端口 ;端口安全的默认配置和限制 ;端口安全配置示例;验证命令;验证命令;访问控制列表;; 为什么要使用访问列表; 为什么要使用访问列表; 访问列表的应用;以ICMP信息通知源发送方;;IP ACL的基本准则;源地址;目的地址; 0表示检查相应的地址比特 1表示不检查相应的地址比特;1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 命名的标准访问列表 ip access-list standard { name} 　deny　{source source-wildcard|host　source|any} orpermit {source source-wildcard|host　source|any};;;下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络。 Switch （config）# ip access-list extended allow_0xc0a800_to_ Switch （config-std-nacl）# permit tcp 55 host eq www Switch （config-std-nacl）#end Switch # show access-lists ;扩展访问列表的应用;;NAT/NAPT带来的好处;什么是NAT/NAPT;NAT/NAPT的术语;静态与动态NAT;NAT示例;配置静态NAT;配置动态NAT;什么时候用NAPT;静态与动态NAPT;NAPT示例;配置静态NAPT;配置动态NAPT;NAT的监视和维护命令;; 1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2．可以很方便地监视网络的安全性，并报警。 3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 4. 是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。 ; 1、防火墙???能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 　　　　 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 　　　　 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。 ;常见防火墙的类型主要有两种：包过滤和代理防火墙 包过滤防火墙(IPFiltingFirewall)： 　　包过滤(PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。 ;下面是某一包过滤防火墙的访问控制规则：　　　(1)允许网络123.1.0使用口)访问主机；　　　　(2) 允许IP地址为8和4的用户Telnet (23口) 到主机上；　　　　(3)允许任何地址的E－mail(25口)进入主机；　　　　(4)允许任何WWW数据（80口）通过；　　　　(5)不允许其他数据包进入。 　　　　包过滤防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。 ;代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体