模块6：保护网络设备安全（2）(1).pptVIP

《网络安全技术》 项目6 保护网络设备安全(2) 项目分解 任务3：监控交换机端口通信流量 任务描述 丰乐公司网络管理员张明发现最近一段时间，公司内部网络中有异常流量，严重影响了办公网传输效率。为了解网络的传输状况，需要对办公网络中的流量进行手动分析。 为了提高企业办公网络的安全，需要管理员进行手工分析的异常流量，因此配置办公网接入交换机端口镜像技术，将异常的流量镜像到管理员计算机上，然后抓取数据包，通过数据包分析软件，实现网络的安全防范功能。 任务分析 在日常进行的网络故障排查、网络数据流量分析的过程中，有时需要对网络中的接入或骨干交换机的某些端口进行数据流量监控分析，以了解网络中某些端口传输的状况，通过在交换机上实施端口镜像安全技术，监视进出交换机端口的所有数据包，供安装了监控软件的管理服务器抓取数据，了解网络安全状况。 知识准备 6.3.1 什么是端口镜像 镜像( Mirroring )是将交换机某个端口的流量拷贝到另一端口(镜像端口)，进行监测。 交换机的镜像技术（Port Mirroring）是将交换机某个端口的数据流量，复制到另一个端口（镜像端口）进行监测安全防范技术。大多数交换机都支持镜像技术，称为mirroring 或Spanning，默认情况下交换机上的这种功能是被屏蔽。 知识准备 6.3.2 镜像端口技术术语 端口镜像可以让用户将所有的流量，从一个特定的端口复制到一个镜像端口。 如果网络中的交换机提供端口镜像功能，则允许管理人员设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过PC上安装的网络监控软件来查看，解析收到的数据包中的信息内容，通过对数据的分析，可以实时查看被监视端口的通信状况。 交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口，其中： Port Mirroring Monitoring Port ： 知识准备 6.3. 3 配置端口镜像技术 任务实施 【工作过程】 按图6-3-4所示网络拓扑，连接网络设备，组建网络场景，注意设备连接的接口编号。 任务实施 步骤2：IP地址规划 步骤3：测试网络连通性 步骤4：配置交换机镜像口 步骤5：验证交换机镜像口（1） 步骤6：取消交换机镜像口 步骤7：验证交换机镜像口（2） 项目分解 任务4：实施办公网络安全访问控制 任务描述 丰乐公司电子商务公司构建互联互通办公网，为了保护公司内部用户销售数据安全，实施内网安全防范措施。网络核心使用一台三层设备，连接公司几个不同区域子网络：一方面实现办公网互联互通，另一方面把办公网接入Internet网络。 之前，由于没有实施部门安全策略，出现非业务部门，登录到销售部网络，查看销售部销售数据。丰乐公司网管员张明从公司内部网络管理的安全考虑，禁止非业务（后勤）部门访问销售部网络，其它业务部门，如财务部门则允许访问。 任务分析 禁止办公网络中一个部门网络访问另外一个部门的网络，可以在三层核心设备上实施访问控制列表IP ACL技术来实现。IP ACL是数据包过滤技术，能对网络中通过的数据包实施过滤，实现对网络访问资源进行输入和输出的安全访问控制。 按照过滤数据包不同，IP ACL技术可分为标准IP ACL和扩展IP ACL；此外还可按照标识不同，分为基于编号IP ACL和基于命名IP ACL二种类型。基于名称IP ACL在规则编辑上，使用一组字符串标识编制安全规则，方便识别、管理。 知识准备 6.4. 1 什么是访问控制列表 交换机或者路由器设备按照ACL中的指令顺序执行这些规则，处理每一个进入或输出端口的数据包，实现对进入或者流出网络互联设备中的数据流过滤。 通过在网络互联设备中灵活地增加访问控制列表，可以作为一种网络控制的有力工具，过滤流入和流出数据包，确保网络的安全，因此ACL也称为软件防火墙，如图6-4-1所示。 知识准备 6.4. 2 访问控制列表分类 常见ACL有两类：标准访问控制列表（Standard IP ACL）和扩展访问控制列表（Extended IP ACL），在规则中使用不同的编号区别，其中标准访问控制列表的编号取值范围为1~99；扩展访问控制列表的编号取值范围为100~199。 两种编号的ACL区别是，标准的编号ACL只匹配、检查数据包中携带的源地址信息；扩展编号ACL不仅仅匹配数据包中源地址信息，还检查数据包的目的地址，以及数据包的特定协议类型、端口号等。扩展访问控制列表规则大大扩展了网络互联设备对三层数据流的检查细节，为网络的安全访问提供了更多的访问控制功能。 知识准备 6.4. 3 基于编号标准访问控制列表 标准访问控制列表（Standard IP ACL）检查数据包的源地址信息，数据包在通过网络设备