模块10保护园区网安全10.1保护园区网路由安全10.1.1路由器安全基础路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、OSPF等。当一台设置了相同路由协议,或者相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
可能导致网络拓扑信息泄漏,此外由于网络中每台路由器都向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。因此在园区网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
而给整个网络系统带来漏洞和风险,加强路由器安全的具体措施,用以阻止对路由器本身的攻击,并防范网络信息被窃取。10.1.2保护路由器控制台安全新安装的路由器设备也没有任何安全措施。为了保证网络的安全措施,也需要保护路由器控制台安全。路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复
流程
快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计
”,进而登录路由器,就可以完全控制路由器。在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。1)配置路由器控制台密码:Router#configureterminalRouter(config)#lineconcole0Router(config-line)#loginRouter(config-line)#passwordstar2)配置路由器的登录密码:Router#configureterminalRouter(config)#enablepasswordstar!表示输入的是明文形式的口令Router(config)#enablesecretstar!表示输入的是密文形式的口令10.1.3访问控制列表基础访问控制列表ACL技术是AccessControlList的简写,简单的说法便是数据包过滤。网络管理人员通过对网络互联设备的配置管理,来实施对网络中通过的数据包的过滤,从而实现对网络中的资源进行输入和输出的访问控制。配置在网络互联设备中的访问控制列表ACL实际上是一张规则检查表,这些表中包含了很多简单的指令规则,告诉交换机或者路由器设备,哪些数据包是可以接收,哪些数据包是需要拒绝。交换机或者路由器设备按照ACL中的指令顺序执行这些规则,处理每一个进入端口的数据包,实现对进入或者流出网络互联设备中的数据流过滤。通过在网络互联设备中灵活地增加访问控制列表,可以作为一种网络控制的有力工具,过滤流入和流出数据包,确保网络的安全,因此ACL也称为软件防火墙,如图10-1所示。根据访问控制标准的不同,ACL分多种类型,实现不同的网络安全访问控制权限。常见ACL有两类:标准访问控制列表(StandardIPACL)和扩展访问控制列表(ExtendedIPACL),在规则中使用不同的编号区别,其中标准访问控制列表的编号取值范围为1~99;扩展访问控制列表的编号取值范围为100~199。两种ACL的区别是,标准ACL只匹配、检查数据包中携带的源地址信息;扩展ACL不仅仅匹配检查数据包中源地址信息,还检查数据包的目的地址,以及检查数据包的特定协议类型、端口号等。扩展访问控制列表规则大大扩展了数据流的检查细节,为网络的访问提供了更多的访问控制功能。10.1.4标准访问控制列表基础标准访问控制列表(StandardIPACL)检查数据包的源地址信息,数据包在通过网络设备时,设备解析IP数据包中的源地址信息,对匹配成功的数据包采取拒绝或允许操作。在编制标准的访问控制列表规则时,使用编号1~99来区别同一设备上配置的不同标准访问控制列表条数。10.1.5扩展访问控制列表基础扩展型访问控制列表(ExtendedIPACL)在数据包的过滤和控制方面,增加了更多的精细度和灵活性,具有比标准的ACL更强大的数据包检查功能。扩展ACL不仅检查数据包源IP地址,还检查数据包中目的IP地址、源端口、目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。扩展ACL使用编号范围从100~199的值标识区别同一接口上多条列表。和标准ACL相比,扩展ACL也存在一些缺点:一是配置管理难度加大,考虑不周很容易限制正常的访问;其次是在没有硬件加速的情况下,扩展ACL会消耗路由器CPU资源。所以中低档路由器进行网络连接时,应尽量减少扩展ACL条数,以提高系统的工作效率。扩展访问控制列表的指令格式如下:Access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask[operatoroperand]其中:listnumber的标识范围为100~199;protocol是指定需要过滤的协议,如IP、TCP、UDP、ICMP等。Source是源地址;destination是目的地址;wildcard-mask是IP反掩码;operand是控制的源端口和目的端口号,默认为全部端口号0~65535。端口号可以使用数字或者助记符。operator是端口控制操作符“<”(小于)、“>”(大于)“=”(等于)以及“”(不等于)进行设置。10.2项目实施:使用路由器保护园区网络安全任务1:配置标准ACL访问规则,保护园区网络安全【任务描述】某学校校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,实施了访问控制列表安全技术,禁止学生宿舍网络访问教师所在网络。由于是禁止来自整个学生网络中计算机访问,按照规则,需要应用标准访问控制列表技术实施网络安全访问。【知识准备】ACL是应用于路由器接口上的指令列表,它读取三层和四层包头中的信息,根据预先定义好的规则对包进行过滤。当数据经过接口时将检查该接口是否应用了ACL,如果没有就对数据包进行正常处理。如果有,就检查是否同ACL上指定的任何一条规则匹配,注意,它是从上而下一条一条检查的,当检查到其中任何一条匹配后就按照规则的
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
对数据包进行处理,如果到最后都没有找到一条匹配的规则,将有一条隐含的拒绝将此数据包丢弃。常见的访问控制列表分标准和扩展两种,前者只针对源地址对包进行过滤,后者则可以根据源地址和目的地址,协议以及端口进行包过滤。标准的访问控制列表的表号为1~99,全局配置下的配置命令如下:access-list“表号”permit/deny“源地址”“源地址反码”接下来要将这个策略应用到接口上,进入接口模式:ipaccess-group“表号”in/out这里的“in”表示应用在接口的入站方向,“out”则表示应用在接口的出站方向,一般情况下应用在入站方向的效率要高于应用在出站方向的,因为在入站方向先检查接口上有没有应用ACL,而在出站方向则先检查路由表,指定端口信息,然后检查是否应用了ACL。【网络拓扑】如图10-3所示的网络拓扑,是某学校实施标准访问控制列表的安全技术,禁止学生宿舍网络访问教师办公网络的工作场景。【任务目标】学习标准ACL访问规则,实施园区网络隔离。【设备清单】路由器(1台)、计算机(>=3台)、双绞线(若干根)。【工作过程】步骤1:安装网络工作环境按图10-3中的网络拓扑,连接设备组建网络,注意设备连接的接口标识。步骤2:IP地址规划与设置根据园区网络中地址规划原则,规划表10-1中的地址信息。步骤3:配置路由器基本信息步骤4:网络测试(1)步骤5:配置路由器访问控制列表步骤6:网络测试(2)任务2:配置扩展ACL访问规则,保护园区网络安全【任务描述】某学校的校园网扩建后,实现了分散于各校区的网络之间的互联互通,满足了各校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。为了实现校园网络中不同区域网络之间信息共享,在教师所在的网络中搭建了一台FTP网络服务器,为学校提供教学资源共享。但是,由于没有实施部门网之间的安全策略,出现学生登录到教师网中的FTP网络服务器查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,实施了访问控制列表安全技术,允许学生宿舍网络访问教师所在网络,但需要禁止学生访问教师网中的FTP网络服务器。由于是禁止某项服务的访问,按照规则,需要实施扩展的访问控制列表技术,保障网络安全访问。【知识准备】访问控制列表简称为ACL,ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。上面提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。如果希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接和IP优先级等。编号范围是从100~199的访问控制列表,是扩展IP访问控制列表。【网络拓扑】如图10-4所示的网络拓扑是某学校学生网和教师办公网网络工作场景,要实现教师网和学生网之间的互相连通,但不允许学生网访问教师网中的FTP服务器,可以在路由器R2上做扩展ACL技术控制,以实现网络之间的隔离。图10-4扩展ACL保护教师网络中FTP服务器安全【任务目标】在路由器上配置扩展ACL,保护教师网络中FTP服务器的安全。【设备清单】路由器(2台);网络连线(若干根);测试计算机(>=2台)【工作过程】步骤1:安装网络工作环境按图10-4中的网络拓扑结构,安装和连接设备,注意设备连接的接口标识。步骤2:IP地址规划与设置根据园区网络中地址规划原则,规划表10-2中的地址信息。步骤3:配置路由器步骤4:网络测试(1)步骤5:配置网络FTP服务器步骤6:配置路由器扩展访问控制列表步骤7:网络测试(2)10.3保护园区网三层交换网络安全10.3.1三层交换安全基础随着Internet/Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应。因此,改进传统的路由技术迫在眉睫。在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术。基于这种技术的三层设备,如果称之为“路由器”,是因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;如果说它是“交换机”,是因为它的速度极快,几乎达到第二层交换的速度。10.3.2命名访问控制列表访问控制列表是应用在路由器接口指令列表,这些指令列表告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,由类似于源地址、目的地址、端口号、协议等特定条件来决定。通过灵活地增加访问控制列表,ACL可以当做一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。前面在配置访问控制列表的时候,都是用数字对访问控制列表进行命名。但是数字明显不能够反映这个访问控制列表的实际作用,时间长或者是前任网络管理员留下来的访问控制列表,光看101三个数字,无法知道到底实现了什么控制?所以在建立访问控制列表管理机制中,还提供一个命名访问控制列表技术。在标准与扩展访问控制列表中均要使用编号,而在命名访问控制列表中使用一个字母或数字组合的字符串,来代替数字,从而实现见名识意的效果。命名访问控制列表技术不仅可以形象地描述访问控制列表功能,而且还可以让网络管理员删除某个访问控制列表中不需要的语句,在使用过程中方便地修改。10.3.3标准命名访问控制列表所谓命名的IP访问控制列表是以字符串作为列表名,代替编号来定义IP访问控制列表。命名访问控制列表同样包括标准命名访问控制列表和扩展命名访问控制列表两种,定义过滤的语句的方式及规则和编号访问控制列表的方式相似。命名IP访问控制列表广泛地应用在园区网络的三层交换机上,而在路由器上应用命名IP访问控制列表技术,需要其OS较高的版本才能支持。以下是在交换机上实施命名IP访问控制列表的语法。10.3.4扩展命名访问控制列表扩展命名访问控制列表技术配置过程和编号扩展访问控制列表相似,定义过滤的语句的方式也和编号访问控制列表的方式相似。扩展命名IP访问控制列表同时也广泛地应用在三层交换机上,而在路由器上应用命名IP访问控制列表技术,需要其OS较高的版本才能支持。以下是在交换机上实施扩展命名IP访问控制列表的语法。Switch#configureSwitch(config)#ipaccess-listextendedtest2!定义命名扩展访问控制列表Switch(config-ext-nacl)#denyicmp20.1.1.00.0.0.25510.1.1.00.0.0.255Switch(config-ext-nacl)#permitipanyany!允许其他一切访问Switch(config-ext-nacl)#exitSwitch(config)# Switch(config)#intf0/0Switch(config-if)#ipaccess-grouptest2out!应用到接口F0/0项目实施:使用三层交换机保护园区网络安全任务1:使用标准命名ACL访问规则,保护园区网络安全【任务描述】某学校的校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,在校园网的三层交换机上实施标准命名ACL访问规则安全技术,实施了访问控制列表安全技术,禁止学生宿舍网络访问教师所在网络。由于是禁止来自整个学生网络中计算机访问,按照规则,需要实施标准命名访问控制列表技术,实施网络安全访问。【知识准备】标准命名ACL访问规则是应用于三层交换机上或路由器接口上的指令列表,它通过读取三层和四层中数据包,包头中的信息,根据预先定义好的规则对包进行过滤。在编号标准与扩展访问控制列表中,均要使用数字编号来区别不同列表内容,而在命名访问控制列表中,只需使用一个字母或数字组合的字符串,来代替编号ACL中所使用的数字,更加见名识意。使用标准命名访问控制列表,还可以随意删除某一条特定的控制条目,在使用过程中方便地进行修改。【网络拓扑】如图10-5所示的网络拓扑,是某学校实施标准命名ACL访问规则安全技术,禁止学生宿舍网络访问教师办公网络的工作场景。【任务目标】学习标准命名ACL访问规则,实施园区网络隔离。图10-5标准命名ACL访问规则禁止学生宿舍网络访问教师办公网【设备清单】三层交换机(1台)、计算机(>=3台)、双绞线(若干根)。【工作过程】步骤1:安装网络工作环境按图10-5所示的网络拓扑结构,安装和连接设备。步骤2:IP地址规划与设置根据园区网络中的地址规划原则,规划表10-3中的地址信息。步骤3:配置交换机基本信息步骤4:网络测试(1)步骤5:配置交换机标准命名访问控制列表信息步骤6:网络测试(2)任务2:使用扩展命名ACL规则,保护园区网络安全【任务描述】某学校的校园网扩建后,实现了分散于各校区的网络之间的互联互通,满足了各校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。为了实现校园网络中不同区域网络之间信息共享,在教师所在的网络中搭建了一台FTP网络服务器,为学校提供教学资源共享。但是,由于没有实施部门网之间的安全策略,出现学生登录到教师网中FTP网络服务器查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务,网络中心重新进行安全规划,在三层交换机上实施命名扩展访问控制列表安全技术,允许学生宿舍网络访问教师所在网络,但需要禁止学生访问教师网中FTP网络服务器。由于是禁止某项服务的访问,按照规则,需要实施扩展命名的访问控制列表技术,保障网络安全访问。【网络拓扑】如图10-6所示的网络拓扑,是某学校学生网和教师办公网网络工作场景,要实现教师网和学生网之间的互相连通,但不允许学生网访问教师网中的FTP服务器,可以在三层交换机上实施命名的扩展ACL技术控制,以实现网络之间的服务隔离。图10-6三层交换机上实施命名扩展ACL实现网络间服务隔离【任务目标】禁止学生访问FTP服务器,实施命名扩展ACL技术控制,以实现网络间服务隔离。【设备清单】三层交换机(2台)、计算机(>=3台)、双绞线(若干根)。【工作过程】步骤1:安装网络工作环境按图10-6中的网络拓扑结构,安装和连接设备。步骤2:IP地址规划与设置根据园区网络中的地址规划原则,规划表10-4中的地址信息。步骤3:配置三层交换机基本信息步骤4:配置网络FTP服务器步骤5:配置三层交换机扩展命名访问列表技术步骤6:网络测试(2)任务3:配置Vlan标准命名访问控制列表,保护园区网络安全【任务描述】某学校的校园网扩建后,实现了新、老校区的网络之间的互联互通,满足了新、老校区师生对校园网络信息化的需求,实现了对校园网络资源的共享。由于没有实施部门网之间的安全策略,出现学生登录到教师网查看试卷的情况。为了保证校园网的整体安全,保障校园网为广大师生员工提供有效的服务。网络中心重新进行安全规划,在校园网的三层交换机上实施标准命名ACL访问规则安全技术,学校需要将学生网与教师网隔离,学生网与办公网之间的网络仍然可以实现互联互通。【网络拓扑】如图10-9所示的网络拓扑,是某学校实施标准访问控制列表安全技术,禁止学生宿舍网络访问教师办公网络的工作场景。【任务目标】配置Vlan标准命名访问控制列表项目,学生网可以访问办公网,也不能访问教师网,以实现网络间服务隔离。【设备清单】三层交换机(1台)、计算机(>=3台)、双绞线(若干根)。【工作过程】步骤1:安装网络工作环境按图10-9中的网络拓扑结构,安装和连接设备。步骤2:IP地址规划与设置根据园区网络中的地址规划原则,规划表10-5中的地址信息。步骤3:配置交换机步骤4:网络测试
浙公网安备 33021202002483