第5网络安全技术.pptx
《第5网络安全技术.pptx》由会员分享,可在线阅读,更多相关《第5网络安全技术.pptx(70页珍藏版)》请在咨信网上搜索。
1、 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年,具备完整应用体系和物理架构。但在使用过程中,网络安全面临很多隐患,需要经行安全规划。新规划学院网络安全的实施整体规划,通过在交换机设备上增加访问控制列表技术,实现学院内部网络设备之间安全防范,并增加防火墙设备增加学院网络的整体安全建设规划。工程任务:保护园区网络安全组件一:网络攻击行为 保护园区网络安全组件二:管理设备控制台安全 组件三:交换机端口安全技术 组件四:访问控制列表安全技术 组件一:网络攻击行为 保护园区网络安全复杂程度复杂程度Internet飞速增长Internet EmailWeb
2、 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间第一代第一代 引导性病毒引导性病毒第二代第二代 宏病毒宏病毒 DOSDOS 电子邮件电子邮件 有限的黑有限的黑客攻击客攻击第三代第三代 网络网络DOSDOS攻击攻击 混合威胁混合威胁(蠕虫(蠕虫+病毒病毒+特特洛伊)洛伊)广泛的系广泛的系统黑客攻统黑客攻击击下一代下一代 网络基础网络基础设施黑客设施黑客攻击攻击 瞬间威胁瞬间威胁 大规模蠕大规模蠕虫虫 DDOSDDOS 破坏有效破坏有效负载的病负载的病毒和蠕虫毒和蠕虫波及全球网波及全球网络基础架构络基础架构地区网络地区网络多个网络多个网络单个网络单个网络单台计
3、算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化网络安全隐患 网络安全隐患是指借助计算机或其他通信设备,利用网络开放性和匿名性的特征,在进行网络交互操作时,进行的窃听、攻击或其它破坏行为,具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛,如自然火灾、意外事故、人为行为(如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。一般根据网络安全隐患源头可分为以下几类:(1)非人为或自然力造成的硬件故障、电源
4、故障、软件错误、火灾、水灾、风暴和工业事故等。(2)人为但属于操作人员无意的失误造成的数据丢失或损坏。(3)来自企业网外部和内部人员的恶意攻击和破坏。常见网络管理中存在的安全问题(1)机房安全。机房是网络设备运行的控制中心,经常发生的安全问题,如物理安全(火灾、雷击、盗贼等)、电气安全(停电、负载不均等)等情况。(2)病毒的侵入。Internet开拓性的发展,使病毒传播发展成为灾难。据美国国家计算机安全协会(NCSA)最近一项调查发现,几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。(3)黑客的攻击。得益于Internet的开放性和匿名性,也给Internet应用造成了很多漏
5、洞,从而给别有用心的人有可乘之机,来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。(4)管理不健全造成的安全漏洞。从网络安全的广义角度来看,网络安全不仅仅是技术问题,更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题,必须要有综合的解决方案。网络攻击行为 常见的攻击措施主要有:获取网络口令放置特洛伊木马程序 WWW欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 拒绝服务攻击 网络监听 寻找系统漏洞 利用账号进行攻击 偷取特权 手段多样的网络攻击:攻击不可避免攻击工具体系化攻击工具体系化网络进攻简单化 全球超过26
6、万黑客站点,提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理大量的攻击工具随手拾来大量的攻击工具随手拾来攻击工具更加“人性化”现有网络安全现有网络安全防御体制防御体制入侵检测系统IDS68%杀毒软件杀毒软件99%防火墙防火墙98%ACL71%现有网络安全体制VPNVPN 虚拟专用网虚拟专用网防火墙防火墙防火墙防火墙包过滤包过滤包过滤包过滤防病毒防病毒防病毒防病毒入侵检测入侵检测入侵检测入侵检测现有网络安全技术保护园区网络安全组件二:管理设备控制台安全 保护交换机控制台的安全措施保护交换机控制台的安全措施 对于大多数企业内部网来说,连接网络中各个节点的
7、互联设备,是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点,对这个接入点的破坏,直接造成整个网络瘫痪。设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示,80%的安全破坏事件都是由薄弱的口令引起的,因此为网络互联设备,配置一个恰当口令,是保护网络不受侵犯最根本保护 交换机控制台安全措施配置交换机的登陆密码配置交换机的登陆密码S2126G(config)#enable secret level 1 0 star “0”“0”表示输入的是明文形式的口令,表示输入的是明文形式的口令,1 1为分配等级为分配等级 配置交换机的特权密码配置交换机的特权密码S21
8、26G(config)#enable secret level 15 0 Star “0”“0”表示输入的是明文形式的口令,表示输入的是明文形式的口令,1 1为分配等级为分配等级等级等级1 1分配给特权模式分配给特权模式;等级等级1515分配给全局模式,等级分配给全局模式,等级2-142-14分配给不同的命令分配给不同的命令;配置TELNET方式管理交换机Switch(config)#interface vlan 1 !配置远程登录地址Switch(config-if)#no shutdownSwitch(config-if)#ip address 192.168.1.1 255.255.25
9、5.0Switch(config-if)#end路由器控制台安全措施 保护路由器控制台的安全措施 配置路由器控制台密码Router(config)#line concole 0Router(config-line)#loginRouter(config-line)#password star 配置路由器的特权登录密码:Router(config)#enable password starRouter(config)#enable secret star “password”表示输入的是明文形式的口令,表示输入的是明文形式的口令,“secret”为密文形式的口令,密文有最高优先级别。为密文形式的
10、口令,密文有最高优先级别。保护路由器远程登陆登录的安全措施 Router#configure terminalRouter(config)#line VTY 0 4Router(config-line)#loginRouter(config-line)#password star 保护园区网络安全组件三:交换机端口安全技术 FF.FF.FF.FF.FF.FF广播广播MAC地址地址 00.d0.f8.00.07.3c前前3个字节:个字节:IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个字节:网个字节:网络设备制造厂商络设备制造厂商自行分配的,不自行分配的,不重复,生产时写重复,生
11、产时写入设备入设备MAC地址:链路层唯一标识地址:链路层唯一标识接入交换机接入交换机MAC Port A 1 B 2 C 3 MAC地址表:空间有限地址表:空间有限MAC攻击攻击:攻击:MAC地址表空间是有限,地址表空间是有限,MAC攻击会占满交换机地址表攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包使得单播包在交换机内部也变成广播包,向所有端口转发,向所有端口转发,每个连在端口上客户端都可以收到该报文每个连在端口上客户端都可以收到该报文;交换机变成了一个交换机变成了一个Hub,用户的信息传输也没有安全保障,用户的信息传输也没有安全保障了了MAC攻击交换机端口安全功能交换机的端口安
12、全功能,防止网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数 ,控制恶意扩展接入例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。交换机端口安全内容 安全端口收到不属于端口上安全地址包时,一个安全违一个安全违例将产生。例将产生。当安全违例产生时,可以选择多种方式来处理违例:Protect:安全端口将丢弃未知名地址的包(不是该端口的安全
13、地址中的任何一个)。RestrictTrap:当违例产生时,将发送一个Trap通知,等候处理。Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。端口安全配置示例 配置fa1/3端口安全功能,设置最大地址个数为8,违例方式为protect。Switch(config)#interface fa1/3 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security vio
14、lation protect 端口安全配置示例 配置fa0/3安全功能,绑定MAC为00d0.f800.073c,IP为192.168.12.202Switch(config)#interface fa 0/3 Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202验证命令 查看接口安全信息Switch#show port-security Secure Port MaxSec
15、ureAddr(count)CurrentAddr(count)Security Action -fa0/3 8 1 Protect实习项目:实习项目:配置交换机端口安全配置交换机端口安全【工作任务】如图所示,模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突,防止学院内部的网络攻击行为,学院领导要求网络中心的管理员,为学院中每一台电脑分配固定IP地址(如为某位老师分配的IP地址是172.16.1.55/24,该主机的MAC地 址 是 00-06-1B-DE-13-B4),并限制只允许学院内部的员工才可以使用网络,并不得随意连接其他主机。【项目设备】交换机(1台),PC
16、(1台)、网线(1条)【实施过程】Switch#configure terminalSwitch(config)#interface range fa0/1-23 Switch(config-if-range)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdownSwitch(config)#interface fa 0/3 Switch(config-if)#switc
17、hport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202保护园区网络安全组件四:访问控制列表安全技术 ISP1、什么是访问列表 ACL(Access Control List)对经过设备的数据包,根据一定的规则,进行数据包的过滤。FTP2、为什么要使用访问列表提供网络安全控制的基本手段过滤数据流限制网络访问流量,从而提高网络性能RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2
18、126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒2、为什么要使用访问列表3、访问列表的组成 定义访问列表的步骤第一步:定义规则(哪些数据允许通过,哪些不允许)第二步:将规则应用在设备接口上 访问控制列表的分类:1、标准2、扩展3、命名(标准扩展)访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制:1.入栈应用(in)2.出栈应用(out)5、ACL的基本准则 一切未被允许的就是禁止的。路由器缺省允许所有的信息流通过
19、;防火墙缺省封锁所有的信息流,对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 6、一个访问列表多个测试条件 标准访问列表 根据数据包源IP地址进行规则定义,编号为1-99 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则
20、定义,编号为100-1997、ACL分类 标准访问列表 只根据源IP地址,进行数据包的过滤。学生网段学生网段学生网段学生网段校领导网段校领导网段校领导网段校领导网段教研网段教研网段教研网段教研网段8、标准列表规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表(2)1、定义标准ACLRouter(config)#access-list permit|deny 源地址 反掩码2、应用ACL到接口Router(config-if)#ip access-group|name in|out 0表示检查相应的地址比特 1表示不检查相应的地址比特001111
21、11128643216842100000000000011111111110011111111 反掩码(通配符)通配符掩码是一个32比特位。其中0表示“检查相应的位”,1表示“不检查相应的位”。在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。在通配符掩码用255.255.255.255表示所有IP地址,全为1说明所有32位都不检查,这是可以用any来取代。0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。acces
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 技术
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。