網(wǎng)絡(luò)工程案例綜合實(shí)戰(zhàn)訓(xùn)練營(yíng)-網(wǎng)絡(luò)安全控制.ppt

1、網(wǎng)絡(luò)安全控制,本章內(nèi)容,ACL ARP檢查 DHCP監(jiān)聽(tīng) DAI,課程議題,ACL提供網(wǎng)絡(luò)安全,ACL概述,什么是ACL ACL是對(duì)經(jīng)過(guò)路由器與交換機(jī)的數(shù)據(jù)進(jìn)行過(guò)濾的一種強(qiáng)大的訪問(wèn)控制工具 ACL的作用 拒絕、允許特定的數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備 防止攻擊 訪問(wèn)控制 節(jié)省帶寬 對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí)，以用于其它目的 路由過(guò)濾 QoS Route-map ,ACL的分類,根據(jù)過(guò)濾層次 基于IP的ACL（IP ACL） 基于MAC的ACL（MAC ACL） 專家ACL（Expert ACL） 根據(jù)過(guò)濾字段（元素） 標(biāo)準(zhǔn)ACL（標(biāo)準(zhǔn)IP ACL） 擴(kuò)展ACL（擴(kuò)展IP ACL、MAC

2、 ACL、專家ACL） 根據(jù)命名規(guī)則 編號(hào)ACL 名稱ACL,ACL的工作機(jī)制,ACL的工作機(jī)制 由一組訪問(wèn)控制規(guī)則組成（ACL規(guī)則） 網(wǎng)絡(luò)設(shè)備根據(jù)ACL規(guī)則檢查收到或發(fā)送的報(bào)文，并采取相應(yīng)操作 ACL規(guī)則匹配順序 從上至下 當(dāng)報(bào)文匹配某條規(guī)則后，將執(zhí)行操作，跳出匹配過(guò)程 任何ACL的默認(rèn)操作是“拒絕所有”,ACL的應(yīng)用,定義ACL 定義ACL規(guī)則 將ACL應(yīng)用到網(wǎng)絡(luò)設(shè)備的接口 ACL的應(yīng)用規(guī)則 接口的一個(gè)方向只能應(yīng)用一個(gè)ACL In方向：對(duì)接口收到的數(shù)據(jù)進(jìn)行檢查 Out方向：對(duì)從接口發(fā)送出去的數(shù)據(jù)進(jìn)行檢查 ACL不對(duì)本地生成的外出的數(shù)據(jù)進(jìn)行檢查！,標(biāo)準(zhǔn)IP ACL,編號(hào)規(guī)則 199和1300

3、1399 過(guò)濾元素 僅源IP地址信息 用于簡(jiǎn)單的訪問(wèn)控制、路由過(guò)濾等,配置標(biāo)準(zhǔn)IP ACL,配置ACL規(guī)則,access-list access-list-number permit | deny any | source source-wildcard time-range time-range-name ,Router(config)#,應(yīng)用ACL,ip access-group access-list-number in | out ,Router(config-if)#,in表示應(yīng)用到接口的入方向，對(duì)收到的報(bào)文進(jìn)行檢查 out表示應(yīng)用到接口的外出方向，對(duì)發(fā)送的報(bào)文進(jìn)行檢查,標(biāo)準(zhǔn)IP A

4、CL配置示例,要求網(wǎng)段的主機(jī)不可以訪問(wèn)服務(wù)器，其它主機(jī)訪問(wèn)服務(wù)器不受限制。,擴(kuò)展IP ACL,編號(hào)規(guī)則 100199和20002699 過(guò)濾元素 源IP地址、目的IP地址、協(xié)議、源端口、目的端口 用于高級(jí)的、精確的訪問(wèn)控制,配置擴(kuò)展IP ACL,配置ACL規(guī)則,access-list access-list-number deny | permit protocol any | source source-wildcard operator port any | destination destination-wildcard ope

5、rator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ,Router(config)#,應(yīng)用ACL,ip access-group access-list-number in | out ,Router(config-if)#,擴(kuò)展IP ACL配置示例,為公司的文件服務(wù)器，要求網(wǎng)段中的主機(jī)能夠訪問(wèn)中的FTP服務(wù)和WEB服務(wù)，而對(duì)服務(wù)器的其它服務(wù)禁止訪問(wèn)。,名稱IP ACL,配置標(biāo)準(zhǔn)名稱ACL,ip access-li

6、st standard name | access-list-number ,Router(config)#,應(yīng)用ACL,ip access-group access-list-number in | out ,Router(config-if)#,配置ACL規(guī)則, permit | deny any | source source-wildcard time-range time-range-name ,Router(config-std-nacl)#,名稱IP ACL（續(xù)）,配置擴(kuò)展名稱ACL,ip access-list extended name | access-list-numbe

7、r ,Router(config)#,應(yīng)用名稱ACL,ip access-group name in | out ,Router(config-if)#,配置ACL規(guī)則, permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment ,Router(config-ext-nacl)#,名稱IP ACL配置示例,基于MAC的ACL,

8、標(biāo)識(shí)方式 編號(hào)：700799 名稱 過(guò)濾元素 源MAC地址、目的MAC地址、以太網(wǎng)類型,配置MAC ACL,配置MAC ACL,mac access-list extended name | access-list-number ,Switch(config)#,應(yīng)用MAC ACL,mac access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL規(guī)則, permit | deny any | host source-mac-address any | host destination-mac-addres

9、s ethernet-type time-range time-range-name ,Switch(config-mac-nacl)#,MAC ACL配置示例,只允許財(cái)務(wù)部的主機(jī)（000a-000a-000a）能夠訪問(wèn)財(cái)務(wù)服務(wù)器（000d-000d-000d） 。,MAC ACL配置示例,專家ACL,標(biāo)識(shí)方式 編號(hào)：27002899 名稱 過(guò)濾元素 源MAC地址、目的MAC地址、以太網(wǎng)類型、源IP地址、目的IP地址、協(xié)議、源端口、目的端口 用于復(fù)雜的、高級(jí)的訪問(wèn)控制,配置專家ACL,配置專家ACL,expert access-list extended name | access-list-

10、number ,Switch(config)#,應(yīng)用MAC ACL,expert access-group name | access-list-number in | out ,Switch(config-if)#,配置ACL規(guī)則, permit | deny protocol | ethernet-type VID vid any | source source-wildcard host source-mac-address | any operator port any | destination destination-wildcard host destination-mac-ad

11、dress | any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ,Switch(config-exp-nacl)#,專家ACL配置示例,只允許財(cái)務(wù)部的主機(jī)（000a-000a-000a）能夠訪問(wèn)財(cái)務(wù)服務(wù)器（000d-000d-000d）的TCP 5555端口 。,專家ACL配置示例,基于時(shí)間的ACL,基于時(shí)間的ACL 對(duì)于不同的時(shí)間段實(shí)施不同的訪問(wèn)控制規(guī)則 在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段 任何類型的ACL都可以應(yīng)用時(shí)間段 時(shí)間段 絕對(duì)時(shí)間段（absolut

12、e） 周期時(shí)間段（periodic） 混合時(shí)間段,配置時(shí)間段,配置時(shí)間段,time-range time-range-name,Router(config)#,配置絕對(duì)時(shí)間,absolute start time date end time date | end time date ,Router(config-time-range)#,start time date：表示時(shí)間段的起始時(shí)間。time表示時(shí)間，格式為“hh:mm”。date表示日期，格式為“日 月 年” end time date：表示時(shí)間段的結(jié)束時(shí)間，格式與起始時(shí)間相同 示例：absolute start 08:00 1 Ja

13、n 2007 end 10:00 1 Feb 2008,配置時(shí)間段（續(xù)）,配置周期時(shí)間,periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm,Router(config-time-range)#,day-of-the-week：表示一個(gè)星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sunday hh:mm：表示時(shí)間 weekdays：表示周一到周五 weeken

14、d：表示周六到周日 daily：表示一周中的每一天 示例：periodic weekdays 09:00 to 18:00,配置時(shí)間段（續(xù)）,應(yīng)用時(shí)間段 在ACL規(guī)則中使用time-range參數(shù)引用時(shí)間段 只有配置了time-range的規(guī)則才會(huì)在指定的時(shí)間段內(nèi)生效，其它未引用時(shí)間段的規(guī)則將不受影響 確保設(shè)備的系統(tǒng)時(shí)間的正確！,基于時(shí)間的ACL配置示例,在上班時(shí)間（9：0018：00）不允許員工的主機(jī)（/24）訪問(wèn)Internet，下班時(shí)間可以訪問(wèn)Internet上的Web服務(wù)。,ACL的修改和維護(hù),傳統(tǒng)編號(hào)ACL的修改問(wèn)題 新規(guī)則添加到ACL的末尾 刪除所有ACL規(guī)則重

15、新編寫 導(dǎo)出配置文件進(jìn)行修改 將ACL規(guī)則復(fù)制到編輯工具進(jìn)行修改 ACL配置模式 使用ip access-list命令進(jìn)入ACL配置模式 可以刪除特定的ACL規(guī)則 在任意位置插入新的ACL規(guī)則,添加和刪除ACL規(guī)則,添加ACL規(guī)則,sequence-number permit | deny ,Router(config-ext-nacl)#,sequence-number ：規(guī)則在ACL中的序號(hào)，即排序的位置 默認(rèn)根據(jù)序號(hào)從小到大進(jìn)行排序,刪除ACL規(guī)則,no sequence-number,Router(config-ext-nacl)#,添加ACL規(guī)則配置示例,刪除ACL規(guī)則配置示例,AC

16、L規(guī)則的重編號(hào),ip access-list resequence name | access-list-number starting-sequence-number increment-number,Router(config)#,starting-sequence-number：ACL規(guī)則的起始序號(hào)值，默認(rèn)為10 increment-number：ACL規(guī)則的遞增序號(hào)值，默認(rèn)為10,mac access-list resequence name | access-list-number starting-sequence-number increment-number,expert ac

17、cess-list resequence name | access-list-number starting-sequence-number increment-number,ACL規(guī)則重編號(hào)配置示例,查看ACL信息,show running-config,Router#,show access-lists name | access-list-number ,查看ACL配置信息,查看ACL配置信息示例,查看ACL信息（續(xù)）,show access-group interface interface ,Router#,查看所有ACL的應(yīng)用信息,show ip access-group int

18、erface interface ,Router#,查看IP ACL的應(yīng)用信息,show mac access-group interface interface ,Router#,查看MAC ACL的應(yīng)用信息,show expert access-group interface interface ,Router#,查看專家ACL的應(yīng)用信息,查看ACL信息示例,課程議題,ARP檢查,ARP協(xié)議,ARP的作用 將IP地址映射到MAC地址,ARP欺騙攻擊,ARP的弱點(diǎn) ARP無(wú)驗(yàn)證機(jī)制，請(qǐng)求者不能判斷收到的ARP應(yīng)答是否合法,ARP中間人攻擊,ARP中間人攻擊 攻擊者不但偽造網(wǎng)關(guān)，而且進(jìn)行數(shù)據(jù)重

19、定向,ARP檢查,ARP檢查的作用 防止ARP欺騙 基于端口安全 檢查ARP報(bào)文中的IP地址是否合法，若不合法，則丟棄報(bào)文,配置ARP檢查,手工恢復(fù)端口狀態(tài),port-security arp-check,Switch(config)#,啟用端口安全,switchport port-security,Switch(config-if)#,默認(rèn)情況下，關(guān)閉ARP檢查功能,配置安全I(xiàn)P地址,switchport port-security mac-address mac-address ip-address ip-address,Switch(config-if)#,這里配置的ip-address

20、為端口所接入設(shè)備的真實(shí)IP地址,ARP檢查配置示例,查看ARP檢查狀態(tài),查看ARP檢查狀態(tài),show port-security arp-check,Switch#,查看ARP檢查示例,課程議題,DHCP監(jiān)聽(tīng),DHCP攻擊,DHCP的弱點(diǎn) DHCP無(wú)驗(yàn)證機(jī)制 DHCP攻擊 攻擊者使用偽DHCP服務(wù)器為網(wǎng)絡(luò)分配地址 攻擊者可以發(fā)動(dòng)一個(gè)DHCP DoS攻擊,DHCP攻擊（續(xù)）,DHCP Snooping,DHCP Snooping的作用 過(guò)濾偽（非法）DHCP服務(wù)器發(fā)送的DHCP報(bào)文 DHCP Snooping的工作機(jī)制 信任（Trust）端口 允許所有DHCP報(bào)文通過(guò) 非信任（Untrust）端

21、口 只允許DHCP Discovery、DHCP Request報(bào)文通過(guò)，過(guò)濾DHCP Offer報(bào)文 建立DHCP監(jiān)聽(tīng)數(shù)據(jù)庫(kù) 包含客戶端的IP地址、MAC地址、連接的端口、VLAN號(hào)、地址租用期限等信息,DHCP Snooping的部署,信任（Trust）端口 用于連接合法的DHCP服務(wù)器和上行鏈路端口 非信任（Untrust）端口 用于連接DHCP客戶端和其它接入端口,配置DHCP Snooping,啟用DHCP Snooping,ip dhcp snooping,Switch(config)#,配置端口為信任端口,ip dhcp snooping trust,Switch(config-

22、if)#,默認(rèn)情況下，關(guān)閉DHCP Snooping,默認(rèn)情況下，所有端口都為Untrust端口,配置DHCP Snooping（續(xù)）,手工配置DHCP Snooping表項(xiàng),ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface,Switch(config)#,將DHCP Snooping數(shù)據(jù)庫(kù)寫入到Flash文件,ip dhcp snooping database write-to-flash,Switch(config)#,默認(rèn)情況下，關(guān)閉DHCP Snooping,DHCP監(jiān)

23、聽(tīng)數(shù)據(jù)庫(kù)的信息是動(dòng)態(tài)的，通過(guò)寫入Flash，可以避免由于系統(tǒng)的重新啟動(dòng)導(dǎo)致數(shù)據(jù)庫(kù)中的信息丟失,配置DHCP Snooping（續(xù)）,配置自動(dòng)寫入DHCP Snooping綁定信息,ip dhcp snooping database write-delay seconds,Switch(config)#,配置驗(yàn)證Untrust端口檢查DHCP報(bào)文的源MAC地址,ip dhcp snooping verify mac-address,Switch(config)#,默認(rèn)情況下，不檢查DHCP報(bào)文的源MAC地址 可以避免攻擊者發(fā)送偽造源MAC地址的DHCP報(bào)文，導(dǎo)致DHCP DoS攻擊,DHCP S

24、nooping配置示例,查看DHCP Snooping狀態(tài),查看DHCP Snooping配置信息,show ip dhcp snooping,Switch#,查看DHCP Snooping數(shù)據(jù)庫(kù)信息,show ip dhcp snooping binding,Switch#,此信息將顯示動(dòng)態(tài)與靜態(tài)的綁定表項(xiàng) 只有Untrust端口才會(huì)存在綁定表項(xiàng),清除DHCP Snooping數(shù)據(jù)庫(kù),clear ip dhcp snooping binding,Switch#,靜態(tài)的綁定表項(xiàng)不會(huì)被刪除,查看DHCP Snooping狀態(tài)示例,課程議題,DAI,DAI概述,DAI（Dynamic ARP Inspection） 與ARP檢查一樣，用于防止ARP欺騙 ARP檢查需要靜態(tài)配置安全地址 不適用于動(dòng)態(tài)IP地址環(huán)境 不適用與移動(dòng)環(huán)境 DAI依賴于DHCP Snooping數(shù)據(jù)庫(kù) 要使用DAI，需要部署DHCP環(huán)境 DAI Trust端口 不檢查ARP報(bào)文 DAI Untrust端口 檢查所有收到的ARP報(bào)文,DAI部署,Trust端口 連接交換機(jī)間的上行鏈路