【正文】 config terminal Switch(config) interface interfaceid Switch(configif) ip accessgroup {accesslistnumber | name} {in | out} Switch end Switch show runningconfig Switch copy runningconfig startupconfig 2022/7/13 信息技術(shù)研究所 110 將 IP訪問列表應(yīng)用到指定的接口 訪問控制列表使用示例 部門一因常有非本公司人員接入，其所在網(wǎng)段不被允許訪問公司文件服務(wù)器 2022/7/13 信息技術(shù)研究所 111 F0 F1 F2 FTP服務(wù)器 部門一 RouterA 示例配置 RouterA(config)accesslist 101 deny tcp eq ftp RouterA (config) accesslist 101 permit ip any any RouterA (config) show accesslist 101 RouterA(config) int f0 RouterA(configif) ip accessgroup 101 in RouterA(configif) end 2022/7/13 信息技術(shù)研究所 112 防止 Smurf攻擊 (一 ) 通過在路由器上使用輸出過濾，就可以濾掉源欺騙的 IP數(shù)據(jù)包，從而阻止從網(wǎng)絡(luò)中發(fā)起的 Smurf攻擊。在路由器上增加這類過濾規(guī)則的命令如下： accesslist aclid permit IP {workid} {mask} any accesslist aclid deny IP any any 在局域網(wǎng)的邊界路由器上使用這一訪問列表的過濾規(guī)則，可以阻止內(nèi)網(wǎng)上的任何人向外網(wǎng)發(fā)送這種源欺騙的 IP數(shù)據(jù)包。 2022/7/13 信息技術(shù)研究所 113 防止 Smurf攻擊 (二 ) ? 讓路由器對具有相反路徑的 ICMP欺騙數(shù)據(jù)包進(jìn)行校驗(yàn)，丟棄那些沒有路徑存在的包。運(yùn)行 Cisco快速轉(zhuǎn)發(fā)（ Cisco Express Forwarding ， CEF）。在路由器的 CEF表中，列出了該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)，如果沒有該數(shù)據(jù)包源 IP地址的路由，路由器將丟棄該數(shù)據(jù)包。 Router(configt)ip cef Router(configt)interface e0 Router(configif) ip verify unicast reversepath 101 Router(configt)accesslist 101 permit ip any any log 2022/7/13 信息技術(shù)研究所 114 拒絕 DDoS攻擊 黑客通過 DDoS攻擊程序發(fā)起 DDoS攻擊。經(jīng)日志分析，可以找到 DDoS攻擊的端口。通過限制該端口的使用達(dá)到防范 DoS攻擊的效果。 防 Trinoo DDos Router(config)accesslist 130 deny tcp any any eq 27665 Router(config) accesslist 130 deny udp any any eq 31335 Router(config) accesslist 130 deny udp any any eq 27444 Stacheldtraht DDos tcp:16660 tcp:65000 2022/7/13 信息技術(shù)研究所 115 拒絕 DDoS攻擊 Stacheldtraht DDos tcp:16660 tcp:65000 TrinityV3 DDos tcp:33270 tcp:39168 SubSeven DDos 及變種 tcp:6711 tcp:6712 tcp:6776 tcp:6669 tcp:2222 tcp:7000 2022/7/13 信息技術(shù)研究所 116 控制 VTY訪問 例子：只允許主機(jī) Router(config) accesslist 10 permit Router(config) line vty 0 4 Router(configline) accessclass 10 in 2022/7/13 信息技術(shù)研究所 117 限制用戶網(wǎng)絡(luò)應(yīng)用 借助于訪問時(shí)間列表，可以控制用戶在某個(gè)時(shí)間段對訪問的訪問權(quán)限。 ? timerange denyqq ? periodic weekdays 8:00 to 18:00 ? ip accesslist extended qqlimit ? deny tcp any eq 1863 timerange denyqq ? deny tcp any eq 8000 timerange denyqq ? deny tcp any eq 1080 timerange denyqq ? deny udp any eq 8000 timerange denyqq ? deny udp any eq 4000 timerange denyqq ? deny udp any eq 1080 timerange denyqq ? permit ip any any 2022/7/13 信息技術(shù)研究所 118 定義時(shí)間范圍名稱為 denyqq 時(shí)間范圍為周一至周五的8:00~18:00 定義擴(kuò)展 IP訪問列表，名稱為qq_limit 定義 和 MSN聊天使用的協(xié)議和端口號 其余訪問不予限制 允許網(wǎng)絡(luò)應(yīng)用的啟用 允許特定的時(shí)間內(nèi)對某一端口的訪問 ? int fa0/0 ? ip accessgroup 101 in ? accesslist 101 permit tcp any any eq tel timerange tel ? timerange tel ? periodic weekdays 8:00 to 18:00 2022/7/13 信息技術(shù)研究所 119 將 IP訪問列表 101應(yīng)用至該端口 設(shè)置 IP訪問列表 101 設(shè)置時(shí)間訪問列表 tel 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) NAT主要作用是改變傳出包的源地址和出入包的目的地址，以實(shí)現(xiàn)局部地址和全局地址的轉(zhuǎn)換過程。 ? Inside Local IP address:指定于內(nèi)部網(wǎng)絡(luò)的主機(jī)地址，全局唯一，但為私有地址。 ? Inside Global IP address:代表一個(gè)或更多內(nèi)部 IP到外部的合法IP。 ? Outside Global IP address:外部網(wǎng)絡(luò)主機(jī)的合法 IP。 ? Outside Local IP address:外部網(wǎng)絡(luò)的主機(jī)地址 ? Simple Translation Entry:映射 IP到另一個(gè)地址的 Entry。 ? Extended Translation Entry:映射 IP地址和端口到另一個(gè) pair的Entry。 2022/7/13 信息技術(shù)研究所 120 NAT工作方式 NAT可以在很多設(shè)備上實(shí)現(xiàn)，如防火墻、路由器、服務(wù)器主機(jī)等。這些設(shè)備應(yīng)該是本地網(wǎng)絡(luò)和 Inter網(wǎng)絡(luò)的邊界。 NAT的工作方式： ? 靜態(tài) NAT:將私網(wǎng)地址和公網(wǎng)地址做一對一映射。如內(nèi)網(wǎng)中希望被外網(wǎng)訪問的服務(wù)器，可配臵靜態(tài) NAT。 ? 動(dòng)態(tài) NAT:將私網(wǎng)地址和公共地址池中的某個(gè) IP地址做映射，在映射關(guān)系建立后，也是一對一映射，但公網(wǎng) IP地址不確定。 ? Overloading方式 (PAT):將多個(gè)私網(wǎng) IP映射到一個(gè)公網(wǎng) IP地址的不同端口號下。 ? Overlapping:內(nèi)網(wǎng) IP和外網(wǎng)地址有重疊。需要路由器維護(hù)一個(gè)表，以便實(shí)現(xiàn)正確的地址翻譯。 2022/7/13 信息技術(shù)研究所 121 配置靜態(tài) NAT ? 在內(nèi)部本地地址和內(nèi)部合法地址之間建立靜態(tài)映射： Router(config)ip nat inside source static insidelocalip insideglobalip 例： Router(config)interface fa0/0 內(nèi)部接口 Router(configif) ip address Router(configif) ip nat inside Router(config)interface s0/0 外部接口 Router(configif) ip address Router(configif) ip nat outside Router(config)ip nat inside source static 2022/7/13 信息技術(shù)研究所 122 配置動(dòng)態(tài) NAT ? 創(chuàng)建標(biāo)準(zhǔn)訪問列表來定義可以被轉(zhuǎn)換的地址： Router(config)accesslist 1 permit ? 創(chuàng)建內(nèi)部全局 IP地址池： Router(config)ip nat pool 200 mask ? 映射訪問控制列表到地址池： Router(config)ip nat inside source list 1 pool 200 ? 指定分別連接網(wǎng)絡(luò)內(nèi)外部的接口： Router(config)interface fa0/0 Router(configif) ip nat inside Router(config)interface fa0/1 Router(configif) ip nat outside 2022/7/13 信息技術(shù)研究所 123 重載內(nèi)部全局地址－ PAT技術(shù) ? 創(chuàng)建標(biāo)準(zhǔn)訪問列表來定義可以被轉(zhuǎn)換的地址： Router(config)accesslist 1 permit ? 定義 PAT： Router(config)ip nat inside source list 1 interface fa0/1 overload ? 指定分別連接網(wǎng)絡(luò)內(nèi)外部的接口： Router(config)interface fa0/0 Router(configif) ip nat inside Router(config)interface fa0/1 Router(configif) ip nat outside 2022/7/13 信息技術(shù)研究所 124 在接口上禁用 ICMP消息 防止 ICMPflooging攻擊 ? Router(configt)int e0 ? Router(configif)no ip redirects ? Router(configif)no ip directedbroadcast ? Router(configif)no ip proxyarp ? Router(configif)no ip maskreply 2022/7/13 信息技術(shù)研究所 125 配置日志記錄 啟用日志記錄 Router(config)logging on 啟用到日志服務(wù)器的日志記錄 Router(config)logging logserveripaddress 設(shè)臵日志記錄等級： Router(config)logging {console|monitor|buffered|trap} 發(fā)送日志到日志服務(wù)器： Router(config)debug ip packet 2022/7/13 信息技術(shù)研究所 126 目錄 ? 第一部分：主機(jī)操作系統(tǒng)安全 ? 第二部分：網(wǎng)絡(luò)設(shè)備的安全配臵 ? 第三部分：構(gòu)建在線安全體系 2022/7/13 信息技術(shù)研究所 127 構(gòu)建在線安全體系 網(wǎng)絡(luò)安全防護(hù) ? 在由主機(jī)和網(wǎng)絡(luò)設(shè)備組成的網(wǎng)絡(luò)中，根據(jù)既定業(yè)務(wù)的 安全策略 ，利用主機(jī)和網(wǎng)絡(luò)設(shè)備自身的安全防護(hù)措施，結(jié)合專用安防設(shè)備，制定和建立網(wǎng)絡(luò)信息 安全機(jī)制 。 ? 構(gòu)建在線安全體系應(yīng)考慮網(wǎng)絡(luò)的分層，業(yè)務(wù)特定，管理需求等諸多方面的因素。 2022/7/13 信息技術(shù)研究所 128 安全體系模型 2022/7/13 信息技術(shù)研究所 129 系統(tǒng)安全 應(yīng)用安全 管理安全 物理安全 傳輸安全 網(wǎng)絡(luò)互聯(lián)安全 安全體系模型 2022/7/13 信息技術(shù)研究所 130 系統(tǒng)安全 應(yīng)用安全 管理安全 物理安全 傳輸安全 網(wǎng)絡(luò)互聯(lián)安全 地震、火災(zāi)、設(shè)備損壞、電源故障、被盜 安全體系模型 2022/7/13 信息技術(shù)研究所 131 系統(tǒng)安全 應(yīng)用安全 管理安全 物理安全 傳輸安全 網(wǎng)絡(luò)互聯(lián)安全