【文档说明】网络工程案例综合实战训练营-网络安全控制.pptx，共(67)页，1.535 MB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-292300.html

以下为本文档部分文字说明：

网络安全控制本章内容▪ACL▪ARP检查▪DHCP监听▪DAI课程议题ACL提供网络安全ACL概述➢什么是ACL➢ACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具➢ACL的作用➢拒绝、允许特定的数据流通过网络设备➢防止攻击➢访问控制➢节省带宽➢…➢对特定的数据流、报文、路由条目

等进行匹配和标识，以用于其它目的➢路由过滤➢QoS➢Route-map➢…ACL的分类➢根据过滤层次➢基于IP的ACL（IPACL）➢基于MAC的ACL（MACACL）➢专家ACL（ExpertACL）➢根据过滤字段（元素）➢标准ACL（标准IPACL）➢扩展ACL（扩展IPACL、MACACL

、专家ACL）➢根据命名规则➢编号ACL➢名称ACLACL的工作机制➢ACL的工作机制➢由一组访问控制规则组成（ACL规则）➢网络设备根据ACL规则检查收到或发送的报文，并采取相应操作➢ACL规则匹配顺序➢从上至下➢当报文匹配某

条规则后，将执行操作，跳出匹配过程➢任何ACL的默认操作是“拒绝所有”ACL的应用➢定义ACL➢定义ACL规则➢将ACL应用到网络设备的接口➢ACL的应用规则➢接口的一个方向只能应用一个ACL➢In方向：对接口收到的数据进

行检查➢Out方向：对从接口发送出去的数据进行检查➢ACL不对本地生成的外出的数据进行检查！标准IPACL➢编号规则➢1~99和1300~1399➢过滤元素➢仅源IP地址信息➢用于简单的访问控制、路由过滤等配置标准IPACL➢配置ACL规则access-listacc

ess-list-number{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config)#➢应用A

CLipaccess-groupaccess-list-number{in|out}Router(config-if)#➢in表示应用到接口的入方向，对收到的报文进行检查➢out表示应用到接口的外出方向，对发送的报文进行检查标准IPACL配置示例要求172.16.1.0网段的主机

不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。扩展IPACL➢编号规则➢100~199和2000~2699➢过滤元素➢源IP地址、目的IP地址、协议、源端口、目的端口➢用于高级的、精确的访问控制配置扩展IPACL➢配置ACL规则ac

cess-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][preceden

ceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Router(config)#➢应用ACLipaccess-groupaccess-lis

t-number{in|out}Router(config-if)#扩展IPACL配置示例172.17.1.1为公司的文件服务器，要求网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服

务和WEB服务，而对服务器的其它服务禁止访问。名称IPACL➢配置标准名称ACLipaccess-liststandard{name|access-list-number}Router(config)#➢应用ACLipaccess-groupaccess-list-number{in|out

}Router(config-if)#➢配置ACL规则{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config-std-nacl)#名称IPACL（续）➢配置扩展名称

ACLipaccess-listextended{name|access-list-number}Router(config)#➢应用名称ACLipaccess-groupname{in|out}Router(config-if)#➢配置ACL规则{permit|deny}protoco

l{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][f

ragment]Router(config-ext-nacl)#名称IPACL配置示例基于MAC的ACL➢标识方式➢编号：700~799➢名称➢过滤元素➢源MAC地址、目的MAC地址、以太网类型配置MACACL➢配置MACACLmacacce

ss-listextended{name|access-list-number}Switch(config)#➢应用MACACLmacaccess-group{name|access-list-number}{in|ou

t}Switch(config-if)#➢配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-nam

e]Switch(config-mac-nacl)#MACACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。MACACL配置示例专家ACL➢标识方式➢编号：2

700~2899➢名称➢过滤元素➢源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口➢用于复杂的、高级的访问控制配置专家ACL➢配置专家ACLexpertaccess-listextended{name|access

-list-number}Switch(config)#➢应用MACACLexpertaccess-group{name|access-list-number}{in|out}Switch(config-if)#➢配置ACL规则{permit|deny}[protocol|ethern

et-type][VIDvid][{any|sourcesource-wildcard}]{hostsource-mac-address|any}[operatorport][{any|destinationdestination-wildcard}]{hostdes

tination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Switch(config-exp-na

cl)#专家ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。专家ACL配置示例基于时间的ACL➢基于时间的ACL➢对于不同的时间段实施不同的访问控制规则➢在原有

ACL的基础上应用时间段➢任何类型的ACL都可以应用时间段➢时间段➢绝对时间段（absolute）➢周期时间段（periodic）➢混合时间段配置时间段➢配置时间段time-rangetime-range-nameRouter(config)#➢配置绝对时间absolute{s

tarttimedate[endtimedate]|endtimedate}Router(config-time-range)#➢starttimedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表

示日期，格式为“日月年”➢endtimedate：表示时间段的结束时间，格式与起始时间相同➢示例：absolutestart08:001Jan2007end10:001Feb2008配置时间段（续）➢配置周期时间periodicday-of-the-w

eekhh:mmto[day-of-the-week]hh:mmperiodic{weekdays|weekend|daily}hh:mmtohh:mmRouter(config-time-range)#➢day-of-the-wee

k：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday➢hh:mm：表示时间➢weekdays：表示周一到周五➢weekend：表示周六到周日➢dai

ly：表示一周中的每一天➢示例：periodicweekdays09:00to18:00配置时间段（续）➢应用时间段➢在ACL规则中使用time-range参数引用时间段➢只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响➢确保设备的系统时间的正确

！基于时间的ACL配置示例在上班时间（9：00~18：00）不允许员工的主机（172.16.1.0/24）访问Internet，下班时间可以访问Internet上的Web服务。ACL的修改和维护➢传统编号ACL的修改问题➢新规则添加到ACL的末尾➢删除所有ACL规则重

新编写➢导出配置文件进行修改➢将ACL规则复制到编辑工具进行修改➢ACL配置模式➢使用ipaccess-list命令进入ACL配置模式➢可以删除特定的ACL规则➢在任意位置插入新的ACL规则添加和删除ACL规则➢添加ACL规则sequence-

number{permit|deny}……Router(config-ext-nacl)#➢sequence-number：规则在ACL中的序号，即排序的位置➢默认根据序号从小到大进行排序➢删除ACL规则nosequence-numberRouter(config-ext-nacl)#

添加ACL规则配置示例删除ACL规则配置示例ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberRout

er(config)#➢starting-sequence-number：ACL规则的起始序号值，默认为10➢increment-number：ACL规则的递增序号值，默认为10macaccess-listresequence{name|access-

list-number}starting-sequence-numberincrement-numberexpertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberACL规

则重编号配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]➢查看ACL配置信息➢查看ACL配置信息示例查看ACL信息（续）showaccess-group[inte

rfaceinterface]Router#➢查看所有ACL的应用信息showipaccess-group[interfaceinterface]Router#➢查看IPACL的应用信息showmacaccess-group

[interfaceinterface]Router#➢查看MACACL的应用信息showexpertaccess-group[interfaceinterface]Router#➢查看专家ACL的应用信息查看ACL信息示例课程议题ARP检查ARP协议➢ARP的作用➢将I

P地址映射到MAC地址ARP欺骗攻击➢ARP的弱点➢ARP无验证机制，请求者不能判断收到的ARP应答是否合法ARP中间人攻击➢ARP中间人攻击➢攻击者不但伪造网关，而且进行数据重定向ARP检查➢ARP检查的作用➢防止ARP欺骗➢基于端口安全➢检查ARP报文中

的IP地址是否合法，若不合法，则丢弃报文配置ARP检查➢手工恢复端口状态port-securityarp-checkSwitch(config)#➢启用端口安全switchportport-securitySwitch(config-if)#➢默认情况下，关闭ARP检查功能➢配置安全IP地址s

witchportport-securitymac-addressmac-addressip-addressip-addressSwitch(config-if)#➢这里配置的ip-address为端口所接入设备的真实IP地址ARP检查配置示例查看ARP检查状态➢查看ARP检

查状态showport-securityarp-checkSwitch#➢查看ARP检查示例课程议题DHCP监听DHCP攻击➢DHCP的弱点➢DHCP无验证机制➢DHCP攻击➢攻击者使用伪DHCP服务器为网络分配地址➢攻击者可以

发动一个DHCPDoS攻击DHCP攻击（续）DHCPSnooping➢DHCPSnooping的作用➢过滤伪（非法）DHCP服务器发送的DHCP报文➢DHCPSnooping的工作机制➢信任（Trust

）端口➢允许所有DHCP报文通过➢非信任（Untrust）端口➢只允许DHCPDiscovery、DHCPRequest报文通过，过滤DHCPOffer报文➢建立DHCP监听数据库➢包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息DHCPSnoo

ping的部署➢信任（Trust）端口➢用于连接合法的DHCP服务器和上行链路端口➢非信任（Untrust）端口➢用于连接DHCP客户端和其它接入端口配置DHCPSnooping➢启用DHCPSnooping

ipdhcpsnoopingSwitch(config)#➢配置端口为信任端口ipdhcpsnoopingtrustSwitch(config-if)#➢默认情况下，关闭DHCPSnooping➢默认情况下，所有端口都为Untrust端口配置DHCPSnooping（续）➢手工配置DHCPSn

ooping表项ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterfaceSwitch(config)#➢将DHCPSnooping数据库写入

到Flash文件ipdhcpsnoopingdatabasewrite-to-flashSwitch(config)#➢默认情况下，关闭DHCPSnooping➢DHCP监听数据库的信息是动态的，通过写入Flash，可以避免由于系统的重新启动导致数据库中的信息丢失配置DHC

PSnooping（续）➢配置自动写入DHCPSnooping绑定信息ipdhcpsnoopingdatabasewrite-delaysecondsSwitch(config)#➢配置验证Untrust端口检查DHCP报文的源MAC地址ipdhcpsnoopi

ngverifymac-addressSwitch(config)#➢默认情况下，不检查DHCP报文的源MAC地址➢可以避免攻击者发送伪造源MAC地址的DHCP报文，导致DHCPDoS攻击DHCPSnooping配置示例查看DHCPSnooping状态➢查看DH

CPSnooping配置信息showipdhcpsnoopingSwitch#➢查看DHCPSnooping数据库信息showipdhcpsnoopingbindingSwitch#➢此信息将显示动态与静态的绑定表项➢只有Untrust端口才会存在绑定表项➢清除DH

CPSnooping数据库clearipdhcpsnoopingbindingSwitch#➢静态的绑定表项不会被删除查看DHCPSnooping状态示例课程议题DAIDAI概述➢DAI（DynamicARPInspection）➢与ARP检查一样，用于防止ARP欺骗➢ARP检查需要静态配置

安全地址➢不适用于动态IP地址环境➢不适用与移动环境➢DAI依赖于DHCPSnooping数据库➢要使用DAI，需要部署DHCP环境➢DAITrust端口➢不检查ARP报文➢DAIUntrust端口➢检查所有收到的ARP报文DAI部署➢Trust端口➢连接交换机间的上行

链路与DHCPServer➢Untrust端口➢连接DHCP客户端➢端口状态需要与DHCPSnooping端口状态一致➢DHCPSnoopingTrust端口不存在绑定表项➢建议在DHCP环境中部署DAI配置DAI➢启用DHCPSnooping并设置端口状态ipdhc

psnoopingSwitch(config)#ipdhcpsnoopingtrustSwitch(config-if)#➢启用DAIiparpinspectionSwitch(config)#➢默认情况下，关闭DAI配置DAI（续）➢在VLA

N中启用DAIiparpinspectionvlanvlan-rangeSwitch(config)#iparpinspectiontrustSwitch(config-if)#➢配置端口状态➢只有对VLAN启用了DAI，才会检查此VL

AN收到的ARP报文➢默认情况下，所有端口都为Untrust端口配置DAI（续）➢配置Untrust端口的ARP限速iparpinspectionlimit-rateppsSwitch(config-if)#iparpinspectionlimit-ratenone

Switch(config-if)#➢取消接口ARP限速➢默认情况下，Untrust端口的ARP速率阈值为15pps➢Trust端口的ARP速率阈值永远为0，即不限速，虽然可以对其进行配置➢对于Trunk端口，可以提高速率阈值或

者取消限速DAI配置示例查看DAI状态➢查看DAI配置信息showiparpinspectionvlan[vlan-range]Switch#showiparpinspectioninterface[interface]Switch#➢查看接口的D

AI信息查看DAI状态示例