笔记－CCNA与网络安全 第8章 网络安全

网络安全包括的层面

1.数据存储安全：如NTFS权限
2.操作系统安全：如WINDOWS中的系统安全策略
3.数据传输的安全：如IPSec加密策略
4.应用程序安全：如开发人员开发安全的代码
5.用户的安全：如用户操作计算机的安全意识的安全技能的掌握

网络层安全

典型的安全网络架构

1.三向外围网

 

2.背靠背防火墙

 

3、代理服务器

常见的安全威胁

1.应用层攻击
2.拒绝服务攻击DoS
3.分布式拒绝服务攻击DDoS
4.LAND攻击
5.中间人攻击
6.后门程序
7.包嗅探
8.口令攻击

路由器上的安全

使用访问控制列表（ACL）
方法步骤：1.定义访问控制列表
          2.将访问控制列表绑定表接口


标准的ACL：基于数据包的源地址
扩展的ACL：基于数据包的源地址、目标地址、协议、目标端口、时间

配置ACL

定义标准的ACL

Router(config)#access-list <编号(1-99)> <允许：permit/拒绝：deny> <IP网络号> <子网掩码反码>  //定议ACL列表
…………………………         //进入要使用该ACL的接口
Router(config-if)#ip access-group <ACL编号> <进：in/出：out>  //指定当数据是进入还是出接口时应用该ACL
Router(config-if)#no ip access-group  <ACL编号> <进：in/出：out>  //删除访问列表

拒绝（允许）某台计算机的数据包

Router(config)#access-list <编号（1-99）> <允许：permit/拒绝：deny> <IP地址> 0.0.0.0  //指定该ACL对于哪个IP地址有效

ACL的等价写法

host <IP地址>==<IP地址> 0.0.0.0    //单独主机
any ==0.0.0.0 255.255.255.255  //所有主机
例：用上面的“拒绝（允许）某台计算机的数据包”的语句可修改为
Router(config)#access-list <编号(1-99)> <允许：permit/拒绝：deny> host <IP地址>

查看ACL访问列表

Router#show ip access-list


某一编号的ACL的规则的判断顺序按列表内的规则由上至下，因此在定义ACL列表时要注意定义各类规则的顺序

定义扩展的ACL

Router(config)#access-list <编号（100－199）> <允许：permit/拒绝：deny> <协议名> <IP网段> <子网掩码反码> <目标IP地址> [<端口限符:如是大于还是小于> <端口>(只有在需要使用端口时使用）]
例：
Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any //允许192.168.2.0网段的计算机访问任意网络
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80  //只允许192.168.1.0网段的计算机使用TCP协议访问10.0.0.0网段的计算机的80端口
Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any //允许192.168.0.0网段PING所有网络
对于访问列表的访问规则，可以添加删除其中的某一项，但不能调整顺序

命名ACL

Router(config)#ip access-list standard <访问列表名称>  //定义有名称的访问列表
Router(config-std-nacl)#permit <IP网段> <子网掩码反码>  //允许该网段访问
例：
Router(config)#ip access-list standard allowweb //定义名称为allowweb的访问控制列表
Router(config-std-nad)#permit 192.168.1.0 0.0.0.255  //允许192.168.1.0网段访问
………………………………
Router(config-if)#ip access-group allowweb out  //绑定到对应接口中

ACL和接口绑定

一个接口在一个方向只能绑定一个ACL
一个ACL可以绑定到多个接口
删除某个ACL，接口绑定不会被删除，但ACL无效了

ACL保护路由器安全

例：
  Router(config)access-list 10 permit 192.168.1.3 0.0.0.0
  Router(config)#line vty 0 15  //绑定路由器TELNET虚拟接口
  Router(config-line)#access-class 10 in   //将该ACL绑定至接口，用的是access-class