计算机组网技术.ppt
《计算机组网技术.ppt》由会员分享,可在线阅读,更多相关《计算机组网技术.ppt(57页珍藏版)》请在三一文库上搜索。
1、计算机组网技术,海盐电大,第五讲 网络安全,【考核的知识点】 ISO定义的安全服务和安全机制 网络安全架构 网络设备安全访问方法 二层交换设备安全技术 基本的访问控制列表使用方法 防火墙的功能和分类,【考核要求】 掌握:网络设备的安全管理配置、防火墙技术及配置。 理解:网路安全问题。 了解:VPN技术、IPsec安全协议,第五讲 网络安全,一、网络安全(ISO/IEC 7498-2) IEC:国际电工委员会 1、安全模式 安全策略:基于身份 基于规则 安全威胁:信息泄露、完整性破坏、拒绝服务、非法使用 安全服务:认证服务(实体认证、数据源认证) 访问控制 数据机密性服务 数据完整性服务 不可否
2、认服务,2、定义提供服务的安全机制:实施安全服务的机制。 特定安全机制:加密 数字签名 访问控制 完整性 认证 流量填充 路由控制 公证机制 通用安全机制:功能可信机制 安全标记机制 事件监测 安全审计 安全恢复 3、定义全程安全管理 是通过监视和控制安全服务和安全机制来实现安全策略的整个过程。DMZ(非军事区),二、设备安全 1、本地访问认证 控制台口令 line console 0 password mm login 使能口令 enable password mm 使能加密口令 enable secret mm /加密,二、设备安全 2、远程访问认证 设置telnet口令 line vty
3、 0 15 password mm SSH: Secure Shell (SSH) 的目的在于在通过网络远程访问另一个主机时提供最大的保护。它通过提供更好的身份验证工具和 Secure Copy (SCP)、Secure File Transfer Protocol (SFTP)、X 会话转发和端口转发等功能来加密网络交换,从而增加其他非安全协议的安全性。 Username user password 12345 Ip domain-name Crypto key generate rsa Line vty 0 4 Transport input ssh,二、设备安全 3、认证账号设置 us
4、ername localuser password local123 line vty 0 4 login local /必须使用设置的身份账号和口令 4、AAA安全服务 身份认证、授权、统计,访问控制列表ACL,理解访问控制列表的工作原理(访问控制列表的作用,路由器对访问控制列表的处理过程) 理解访问控制列表的反码 掌握访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制,访问控制列表,访问控制列表的种类,访问控制列表的工作原理,访问控制列表的反码,访问控制列表概述,扩展访问控制列表,标准访问控制列表,什么是扩展访问控制列表,扩展访问控制列表的应用与配
5、置,命名访问控制列表,标准访问控制列表的应用与配置,什么是标准访问控制列表,什么是访问控制列表,访问控制列表(ACL) 应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤,访问控制列表的作用,提供网络访问的基本安全手段 可用于QoS,控制数据流量 控制通信量,主机A,主机B,人力资源网络,研发网络,使用ACL阻止某指定网络访问另一指定网络,访问控制列表的作用,实现访问控制列表的核心技术是包过滤,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表,访问控制列表工作
6、原理,VPN,通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP),访问控制列表工作原理,匹配 下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配 第一步,目的接口,隐含的 拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,路由器对访问控制列表的处理过程,匹配 下一步,拒绝,拒绝,拒绝,访问控制列表入与出,使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上,只能应用一个access-list,Router(config-if)#ip access-group access-list-number in|out,进入数据包,源地址
7、 匹配吗?,有更多 条目吗?,应用条件,拒绝,允许,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,转发数据包,接口上有访问 控制列表吗?,列表中的 下一个条目,否,访问控制列表入与出,外出数据包,查找路由表,接口上有访问 控制列表吗?,源地址匹配吗?,拒绝,允许,列表中的 下一个条目,是,是,转发数据包,Icmp消息,否,否,否,有更多条目吗?,访问控制列表入与出,应用条件,是,Deny和permit命令,Router(config)#access-list access-list-number permit|deny test conditions,允许数据包通过应用了访问控制列
8、表的接口,拒绝数据包通过,第一步,创建访问控制列表 第二步,应用到接口e0的出方向上,Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,访问
9、控制列表实例,使用通配符any和host,通配符any可代替0.0.0.0 255.255.255.255,Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#access-list 1 permit any,使用通配符any和host,host表示检查IP地址的所有位,Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0,Router(config)#access-list 1 permit host 172.30.16.29,访问控制
10、列表的种类,基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表,路由器B,路由器C,路由器D,路由器A,S0,S0,S1,S1,E0,E0,E1,E0,E0,E1,应用访问控制列表,源,目的,标准访问控制列表,标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99,标准访问控制列表,标准访问控制列表只使用源地址进行过滤,表明是允许还是拒绝,路由器,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目?,列表中的下一个条目,否,有访问控制列表吗?,源地址,不匹配,是,匹配,是
11、,否,Icmp消息,转发数据包,标准访问控制列表,标准访问控制列表的配置,第一步,使用access-list命令创建访问控制列表,第二步,使用ip access-group命令把访问控制列表应用到某接口,Router(config)#access-list access-list-number permit | deny source source- wildcard log,Router(config-if)#ip access-group access-list-number in | out ,标准ACL应用1:允许特定源的流量,标准ACL应用:允许特定源的流量,第一步,创建允许来自17
12、2.16.0.0的流量的ACL 第二步,应用到接口E0和E1的出方向上,Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out Router(config)#interface fastethernet 0/1 Router(config-if)#ip access-group 1 out,标准ACL应用:拒绝特定主机的通信流量,第一步,创建拒绝来自172.16.4.13
13、的流量的ACL 第二步,应用到接口E0的出方向,Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,any,标准ACL应用:拒绝特定子网的流量,第一步,创建拒绝来自子网172.16.4.0的流量的ACL 第二步,应用到接口E0的出方向,Router(config)#
14、access-list 1 deny 172.16.4.0 0.0.0.255 Router(config)#accesslist 1 permit any,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,0.0.0.0 255.255.255.255,扩展访问控制列表,扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配,才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199,扩展访问控制列表,扩展访问
15、控制列表使用更多的信息描述数据包,表明是允许还是拒绝,路由器,有访问控制列表吗?,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目?,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,扩展访问控制列表,不匹配,不匹配,不匹配,扩展访问控制列表,扩展访问控制列表的配置,第一步,使用access-list命令创建扩展访问控制列表,Router(config)#access-list access-list-number permit | deny protocol source source-wildcard
16、 destination destination-wildcard operator port established log,扩展访问控制列表操作符的含义,扩展访问控制列表的配置,扩展访问控制列表的配置,第二步,使用ip access-group命令将扩展访问控制列表应用到某接口,Router(config-if)#ip access-group access-list-number in | out ,扩展ACL应用1:拒绝ftp流量通过E0,第一步,创建拒绝来自172.16.4.0、去往172.16.3.0、ftp流量的ACL 第二步,应用到接口E0的出方向,Router(config)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 组网 技术
链接地址:https://www.31doc.com/p-2635143.html