網絡安全包括的層面
1.資料存儲安全:如NTFS權限
2.作業系統安全:如WINDOWS中的系統安全政策
3.資料傳輸的安全:如IPSec加密政策
4.應用程式安全:如開發人員開發安全的代碼
5.使用者的安全:如使用者操作計算機的安全意識的安全技能的掌握
網絡層安全
典型的安全網絡架構
1.三向外圍網
2.背靠背防火牆
3、代理伺服器
常見的安全威脅
1.應用層攻擊
2.拒絕服務攻擊DoS
3.分布式拒絕服務攻擊DDoS
4.LAND攻擊
5.中間人攻擊
6.後門程式
7.包嗅探
8.密碼攻擊
路由器上的安全
使用通路控制清單(ACL)
方法步驟:1.定義通路控制清單
2.将通路控制清單綁定表接口
标準的ACL:基于資料包的源位址
擴充的ACL:基于資料包的源位址、目标位址、協定、目标端口、時間
配置ACL
定義标準的ACL
Router(config)#access-list <編号(1-99)> <允許:permit/拒絕:deny> <IP網絡号> <子網路遮罩反碼> //定議ACL清單
………………………… //進入要使用該ACL的接口
Router(config-if)#ip access-group <ACL編号> <進:in/出:out> //指定當資料是進入還是出接口時應用該ACL
Router(config-if)#no ip access-group <ACL編号> <進:in/出:out> //删除通路清單
拒絕(允許)某台計算機的資料包
Router(config)#access-list <編号(1-99)> <允許:permit/拒絕:deny> <IP位址> 0.0.0.0 //指定該ACL對于哪個IP位址有效
ACL的等價寫法
host <IP位址>==<IP位址> 0.0.0.0 //單獨主機
any ==0.0.0.0 255.255.255.255 //所有主機
例:用上面的“拒絕(允許)某台計算機的資料包”的語句可修改為
Router(config)#access-list <編号(1-99)> <允許:permit/拒絕:deny> host <IP位址>
檢視ACL通路清單
Router#show ip access-list
某一編号的ACL的規則的判斷順序按清單内的規則由上至下,是以在定義ACL清單時要注意定義各類規則的順序
定義擴充的ACL
Router(config)#access-list <編号(100-199)> <允許:permit/拒絕:deny> <協定名> <IP網段> <子網路遮罩反碼> <目标IP位址> [<端口限符:如是大于還是小于> <端口>(隻有在需要使用端口時使用)]
例:
Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any //允許192.168.2.0網段的計算機通路任意網絡
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80 //隻允許192.168.1.0網段的計算機使用TCP協定通路10.0.0.0網段的計算機的80端口
Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any //允許192.168.0.0網段PING所有網絡
對于通路清單的通路規則,可以添加删除其中的某一項,但不能調整順序
命名ACL
Router(config)#ip access-list standard <通路清單名稱> //定義有名稱的通路清單
Router(config-std-nacl)#permit <IP網段> <子網路遮罩反碼> //允許該網段通路
例:
Router(config)#ip access-list standard allowweb //定義名稱為allowweb的通路控制清單
Router(config-std-nad)#permit 192.168.1.0 0.0.0.255 //允許192.168.1.0網段通路
………………………………
Router(config-if)#ip access-group allowweb out //綁定到對應接口中
ACL和接口綁定
一個接口在一個方向隻能綁定一個ACL
一個ACL可以綁定到多個接口
删除某個ACL,接口綁定不會被删除,但ACL無效了
ACL保護路由器安全
例:
Router(config)access-list 10 permit 192.168.1.3 0.0.0.0
Router(config)#line vty 0 15 //綁定路由器TELNET虛拟接口
Router(config-line)#access-class 10 in //将該ACL綁定至接口,用的是access-class