国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

第十章 安全

一、認識安全威脅

安全威脅有：應用層攻擊、Autorooters、后門程序、拒絕服務（DOS）和分布式拒絕服務（DDOS）攻擊、TCP SYN泛洪攻擊、“死亡PING”攻擊、Stacheldraht攻擊、IP欺騙、中間人攻擊、網絡偵察、包嗅探、強暴攻擊、端口重定向攻擊、特洛伊木馬和病毒攻擊、信任利用攻擊等等。

二、Cisco IOS防火墻

實現的功能有：IOS防火墻狀態(tài)檢測引擎、入侵檢測、防火墻語音穿透、ICMP檢測、認證代理、目標URL跌幅及防火墻配置、拒絕服務(DOS)檢測和預防、動態(tài)端口映射、JAVA小應用程序阻礙。

三、基本和高級流量過濾

基于策略的多接口支持：允許通過IP地址和安全策略決定的接口來控制用戶訪問。

網絡地址轉換：對外隱藏內網，增加安全性

基于時間的訪問列表：根據一天中的精確時間以及一周中的特定一天決定安全策略。

對等路由認證：保證路由從真實、可信的源地址得到可靠的路由信息。

四、訪問列表簡介

訪問列表本質上是一系列對包進行分類的條件。它的實現原則是：實現安全策略時過濾不希望通過的包。這樣只允許某些主機訪問因特網上的WWW資源，而限制其它主機使用。

訪問列表的工作原理：如果滿足給定的條件，則執(zhí)行給定的操作，如果指定的條件不滿足，不做任何操作，繼續(xù)測試下一下語句。其是對包進行比較、分類、然后根據條件實施操作的包過濾器。

訪問列表進行比較時的原則：按順序比較訪問列表的每一行；直到找到匹配的一行；在每個訪問列表的最后是一行隱含“DENY（拒絕）”語句------這意味著如果數據包與訪問列表中的所有行都不匹配，將丟棄。

訪問列表的類型：標準訪問列表[使用IP數據包的源IP地址作為條件測試，它基本上是允許或拒絕整個協議組，并不區(qū)分IP流量的類型]、擴展訪問列表[測試源IP地址和目的IP地址、網絡層報頭中的協議段，以及位于傳輸層報頭中的端口號]和命名訪問列表[它可以是標準的，也可以是擴展的]。

訪問列表應用：在一個接口的輸入方向或輸出方向使用不同的訪問列表。分別稱為入口訪問列表和出口訪問列表。

入口訪問列表：應用到從接口輸入的包，也就是包在末被路由到輸出接口之前要經過訪問列表處理。

出口訪問列表：應用到從接口輸出的包。也就是包在進入該接口的輸出隊列之前經過訪問列表處理。

通用訪問列表配置指南：

１、每個接口、每個協議或每個方向只可以分配一個訪問列表

２、組織好訪問列表，要將列特殊的測試放在訪問列表的最前面

３、任何時候訪問列表添加新條目時，將把新條目旋轉到列表的末尾。建議以文本編輯器編輯列表

４、不能從訪問列表中刪除一行，如果在修改則刪除整個訪問列表后，在重新建立。便命名訪問列表除外。

５、除非在訪問列表末尾有permit any命令，否則所有和列表的測試條件都不符合的數據包將被丟棄。每個列表應當至少有一個允許語句，否則將會拒絕所有流量。

６、先創(chuàng)建訪問列表，然后將列表應用到一個接口

７、訪問列表設計為過濾通過路由器的流量，但不過濾路由器產生的流量。

８、將IP標準的訪問列表盡可能放置在靠近目的地址的位置。

９、將IP擴展的訪問列表盡可能放置在靠近源地址的位置。

訪問列表可降低的安全威脅有：

１、IP地址欺騙，對內或對外；

２、拒絕服務（DOS）TCP SYN攻擊，阻塞外部攻擊。

３、dos tcp syn 攻擊，使用TCP截取。

４、dos smurf攻擊

５、過濾ICMP信息，對內和對外

６、過濾traceroute

從因特網到企業(yè)網中配置ACL時減輕安全問題的規(guī)則

１、拒絕任何來自內部網絡的地址

２、拒絕任何本地主機地址（127.0.0.0/8）

3、拒絕任何保留的專用地址；

4、拒絕任何IP組播地址范圍（224.0.0.0/24）之中的地址。

五、標準訪問列表。

標準的IP訪問列表通過使用IP包中的源IP地址過濾網絡流量。可以使用的訪問列表號為1~99或1300~1999.

通配符和訪問列表一起用來指定一臺主機、一個網絡或幾個網絡內的某個范圍。要理解通配符，就是先了解塊的大小，它常指地址范圍。有效的塊大小為64、32、16、8、4等。

通配符和主機或網絡地址一起使用來告訴路由器要過濾的有效地址范圍。

例：172.16.30.5 0.0.0.0 這是4個0代表每個八位位組地址，無論何時出來零，都表示著地址中的八位位組必須精確匹配。使用255可指定一個八位位組可以是任何值。[172.16.30.0 0.0.0.255].

Corp(config)#access-list 10 deny 172.16.16.0 0.0.3.255 則塊的大小為4，范圍為16~19.

注：每個塊大小必須從0或一個塊大小的倍數開始。Any命令和通配符0.0.0.0 255.255.255.255相同。

lab(config)#access-list 10 deny 172.16.40.0 0.0.0.255

lab(config)#access-list 10 permit any

lab(config)#int e1

例：

                   E0 10.161/27                     E1 10.129/27              E0

功能：阻止會計用戶與LAB_2相聯的人力資 源部服務器，

但允許其他用戶訪問那個LAN。

Lab_2(config)#access-list 10 deny 192.168.10.128  0.0.0.31

Lab_2(config)#access-list 10 permit any

Lab_2(config)#inter e0

Lab_2(config-if)#ip access-group out

控制VTP訪問

1、創(chuàng)建一個標準IP訪問列表，只允許那些你希望的主機能夠遠程登錄到路由器

2、使用Access-class命令將此訪問列表應用到VTY線路。

Lab_1(config)#access-list 50 permit 172.16.10.3

Lab_1(config)#line vty 0 4

Lab_1(config-line)#access-class 10 in

六、擴展訪問列表

允許指定源地址和目的地址，以及標識上層協議或應用程序的協議和端口號。

擴展號碼為：100~199 2000~2699

例：任何目的地址是172.16.30.2的源IP地址都被拒絕：

Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq 12 log

Corp(config)#access-list 110 permary ip any any

例 ：拒絕訪問位于財務部LAN上服務器172.16.30.5的telnet和FTP服務。銷售部和市場部可以訪問局域網上所有其它服務和其它主機

Lab_1(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21

Lab_1(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23

Lab_1(config)#access-list 110 permit ip any any

Lab_1(config)#int e1

Lab_1(config-if)#ip access-group 110 out

例：阻止遠程登錄訪問E1和E2接口所連接的網絡。

R1(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23

Ri(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23

R1(config)#access-list 110 permiy ip any any

R1(config)#int e1

Ri(config)#ip access-group 110 out

Ri(config)#int e2

Ri(config)#ip access-group 110 out

七、高級訪問列表

1 、命名訪問列表（ACL）:其僅僅是創(chuàng)建標準的訪問列表和擴展的訪問列表的另一種方法。

Lab_1(config)#ip access-list standard blocksales

Lab-1(config-std-nacl)#deny 172.16.40.0 0.0.0.255

Lab_1(config-std-nacl)#permit any

Lab_1(config)#int e1

Lab_1(config)#ip access-group blocksales out

2、交換機端口訪問列表

僅可以在交換機第2層上應用端口上應用端口訪問控制列表；且只能把他們應用在接口的入口列表上，并且只能使用命名的列表。

支持的訪問列表有：僅對源地址流量過濾的標準IP訪問列表；使用源地址和目的地址及可選協議信息和端口的擴展IP訪問列表；使用源MAC地址和目的MAC地址以及可選協議信息的MAC擴展訪問列表。

交換機檢查某個確定接口的所有入口訪問列表，并根據流量能否很好的匹配ACL來決定是否允許其通過；

訪問控制列表也可以用于虛擬局域網的流量控制，需要把端口訪問控制列表應用到一個中繼端口。

訪問控制列表通過IP訪問列表控制IP流量。

例：

S1(config)#mac access-list extended todd_max_list

S1(config-ext-mac1)#deny any host 000d.29db.4b85

S1(config-ext-mac1)#permit any any

S1(config-ext-mac1)#int f0/6

S1(config-if)#mac access-group todd_mac_list in

3、鎖和鑰匙（動態(tài)訪問控制列表）

在配置一個動態(tài)訪問列表之前，需要在路由器上應用一個擴展訪問控制列表來阻止經過它的通信流量。

能夠通過此封鎖的唯一方法是遠程登錄到路由器并通過認證。

工作原理：用戶發(fā)起的TELNET連接被丟棄，并且被已經附加到擴展訪問列表上的一個單條目動態(tài)訪問控制列表所取代。這將導致在特定時間內允許流量通過，而且像你猜到的那樣，也會有時間限制。

4、自反訪問控制列表

這些訪問控制列表依據上層會話信息過濾IP包，并且它們通常允許出口流量通過，而對入口流量進行限制。

自反訪問控制列表無法使用編號的或是標準的IP訪問控制列表或是任何其它協議的訪問控制列表來定義，他只能隨同其它標準或靜態(tài)的擴展訪問控制列表一起使用。但他們只能用擴展的命名IP訪問控制列表定義。

5、基本時間的訪問控件列表

Corp(config)#time-range no-http

Corp(config-time-range)#periodic weekend 06:00 to 12:00

Corp(config)#time-range tcp-yes

Corp(config-time-range)#periodic weekend 06:00 to 12:00

Corp(config)#ip access-list extended time

Corp(config-ext-nac1)#deny tcp any eq www time-range no-http

Cort(config-ext-nac1)#permit tcp any any time-range tcp-yes

Corp(config-ext-nac1)#ip access-group time in

6、注釋（remark）

R2(config)#access-list 110 remark permit bob from sales only to finance

R2(config)#access-list 110 permit ip host 172.16.10.1 172.16.20.0 0.0.0.255

R2(config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255

R2(config)#ip access-list extended no_telnet

R2(config-ext-nac1)#remark deny all of sales from telnetting to marketing

R2(config-ext-nac1)#deny tcp 172.16.30.0 0.0.0.255 172.16.40.0 0.0.0.255 eq 23

R2(config-ext-nac1)#permit ip any any

7、基于上下文的訪問列表

CBAC：就是審查任何以及所有試圖通過防火墻的流量，這樣它就可以找出并控制TCP和UDP會話狀態(tài)信息。

實現方法：僅需要在當前流量的機同流向上配置IP inspect 列表。

結合Cisco防火墻配置的路由器處理流量應該遵循以下原則：

A、如果內部ACL通過，路由器將把所有的內部包發(fā)送到Cisco防火墻

B、被允許的流量滿足防火墻IP檢查步驟，將把允許的連接狀態(tài)信息添加到狀態(tài)表。

C、流量通過IP檢查過程，接著創(chuàng)建動態(tài)ACL條目并且把它放入外部ACL中，這樣，返回流量在以過路由器時將被允許通過。

八、SHOW命令

Show access-list //顯示在路由器上配置的所有訪問列表及參數。它不顯示那些接口設置了訪問列表

Show access-list 110 //只顯示列表號為110的參數。不顯示那些接口應用了此列表。

Show ip access-list //只顯示路由器上配置的IP訪問列表。

Show ip interface //顯示那些接口設置了訪問列表

Show running-config //顯示訪問列表和哪些接口設置了訪問列表

Show mac access-group //顯示所有應用在第2層接口或指定的2層接口（僅在第2層交換機使用的接口）的MAC訪問列表。