網(wǎng)絡(luò)安全運(yùn)維部分_第1頁(yè)
網(wǎng)絡(luò)安全運(yùn)維部分_第2頁(yè)
網(wǎng)絡(luò)安全運(yùn)維部分_第3頁(yè)
網(wǎng)絡(luò)安全運(yùn)維部分_第4頁(yè)
網(wǎng)絡(luò)安全運(yùn)維部分_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

運(yùn)行維護(hù)目錄交換機(jī)、路由器訪問(wèn)控制策略配置VLAN劃分和訪問(wèn)控制策略配置防火墻、IDS、IPS策略配置交換機(jī)、路由器訪問(wèn)控制策略配置交換機(jī)、路由器訪問(wèn)控制策略配置

1.交換機(jī)的訪問(wèn)控制2.什么是ACL3.ACL的作用4.ACL的執(zhí)行規(guī)則5.ACL的分類6.ACL的配置原則交換機(jī)、路由器訪問(wèn)控制策略配置交換機(jī)的訪問(wèn)控制

交換機(jī)通過(guò)進(jìn)入端口配置IP、劃分VLAN進(jìn)行控制,依靠配置端口狀態(tài)進(jìn)行訪問(wèn)。 交換機(jī)的端口狀態(tài): 1、Access類型的端口只能屬于1個(gè)VLAN,一般用于連接計(jì)算機(jī)的端口。

2、Trunk類型的端口可以允許多個(gè)VLAN通過(guò),可以接收和發(fā)送多個(gè)VLAN的報(bào)文,一般用于交換機(jī)之間連接的端口。交換機(jī)、路由器訪問(wèn)控制策略配置什么是ACL

主要提供網(wǎng)絡(luò)訪問(wèn)的基本安全和流量控制等方面,通過(guò)讀取網(wǎng)絡(luò)第3層和第4層包頭中的信息,根據(jù)預(yù)先定義好的規(guī)則,對(duì)包進(jìn)行過(guò)濾,從而到達(dá)訪問(wèn)控制的目的。交換機(jī)、路由器訪問(wèn)控制策略配置ACL的作用ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。ACL提供對(duì)通信流量的控制手段。ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。交換機(jī)、路由器訪問(wèn)控制策略配置ACL的執(zhí)行規(guī)則 1.自上而下(先比較第一條,再比較第二條,第三條……) 2.優(yōu)先匹配(不斷比較,直到滿足條件為止) 3.末尾隱含拒絕(如果不滿足ACL中任何條件,分組將被丟棄)。交換機(jī)、路由器訪問(wèn)控制策略配置ACL的執(zhí)行規(guī)則ACL匹配流程圖交換機(jī)、路由器訪問(wèn)控制策略配置ACL的分類 根據(jù)過(guò)濾字段(元素)可將訪問(wèn)控制列表分為以下兩類: (1)標(biāo)準(zhǔn)訪問(wèn)控制列表:只能根據(jù)數(shù)據(jù)包的源IP地址進(jìn)行過(guò)濾;編號(hào)范圍:1~99。

配置:access-list

1~99

permit/deny

源IP

通配符 (2)擴(kuò)展訪問(wèn)控制列表:可以根據(jù)協(xié)議、源/目的IP地址、源/目的端口號(hào)進(jìn)行包過(guò)濾。編號(hào)范圍:100~199。

配置:access-list

100~199

permit/deny

協(xié)議

源IP

掩碼

目的IP

掩碼

eq

服務(wù)端口號(hào)

交換機(jī)、路由器訪問(wèn)控制策略配置ACL的配置原則 1.在接口的特定方向上,每種協(xié)議只能有一個(gè)ACL。 2.在ACL中,將具體的測(cè)試條件放在前面。 3.新增語(yǔ)句將放在ACL列表的末尾。 4.不能刪除ACL中的一行,只能刪除整個(gè)ACL列表。 5.除非ACL以permitany(允許所有)結(jié)尾,否則不滿足任何條件的分組都將被丟棄(ACL至少應(yīng)包含一條permit,否則它將拒絕所有)。 6.創(chuàng)建ACL后,必須應(yīng)用于接口上。 7.ACL過(guò)濾穿過(guò)路由器的數(shù)據(jù)流,不會(huì)對(duì)始發(fā)于當(dāng)前路由器的數(shù)據(jù)進(jìn)行過(guò)濾。 8.將標(biāo)準(zhǔn)ACL放在離目的地盡可能近的地方。(根據(jù)源地址過(guò)濾) 9.將擴(kuò)展ACL放在離源盡可能近的地方。

VLAN劃分和訪問(wèn)控制策略配置VLAN劃分和訪問(wèn)控制策略配置

1.什么是VLAN2.劃分VLAN的目的3.VLAN劃分的方法VLAN劃分和訪問(wèn)控制策略配置什么是VLAN

把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段。VLAN劃分和訪問(wèn)控制策略配置劃分VLAN的目的1.減少?gòu)V播風(fēng)暴 限制網(wǎng)絡(luò)上的廣播,將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過(guò)量廣播。2.提高網(wǎng)絡(luò)安全性 增強(qiáng)局域網(wǎng)的安全性,含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離,從而降低泄露機(jī)密信息的可能性。VLAN劃分和訪問(wèn)控制策略配置劃分VLAN的目的3.成本降低 成本高昂的網(wǎng)絡(luò)升級(jí)需求減少,現(xiàn)有帶寬和上行鏈路的利用率更高,因此可節(jié)約成本4.性能提高將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。VLAN劃分和訪問(wèn)控制策略配置VLAN劃分的方法

1.靜態(tài)——基于端口劃分vlan 2.動(dòng)態(tài)——基于MAC地址劃分vlan 3.基于路由的VLAN

路由協(xié)議工作在7層協(xié)議的第3層-網(wǎng)絡(luò)層,比如基于IP和IPX的路由協(xié)議,這類設(shè)備包括路由器和路由交換機(jī)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī),或一個(gè)端口位于多個(gè)VLAN中。在按IP劃分的VLAN中,很容易實(shí)現(xiàn)路由,即將交換功能和路由功能融合在VLAN交換機(jī)中。這種方式既達(dá)到了作為VLAN控制廣播風(fēng)暴的最基本目的,又不需要外接路由器。但這種方式對(duì)VLAN成員之間的通信速度不是很理想。 4.基于策略的VLAN

基于策略的VLAN的劃分是一種比較有效而直接的方式,主要取決于在VLAN的劃分中所采用的策略。防火墻、IDS、IPS策略配置防火墻、IDS、IPS策略配置1.防火墻的通用特點(diǎn)2.防火墻策略配置3.IDS策略配置4.IPS策略配置防火墻、IDS、IPS策略配置防火墻的通用特點(diǎn)

不論防火墻如何分類,是哪家產(chǎn)的,他們都要遵循以下原則生產(chǎn)設(shè)備: 1.能識(shí)別一個(gè)完整的會(huì)話信息(能檢測(cè)出去的數(shù)據(jù)和回來(lái)時(shí)應(yīng)答的數(shù)據(jù)); 2.都必須有三個(gè)區(qū)域:I受信區(qū)trust

II非受信區(qū)untrust

III?;饏^(qū)DMZ; 3.區(qū)域間默認(rèn)互不能通信;可信度高的區(qū)域流量可以流向可信度低的區(qū)域,反之不然 4.沒(méi)有明確申明允許的流量,都被拒絕掉(隱含拒絕); 5.所有廠商的安全設(shè)備都要將一個(gè)接口關(guān)聯(lián)到一個(gè)具體的安全區(qū)域中。 6.所有廠商對(duì)自己的安全設(shè)備都有一套安全機(jī)制,詳見(jiàn)說(shuō)明書。防火墻、IDS、IPS策略配置防火墻的通用特點(diǎn)

Inbound與Outbound定義

數(shù)據(jù)流從高受信區(qū)到低受信區(qū)為outbound

數(shù)據(jù)流從低受信區(qū)到高受信區(qū)為inbound防火墻、IDS、IPS策略配置防火墻策略配置

防火墻、IDS、IPS策略配置防火墻策略配置

配置各接口IP:interfaceG0/0/1ipaddress192.168.1.25424interfaceG0/0/2ipaddress192.168.2.25424interfaceG0/0/3ipaddress192.168.3.25424interfaceG0/0/4ipaddress192.168.4.25424向安全區(qū)域中添加接口:[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet0/0/1[FW-zone-trust]addinterfaceGigabitEthernet0/0/4[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet0/0/3[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet0/0/2防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略,使得trust區(qū)域能夠訪問(wèn)untrust區(qū)域:[FW]policyinterzonetrustuntrustoutbound#進(jìn)入outbound方向配置[FW-policy-interzone-trust-untrust-outbound]policy0#建立第一條策略[FW-policy-interzone-trust-untrust-outbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-trust-untrust-outbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-trust-untrust-outbound-0]actionpermit#開(kāi)始允許

防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略,使得untrust區(qū)域能夠訪問(wèn)dmz區(qū)域:[FW]policyinterzonedmzuntrustinbound#進(jìn)入inbound方向配置[FW-policy-interzone-dmz-untrust-inbound]policy0#建立第一條策略[FW-policy-interzone-dmz-untrust-inbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-dmz-untrust-inbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit#開(kāi)始允許防火墻、IDS、IPS策略配置防火墻策略配置

配置interzone策略,使得trust區(qū)域能夠訪問(wèn)dmz區(qū)域:[FW]policyinterzonetrustdmzoutbound#進(jìn)入outbound方向配置[FW-policy-interzone-trust-dmz-outbound]policy0#建立第一條策略[FW-policy-interzone-trust-dmz-outbound-0]policydestinationany#規(guī)定目的IP為所有[FW-policy-interzone-trust-dmz-outbound-0]policysourceany#規(guī)定源IP為所有[FW-policy-interzone-trust-dmz-outbound-0]actionpermit#開(kāi)始允許

防火墻、IDS、IPS策略配置防火墻策略配置

PC3可以ping通PC4[FW]policyinterzonetrustuntrustinbound#進(jìn)入inbound方向配置[FW-policy-interzone-trust-untrust-inbound]policy0#建立第一條策略[FW-policy-interzone-trust-untrust-inbound-0]policydestination192.168.4.00.0.0.255#規(guī)定目的IP為192.168.4.0網(wǎng)段[FW-policy-interzone-trust-untrust-inbound-0]policysource192.168.3.00.0.0.255

#規(guī)定目的IP為192.168.3.0網(wǎng)段[FW-policy-interzone-trust-untrust-inbound-0]actionpermit#開(kāi)始允許防火墻、IDS、IPS策略配置IDS策略配置

防火墻、IDS、IPS策略配置IDS策略配置 第二步:派生新策略在策略模板區(qū)域選中一個(gè)預(yù)定義策略AttackDetector,右鍵單擊該策略,在出現(xiàn)的菜單中選擇“派生策略”。

防火墻、IDS、IPS策略配置IDS策略配置

第三步:策略編輯策略中可以選擇用戶所關(guān)注的事件簽名進(jìn)行檢測(cè),編輯策略的步驟如下:1)點(diǎn)擊一個(gè)自定義策略。2)點(diǎn)擊“編輯鎖定”以確保其他人不能同時(shí)更改策略。3)在攻擊簽名窗口展開(kāi)攻擊簽名。4)“選中”或“取消選中”攻擊簽名。5)為攻擊簽名選擇響應(yīng)方式。6)點(diǎn)擊“保存策略”。

注意:不能編輯預(yù)定義策略??梢杂深A(yù)定義派生出一個(gè)新策略,然后對(duì)新策略進(jìn)行調(diào)整。防火墻、IDS、I

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論