第8章 网络层安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从OSI参考模型来看网络安全
传输层安全
传输层攻击举例:Port Scan(端口扫描)、TCP reset attack(TCP重置攻击)、SYN DoS floods (SYN拒绝服务攻击)、LAND attack(LAND攻 击)、Session hijacking(会话劫持)
应用层安全
应用层攻击举例:MS-SQL Slammer worm 缓冲区溢 出、IIS红色警报、Email 蠕虫、蠕虫,病毒,木马、 垃圾邮件、IE漏洞。 安全措施:安装杀毒软件,更新操作系统。
1.应用层攻击 2.拒绝服务攻击DoS 3.分布式拒绝服务攻击DDOS 4.LAND攻击 5.中间人攻击 6.后门程序 7.包嗅探 8.口令攻击
路由器上访问控制列表
• 路由器不但能够在不同网段转发数据包, 而且还能够基于数据包的目标地址、源地 址、协议和端口号来过允许特定的数据包 通过或拒绝通过。
• 要实现这样的控制需要在路由器定义访问 控制列表(ACL),并将这些ACL绑定到路 由器的接口。
• 下面介绍两种类型的访问控制列表,即标 准访问控制列表和扩展访问控制列表。
标准访问控制列表
扩展访问控制列表
使用访问控制列表保护路由器
ACL的位置
思考题
• IP地址欺骗——入站; • IP地址欺骗——出站; • DoS TCP SYN攻击——阻塞外部攻击; • DoS TCP SYN攻击——使用TCP拦截; • DoS Smurf攻击; • 过滤ICMP消息——入站; • 过滤ICMP消息——出站; • 过滤ICMP消息路由跟踪。
网络安全简介 访问控制列表 基于时间的访问控制列表 使用ACL降低安全威胁 ACL的位置
从OSI参考模型来看网络安全
物理层安全 通过网络设备进行攻击:例Hub和无线AP进 行攻击。 物理层安全措施:使用交换机替代Hub,给 无线AP配置密码实现无线设备的接入保护和 实现数据加密通信。
从OSI参考模型来看网络安全
数据链路层安全 数据链路层攻击举例:恶意获取数据或MAC地址,例如 ARP欺骗、ARP广播等等。 数据链路层安全措施举例:在交换机的端口上控制连接 计算机的数量或绑定MAC地址或在交换机上划分VLAN也 属于数据链路层安全。ADSL拨号上网的账号和密码实现 的是数据链路层安全。
网络层安全 网络层攻击举例:IP Spoofing(IP欺骗)、 Fragmentation Attacks(碎片攻击)、Reassembly attacks (重组攻击)、PING of death(Ping死攻击)。 网络层安全措施举例:在路由器上设置访问控制列表和 IPSec、在Windows上实现的Windows防火墙和IPSec
IP地址欺骗——入站
决不允许任何源地址是内部主机地址或网络地址的数据 包进入一个私有的 网络
RB(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log RB(config)#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log RB(config)#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log RB(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log RB(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log RB(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log RB(config)#access-list 150 deny ip host 255.255.255.255 any log RB(config)#access-list 150 permit ip any any
典型的安全网络架构
典型的安全网络架构
防火墙种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大 类型。
包过滤防火墙 数据包的源地址 目标地址 协议 端口 应用层防火墙
目标地址 源地址 协议 端口 时间 内容 扩展名 病 毒 方法 用户名 代理服务器
常见的安全威胁
IP大多与生俱来就是不安全的,让我们来分析一些常见的 攻击。
这个访问控制列表允许来自外部网络的对源自内部网络 的请求响应,拒绝任何从外部网络发起的TCP连接。
DoS Smurf攻击对策
Smurf攻击是向一个路由器子网广播地址,发送大量的ICMP 包,IP地址则伪装成属于这个子网。以下例子的目的是防止 转发广播,杜绝Smurf攻击。 RB(config)#access-list 111 deny ip any host 192.168.0.255 log RB(config)#access-list 111 deny ip any host 192.168.1.255 log RB(config)#access-list 111 deny ip any host 192.168.2.255 log RB(config)#access-list 111 deny ip any host 192.168.0.0 log RB(config)#access-list 111 deny ip any host 192.168.1.0 log RB(config)#access-list 111 deny ip any host 192.168.2.0 log RB(config)#interface Serial 2/0 RB(config-if)#ip access-group 111 in
IP地址欺骗对策
出站
决不应该允许Байду номын сангаас何含有非内部网络有效地址的IP数据包出站。
RB(config)#access-list 105 permit ip 192.168.0.0 0.0.255.255 any RB(config)#access-list 105 deny ip any any log RB(config)#interface Serial 2/0 RB(conofig-if)#ip access-group 105 out
DoS TCP SYN攻击对策
阻塞外部访问
RB(config)#access-list 109 permit tcp any 192.168.0.0 0.0.255.255 established RB(config)#access-list 109 deny ip any any log RB(config)#interface Serial 2/0 RB(config-if)#ip access-group 109 in