局域网构建与管理项目教程 教学课件 作者 汪双顶 模块十.pptx

《局域网构建与管理项目教程 教学课件 作者 汪双顶 模块十.pptx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、模块10保护园区网安全10.1保护园区网路由安全10.1.1路由器安全基础路由器的一个重要功能是路由的管理和维护，目前具有一定规模的网络都采用动态的路由协议，常用的有：RIP、OSPF等。当一台设置了相同路由协议，或者相同区域标示符的路由器加入网络后，会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏，此外由于网络中每台路由器都向网络发送自己的路由信息表，扰乱网络上正常工作的路由信息表，严重时可以使整个网络瘫痪。因此在园区网络安全管理上，必须对路由器进行合理规划、配置，采取必要的安全保护措施，

2、避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险，加强路由器安全的具体措施，用以阻止对路由器本身的攻击，并防范网络信息被窃取。10.1.2保护路由器控制台安全新安装的路由器设备也没有任何安全措施。为了保证网络的安全措施，也需要保护路由器控制台安全。路由器控制端口是具有特殊权限的端口，如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。在备份的路由器配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。一旦密码泄漏，网络也就毫无安全可言。

3、1）配置路由器控制台密码：Router#configureterminalRouter（config）#lineconcole0Router（config-line）#loginRouter（config-line）#passwordstar2）配置路由器的登录密码：Router#configureterminalRouter（config）#enablepasswordstar!表示输入的是明文形式的口令Router（config）#enablesecretstar!表示输入的是密文形式的口令10.1

4、.3访问控制列表基础访问控制列表ACL技术是AccessControlList的简写，简单的说法便是数据包过滤。网络管理人员通过对网络互联设备的配置管理，来实施对网络中通过的数据包的过滤，从而实现对网络中的资源进行输入和输出的访问控制。配置在网络互联设备中的访问控制列表ACL实际上是一张规则检查表，这些表中包含了很多简单的指令规则，告诉交换机或者路由器设备，哪些数据包是可以接收，哪些数据包是需要拒绝。交换机或者路由器设备按照ACL中的指令顺序执行这些规则，处理每一个进入端口的数据包，实现对进入或者流出网

5、络互联设备中的数据流过滤。通过在网络互联设备中灵活地增加访问控制列表，可以作为一种网络控制的有力工具，过滤流入和流出数据包，确保网络的安全，因此ACL也称为软件防火墙，如图10-1所示。根据访问控制标准的不同，ACL分多种类型，实现不同的网络安全访问控制权限。常见ACL有两类：标准访问控制列表（StandardIPACL）和扩展访问控制列表（ExtendedIPACL），在规则中使用不同的编号区别，其中标准访问控制列表的编号取值范围为1～99；扩展访问控制列表的编号取值范围为100～199。两种ACL的

6、区别是，标准ACL只匹配、检查数据包中携带的源地址信息；扩展ACL不仅仅匹配检查数据包中源地址信息，还检查数据包的目的地址，以及检查数据包的特定协议类型、端口号等。扩展访问控制列表规则大大扩展了数据流的检查细节，为网络的访问提供了更多的访问控制功能。10.1.4标准访问控制列表基础标准访问控制列表（StandardIPACL）检查数据包的源地址信息，数据包在通过网络设备时，设备解析IP数据包中的源地址信息，对匹配成功的数据包采取拒绝或允许操作。在编制标准的访问控制列表规则时，使用编号1～99来区别同一设

7、备上配置的不同标准访问控制列表条数。10.1.5扩展访问控制列表基础扩展型访问控制列表（ExtendedIPACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大的数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口、目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。扩展ACL使用编号范围从100～199的值标识区别同一接口上多条列表。和标准ACL相比，扩展ACL也存在一些缺点：一是配置管理难度加大，考虑不周

8、很容易限制正常的访问；其次是在没有硬件加速的情况下，扩展ACL会消耗路由器CPU资源。所以中低档路由器进行网络连接时，应尽量减少扩展ACL条数，以提高系统的工作效率。扩展访问控制列表的指令格式如下：Access-listlistnumber{permit

9、deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask[operatoroperand]其中