网络安全
物理层安全 墙上不用的网线接口,连接交换机的端口关掉
数据链路层安全 ADSL拨号账号和密码 MAC地址绑定 交换机连接计算机数量控制 创建VLAN
网络层安全 基于源ip地址目标IP地址的控制
传输层安全 会话攻击 LAND攻击 syn洪水攻击
应用层安全 登录密码
网络层安全
标准的ACL 基于源地址进行控制
#config terminal
(config)#access-list 10 deny host 192.168.1.2
(config)#access-list 10 permit 192.168.1.0 0.0.0.255 允许192.168.1.0访问,使用翻转子网掩码
(config)(config)#interface serial 3/0
(config-if)#ip access-group 10 in/out 绑定控制列表到物理接口并确定出还是进检查访问列表
(config)#no access-list 10 删除ACL10
ACL的顺序影响访问控制
扩展的ACL 基于源地址、目标地址、协议、端口号进行控制
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any 允许192.168.1.0/24访问任何
(config)#access-list 100 permit tcp 192.18.2.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80 允许192.18.2.0/24访问10.0.0.0/8上的web服务器
(config)#access-list 100 permit icmp 192.18.2.0 0.0.0.255 any 允许192.18.2.0/24ping任何因特网
将acl绑定到telnet接口
(config-line)#access-class 10 in/out
acl具体应用
入站————决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络
#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log
#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 127.16.0.0 0.15.255.255 any log
#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
#access-list 150 deny ip host 255.255.255.255 any log
#access-list 150 permit ip any any
出站————决不允许任何含有非内部网络有效的ip数据包出站
#access-list 150 permit 192.168.0.0 0.0.255.255 any
#access-list 150 deny ip any any log
阻塞外部访问
#access-list 109 permit any 192.268.0.0 0.0.255.255 established
#access-list 109 deny ip any any log
过滤ICMP消息————禁止ping命令进内网
#access-list 112 deny icmp any any echo log
#access-list 112 deny icmp any any redirect log
#access-list 112 deny icmp any any mask-request log
#access-list 112 permit icmp any 192.168.0.0 0.0.255.255
物理层安全 墙上不用的网线接口,连接交换机的端口关掉
数据链路层安全 ADSL拨号账号和密码 MAC地址绑定 交换机连接计算机数量控制 创建VLAN
网络层安全 基于源ip地址目标IP地址的控制
传输层安全 会话攻击 LAND攻击 syn洪水攻击
应用层安全 登录密码
网络层安全
标准的ACL 基于源地址进行控制
#config terminal
(config)#access-list 10 deny host 192.168.1.2
(config)#access-list 10 permit 192.168.1.0 0.0.0.255 允许192.168.1.0访问,使用翻转子网掩码
(config)(config)#interface serial 3/0
(config-if)#ip access-group 10 in/out 绑定控制列表到物理接口并确定出还是进检查访问列表
(config)#no access-list 10 删除ACL10
ACL的顺序影响访问控制
扩展的ACL 基于源地址、目标地址、协议、端口号进行控制
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any 允许192.168.1.0/24访问任何
(config)#access-list 100 permit tcp 192.18.2.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80 允许192.18.2.0/24访问10.0.0.0/8上的web服务器
(config)#access-list 100 permit icmp 192.18.2.0 0.0.0.255 any 允许192.18.2.0/24ping任何因特网
将acl绑定到telnet接口
(config-line)#access-class 10 in/out
acl具体应用
入站————决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络
#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log
#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 127.16.0.0 0.15.255.255 any log
#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
#access-list 150 deny ip host 255.255.255.255 any log
#access-list 150 permit ip any any
出站————决不允许任何含有非内部网络有效的ip数据包出站
#access-list 150 permit 192.168.0.0 0.0.255.255 any
#access-list 150 deny ip any any log
阻塞外部访问
#access-list 109 permit any 192.268.0.0 0.0.255.255 established
#access-list 109 deny ip any any log
过滤ICMP消息————禁止ping命令进内网
#access-list 112 deny icmp any any echo log
#access-list 112 deny icmp any any redirect log
#access-list 112 deny icmp any any mask-request log
#access-list 112 permit icmp any 192.168.0.0 0.0.255.255