網絡安全
物理層安全 牆上不用的網線接口,連接交換機的端口關掉
數據鏈路層安全 ADSL撥號賬號和密碼 MAC地址綁定 交換機連接計算機數量控制 創建VLAN
網絡層安全 基於源ip地址目標IP地址的控制
傳輸層安全 會話攻擊 LAND攻擊 syn洪水攻擊
應用層安全 登錄密碼
網絡層安全
標準的ACL 基於源地址進行控制
#config terminal
(config)#access-list 10 deny host 192.168.1.2
(config)#access-list 10 permit 192.168.1.0 0.0.0.255 允許192.168.1.0訪問,使用翻轉子網掩碼
(config)(config)#interface serial 3/0
(config-if)#ip access-group 10 in/out 綁定控制列表到物理接口並確定出還是進檢查訪問列表
(config)#no access-list 10 刪除ACL10
ACL的順序影響訪問控制
擴展的ACL 基於源地址、目標地址、協議、端口號進行控制
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any 允許192.168.1.0/24訪問任何
(config)#access-list 100 permit tcp 192.18.2.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80 允許192.18.2.0/24訪問10.0.0.0/8上的web服務器
(config)#access-list 100 permit icmp 192.18.2.0 0.0.0.255 any 允許192.18.2.0/24ping任何因特網
將acl綁定到telnet接口
(config-line)#access-class 10 in/out
acl具體應用
入站————決不允許任何源地址是內部主機地址或網絡地址的數據包進入一個私有的網絡
#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log
#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 127.16.0.0 0.15.255.255 any log
#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
#access-list 150 deny ip host 255.255.255.255 any log
#access-list 150 permit ip any any
出站————決不允許任何含有非內部網絡有效的ip數據包出站
#access-list 150 permit 192.168.0.0 0.0.255.255 any
#access-list 150 deny ip any any log
阻塞外部訪問
#access-list 109 permit any 192.268.0.0 0.0.255.255 established
#access-list 109 deny ip any any log
過濾ICMP消息————禁止ping命令進內網
#access-list 112 deny icmp any any echo log
#access-list 112 deny icmp any any redirect log
#access-list 112 deny icmp any any mask-request log
#access-list 112 permit icmp any 192.168.0.0 0.0.255.255
物理層安全 牆上不用的網線接口,連接交換機的端口關掉
數據鏈路層安全 ADSL撥號賬號和密碼 MAC地址綁定 交換機連接計算機數量控制 創建VLAN
網絡層安全 基於源ip地址目標IP地址的控制
傳輸層安全 會話攻擊 LAND攻擊 syn洪水攻擊
應用層安全 登錄密碼
網絡層安全
標準的ACL 基於源地址進行控制
#config terminal
(config)#access-list 10 deny host 192.168.1.2
(config)#access-list 10 permit 192.168.1.0 0.0.0.255 允許192.168.1.0訪問,使用翻轉子網掩碼
(config)(config)#interface serial 3/0
(config-if)#ip access-group 10 in/out 綁定控制列表到物理接口並確定出還是進檢查訪問列表
(config)#no access-list 10 刪除ACL10
ACL的順序影響訪問控制
擴展的ACL 基於源地址、目標地址、協議、端口號進行控制
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any 允許192.168.1.0/24訪問任何
(config)#access-list 100 permit tcp 192.18.2.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80 允許192.18.2.0/24訪問10.0.0.0/8上的web服務器
(config)#access-list 100 permit icmp 192.18.2.0 0.0.0.255 any 允許192.18.2.0/24ping任何因特網
將acl綁定到telnet接口
(config-line)#access-class 10 in/out
acl具體應用
入站————決不允許任何源地址是內部主機地址或網絡地址的數據包進入一個私有的網絡
#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log
#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
#access-list 150 deny ip 127.16.0.0 0.15.255.255 any log
#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
#access-list 150 deny ip host 255.255.255.255 any log
#access-list 150 permit ip any any
出站————決不允許任何含有非內部網絡有效的ip數據包出站
#access-list 150 permit 192.168.0.0 0.0.255.255 any
#access-list 150 deny ip any any log
阻塞外部訪問
#access-list 109 permit any 192.268.0.0 0.0.255.255 established
#access-list 109 deny ip any any log
過濾ICMP消息————禁止ping命令進內網
#access-list 112 deny icmp any any echo log
#access-list 112 deny icmp any any redirect log
#access-list 112 deny icmp any any mask-request log
#access-list 112 permit icmp any 192.168.0.0 0.0.255.255
