第5章网络安全管理园区网常见安全隐患威胁漏洞网络安全的演化现有网络安全体制常见解决安全隐患的方案交换机端口安全交换机端口安全配置安全端口端口安全的默认配置和限制端口安全配置示例验证命令验证命令访问控制列表为什么要使用访问列表为什么要使用访问列表访问列表的应用以ICMP信息通知源发送方IPACL的基本准则源地址目的地址0表示检查相应的地址比特 1表示不检查相应的地址比特1.定义标准ACL 编号的标准访问列表Router(config)#access-list<1-99>{permit|deny}源地址[反掩码] 命名的标准访问列表 ipaccess-liststandard{name} deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}下例显示如何创建一条ExtendedIPACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络。 Switch（config）#ipaccess-listextendedallow_0xc0a800_to_172.168.12.3 Switch（config-std-nacl）#permittcp192.168.0.00.0.255.255host172.168.12.3eqwww Switch（config-std-nacl）#end Switch#showaccess-lists 扩展访问列表的应用NAT/NAPT带来的好处什么是NAT/NAPTNAT/NAPT的术语静态与动态NATNAT示例配置静态NAT配置动态NAT什么时候用NAPT静态与动态NAPTNAPT示例配置静态NAPT配置动态NAPTNAT的监视和维护命令1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2．可以很方便地监视网络的安全性，并报警。 3．可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 4.是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。常见防火墙的类型主要有两种：包过滤和代理防火墙 包过滤防火墙(IPFiltingFirewall)：包过滤(PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。下面是某一包过滤防火墙的访问控制规则：(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；(3)允许任何地址的E－mail(25口)进入主机150.0.0.3；(4)允许任何WWW数据（80口）通过；(5)不允许其他数据包进入。包过滤防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。代理防火墙 代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后