河北省医疗保障定点医疗机构 .doc
《河北省医疗保障定点医疗机构 .doc》由会员分享,可在线阅读,更多相关《河北省医疗保障定点医疗机构 .doc(46页珍藏版)》请在文库网上搜索。
1、园区网的安全技术 江南大学信息化管理中心乐红兵2 常见的网络攻击: 网络攻击手段多种多样,以上是最常见的几种 江南大学信息化管理中心乐红兵3 攻击不可避免 攻击工具体系化 网络攻击原理日趋复杂,但攻击却 变得越来越简单易操作 江南大学信息化管理中心乐红兵4 额外的不安全因素 DMZ E-Mail File Transfer HTTP IntranetIntranet 企业网络 生产部生产部 工程部工程部 市场部市场部 人事部人事部 路由路由 InternetInternet 中继中继 外部个体 外部/组织 内部个体 内部/组织 江南大学信息化管理中心乐红兵5 现有网络安全体制 现有网络安全 防
2、御体制 IDS/IPS 68% 杀毒软件 99% 防火墙 98% ACL 71% 江南大学信息化管理中心乐红兵6 VPN VPN 虚拟专用网虚拟专用网 防火墙 包过滤 防病毒 入侵检测 江南大学信息化管理中心乐红兵7 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、 网络设备造成的破坏,如MAC地址攻击 、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 江南大学信息化管理中心乐红兵8 交换机端口安全 安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经 达到允许的最大个
3、数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式 来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不 是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知 江南大学信息化管理中心乐红兵9 配置安全端口 端口安全最大连接数配置 switchportport-security!打开该接口的端口安全功能 switchportport-securitymaximumvalue!设置接 口上安全地址的最大个数,范围是1128,缺
4、省值为128 switchportport-securityviolationprotect|restrict|shutdown !设置处理违例的方式 注意: 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后,在全局配置模式下使用命令 errdisablerecoverycauseall来将接口从错误状态中恢复过来 。 江南大学信息化管理中心乐红兵10 配置安全端口 端口的安全地址绑定 switchportport-security!打开该接口的 端口安全功能 switchportport-securitymac-addressmac-address !手工配置
5、接口上的安全地址 注意: 1、端口安全功能只能在access端口上进行配置 江南大学信息化管理中心乐红兵11 案例(一) 下面的例子是配置接口gigabitethernet1/3上的端口安全 功能,设置最大地址个数为8,设置违例方式为protect Switch#configureterminal Switch(config)#interfacegigabitethernet1/3 Switch(config-if)#switchportmodeaccess Switch(config-if)#switchportport-security Switch(config-if)#switchpo
6、rtport-security maximum8 Switch(config-if)#switchportport-securityviolation protect Switch(config-if)#end 江南大学信息化管理中心乐红兵12 案例(二) 下面的例子是配置接口fastethernet0/3上的端口安 全功能,配置端口绑定地址,主机MAC为 00d0.f800.073c Switch#configureterminal Switch(config)#interfacefastethernet0/3 Switch(config-if)#switchportmodeaccess S
7、witch(config-if)#switchportport-security Switch(config-if)#switchportport-securitymac- address00d0.f800.073c Switch(config-if)#end 江南大学信息化管理中心乐红兵13 查看配置信息 查看所有接口的安全统计信息,包括最大安 全地址数,当前安全地址数以及违例处理方 式等 Switch#showport-securitySwitch#showport-security SecurePortMaxSecureAddrCurrentAddrSecurityAction - Gi
8、1/381Protect 江南大学信息化管理中心乐红兵14 查看配置信息 查看安全地址信息 Switch#showport-securityaddressSwitch#showport-securityaddress SecureMacAddressTable - VlanMacAddressTypePortsRemainingAge (mins) - 1001b.000c.0123SecureConfiguredGi2/2- - TotalAddressesinSystem(excludingonemacperport):0 MaxAddresseslimitinSystem(excludi
9、ngonemacperport):3072 江南大学信息化管理中心乐红兵15 什么是访问列表 IPAccess-list:IP访问列表或访问控制列 表,简称IPACL ACL就是对经过网络设备的数据包根据一定的规则进 行数据包的过滤 ISP 江南大学信息化管理中心乐红兵16 访问列表 访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源 访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 江南大学信息化管理中心乐红兵17 访问列表的组成 定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些 数据不允许通过) 第二步,将规则应用在路由器(或交换机)的
10、 接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表 江南大学信息化管理中心乐红兵18 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 F1/0F1/0F1/1F1/1 ININ OUTOUT 江南大学信息化管理中心乐红兵19 访问列表的入栈应用 N Y 是否允许 ? Y 是否应用 访问列表 ? N 查找路由表 进行选路转发 以以ICMPICMP信息通知源发送方信息通知源发
11、送方 江南大学信息化管理中心乐红兵20 以以ICMPICMP信息通知源发送方信息通知源发送方 N Y 选择出口 S0 路由表中是 否存在记录 ? N Y 查看访问列表 的陈述 是否允许 ? Y 是否应用 访问列表 ? N S0 S0 访问列表的出栈应用 江南大学信息化管理中心乐红兵21 IPACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒 绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协 议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝” 江南大学信息化管理中心乐
12、红兵22 Y 拒绝 Y 是否匹配 规则条件1 ? 允许 N 拒绝 允许 是否匹配 规则条件2 ? 拒绝 是否匹配 最后一个 条件 ? YY N YY 允许 隐含拒绝 N 一个访问列表多条过滤规则 江南大学信息化管理中心乐红兵23 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端 口、协议进行规则定义 江南大学信息化管理中心乐红兵24 源地址 TCP/UDP 数据IPeg.HDLC 1-99 号列表 IP标准访问列表 江南大学信息化管理中心乐红兵25 目的地址 源地址 协议 端口号 IP扩展访问列表 TCP/UDP 数
13、据IPeg.HDLC 100-199 号列表 江南大学信息化管理中心乐红兵26 0表示检查相应的地 址比特 1表示不检查相应的 地址比特 00111111 1286432168421 00000000 00001111 11111111 反掩码(通配符) 江南大学信息化管理中心乐红兵27 IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表 Router(config)#access-listpermit|deny源地 址反掩码 命名的标准访问列表 switch(config)#ipaccess-liststandard switch(config-std-nacl)#permit|
14、deny源地址反掩码 2.应用ACL到接口 Router(config-if)#ipaccess-groupin|out 江南大学信息化管理中心乐红兵28 172.16.3.0 172.16.4.0 F1/0 S1/2 F1/1 172.17.0.0 IP标准访问列表配置实例(一) 配置: access-list1permit172.16.3.00.0.0.255 (access-list1denyany) interfaceserial1/2 ipaccess-group1out 江南大学信息化管理中心乐红兵29 标准访问列表配置实例(二) 需求: 你是某校园网管,领导要你对网络的数据流量进
15、 行控制,要求校长可以访问财务的主机,但教师机 不可以访问。 配置: ipaccess-liststandardabc permithost192.168.2.8 deny192.168.2.00.0.0.255 财务 192.168.1.0 教师 192.168.2.0 192.168.2.8 F0/1 F0/2 F0/5F0/6 F0/8 F0/9 F0/10 校长 江南大学信息化管理中心乐红兵30 IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-listpermit/deny 协议源地址反掩码源端口目的地址反掩码目的端 口 命名
16、的扩展ACL ipaccess-listextendednamepermit/deny协议 源地址反掩码源端口目的地址反掩码目的端口 2.应用ACL到接口 Router(config-if)#ipaccess-group in|out 江南大学信息化管理中心乐红兵31 IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络( 192.168.x.x)的所有主机以HTTP访问服务器 172.168.12.3,但拒绝其它所有主机使用网络 Router(config)#access-list103permittcp 192.168.0.00.0.255.255
17、host172.168.12.3eqwww Router#showaccess-lists103 江南大学信息化管理中心乐红兵32 access-list115denyudpanyanyeq69 access-list115denytcpanyanyeq135 access-list115denyudpanyanyeq135 access-list115denyudpanyanyeq137 access-list115denyudpanyanyeq138 access-list115denytcpanyanyeq139 access-list115denyudpanyanyeq139 acce
18、ss-list115denytcpanyanyeq445 access-list115denytcpanyanyeq593 access-list115denytcpanyanyeq4444 access-list115permitipanyany interface ipaccess-group115in ipaccess-group115out IP扩展访问列表配置实例(二) 利用利用ACLACL隔离冲击波病毒隔离冲击波病毒 江南大学信息化管理中心乐红兵33 访问列表的验证 显示全部的访问列表 Router#showaccess-lists 显示指定的访问列表 Router#showacc
19、ess-lists 显示接口的访问列表应用 Router#showipinterface接口名称接口编号 江南大学信息化管理中心乐红兵34 IP访问列表配置注意事项 1、一个端口在一个方向上只能应用一组ACL 2、访问列表的缺省规则是:拒绝所有 江南大学信息化管理中心乐红兵35 实验拓扑 工作目标 在路由器B上配置基于IP的ACL,使192.168.1.0/24网 络中的主机无法访问FTP服务器的FTP服务。 F0/2F1/1F1/0 FTP服务器 192.168.1.2 192.168.4.2 192.168.2.1 192.168.2.2 192.168.3.1 192.168.3.2 B
20、 3760 VLAN2 VALN3 江南大学信息化管理中心乐红兵36 IPACL 注意事项: 1、访问控制列表只对穿越流量起作用 2、标准列表要应用在靠近目标端 3、扩展访问控制列表要应用在靠近源端 4、放置的顺序 5、隐含的拒绝所有 6、列表的编辑 7、列表的调用 8、使用ACL限制远程登录 9、配置ACL时,小心不要拒绝了路由协议 故障排除 江南大学信息化管理中心乐红兵38 计算机网络故障 当网络遭遇故障时,最困难的不是修复网络故障 本身,而是如何迅速地查出故障所在,并确定发 生的原因。对于网络管理员来说,首先要有一个 清晰的排障思路,另外,经验也是非常重要的。 网络故障诊断以网络原理、网
21、络配置和网络运行 的知识为基础,从故障的实际现象出发,以网络 诊断工具为手段获取诊断信息,沿着OSI七层模 型从物理层开始依次向上进行,逐步确定网络故 障点,查找问题的根源,排除故障,恢复网络的 正常运行。 江南大学信息化管理中心乐红兵39 网络故障分层排除法 OSI的层次结构为管理员分析和排查故障提供了非常好的 组织方式。由于各层相对独立,按层排查能够有效地发现和 隔离故障,因而一般使用逐层分析和排查的方法。 通常有两种逐层排查方式: 是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的 网络、重新调整网络线缆、增加新的网络设备; 是从高层开始排查,适用于物理网络相对成熟稳定的情况
22、,如硬件设备 没有变动。 在实际应用中往往采用折衷的方式,凡是涉及到网络通 信的应用出了问题,直接从位于中间的网络层开始排查,首 先测试网络连通性,如果网络不能连通,再从物理层(测试 线路)开始排查;如果网络能够连通,再从应用层(测试应 用程序本身)开始排查。 江南大学信息化管理中心乐红兵40 网络故障分层排除法 物理层:采用替换法或专门的线缆测试仪,没有测试仪的可 通过网络设备(网卡、交换机等)信号灯进行简单的目测。 数据链路层:相对于其他的协议层,数据链路层出现问题的 可能性不大,对于TCP/IP网络,可以使用简单的arp命令来检 查MAC地址(物理地址)和IP地址之间的映射问题。 网络层
23、和传输层是最容易出现问题的两层,路由配置容易出 现错误,可通过route命令来测试路由路径是否正确,也可使 用ping命令来测试连通性。对于复杂的问题,也可以通过专门 的协议分析器(如微软提供的网络监视器),专业的协议分析 软件snifferpro等,这些协议分析器具有很强的检测和排查能 力,能够分析链路层及其以上层次的数据通信。 应用层的问题,则需要对程序进行检查,或检查有没有什么 其他程序影响到应用层本身工作。 江南大学信息化管理中心乐红兵41 网络故障排除步骤 第一步:全面收集信息,并分析故障现象 全面了解故障的情况,并详细询问相关细节,可以请故障发生时 操作人员描述正常运行时的情况,如
24、果有可能的话,亲自去验证一下 所出现的问题。看是否有正常的功能不见了,还是有异常的反应?检 查一下在故障发生之前是否对该节点或是网络进行了改动。 第二步:定位故障范围 通过第一步全面的收集的信息分析,可以将故障范围缩小到一个 网段或节点。基于所作的分析,判断故障是否与一个网段有关,还是 局限于一个节点。缩小故障范围是解决的开始。 例如当某台计算机发生无法上网的故障时,管理员可以询问其他用 户是否也同样出现了这一问题,如果所有的用户都出现这一现象,则 说明故障不在用户网络这端,在出口网络设备或其他设备上。 江南大学信息化管理中心乐红兵42 网络故障排除步骤 第三步:故障隔离 如果故障影响整个网段
25、,那么就通过减少可能的故障源来隔离故障。除两个节 点外断开其它所有的节点。如果这两个节点能正常通讯,再增加其它节点。如这两 个节点不能通讯,就要对物理层的有关部分,如电缆的接头、电缆本身或与它们相 连的Hub和网卡等进行检查。 如果故障能被隔离至一个节点,可以更换网卡,使用好的网卡驱动程序(绝不能使 用该节点现有的网络软件或配置文件),或是用一条新的电缆与网络相连。如果网 络的连接没有问题,那么检查一下是否只是某一个应用有问题。使用相同的驱动器 或是文件系统运行其它的应用程序。与其它节点比较配置情况,试用应用程序(同 样不要使用现有的软件或配置文件) 如果只是一名用户出现使用问题,检查涉及该节
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 河北省医疗保障定点医疗机构 河北省 医疗保障 定点 医疗机构