中小型网络设计与安全部署案例分析II.ppt

中小型网络设计与安全部署案例分析 主讲人 路由交换 提纲 1 拓扑图结构分析2 vlan设计3 路由设计4 安全设计 firewall vpn 5 优化设计 Vlan设计1 把4个机房划分成4个VLAN10 402 把服务器群划分成VLAN503 把三层交换机和路由器相连的链路划分成VLAN50当中4 所有二层交换机和三层交换机相连的端口设置成为TRUNK端口类型 路由设计1 三层交换机对路由器设置为默认路由2 路由到内网的用聚合后的静态路由3 路由器到外网用默认路由 安全设计1 路由器外网端口开启防攻击设置2 路由器外网端口DENY掉常受攻击的端口3 开启L2TPVPN功能 提供在外的员工安全的进入内网中 网络优化1 按目的地址路由如果此案例场景为网吧电信网通双光纤网吧网络就应该使用这种策略 比较简单 2 按源地址路由策略假如按照拓扑结构图规划 2个机房各用一根光纤 服务器群用一个光纤 路由策略 三层交换机配置命令1 VLAN间路由的配置命令interfaceVlan interface10ipaddress192 168 1 1255 255 255 0interfaceVlan interface20ipaddress192 168 2 1255 255 255 0 interfaceVlan interface30ipaddress192 168 3 1255 255 255 0interfaceVlan interface40ipaddress192 168 4 1255 255 255 0interfaceVlan interface50ipaddress192 168 5 1255 255 255 0 2 DHCP配置dhcpserverip pool3network192 168 3 0mask255 255 255 0gateway list192 168 3 1dns list202 101 224 68 3 服务MAC绑定arpstatic192 168 5 2020024 e87b c0e4arpstatic192 168 5 2500024 e879 6400arpstatic192 168 5 248c80a a910 a07c 4 三层交换机到路由器的默认路由iproute static0 0 0 00 0 0 0192 168 5 2preference60 路由器的路由设置1 到内网iproute static192 168 0 0255 255 0 0192 168 5 1preference602 到公网iproute static0 0 0 00 0 0 0218 1preference60 路由器的安全设置1 常受攻击端口关闭aclnumber3333rule0denyudpdestination porteqtftprule1denytcpdestination porteq135rule2denyudpdestination porteq135rule3denyudpdestination porteqnetbios nsrule4denyudpdestination porteqnetbios dgmrule5denytcpdestination porteq13954 rule6denyudpdestination porteqnetbios ssnrule7denytcpdestination porteq445rule8denyudpdestination porteq445rule9denytcpdestination porteq539rule10denyudpdestination porteq539rule11denyudpdestination porteq593rule12denytcpdestination porteq593 rule15denytcpdestination porteq4444rule16denytcpdestination porteq9996rule17denytcpdestination porteq55rule18denyudpdestination porteq9996rule19denyudpdestination porteq5554rule20denytcpdestination porteq137rule21denytcpdestination porteq138rule22denytcpdestination porteq1025 rule23denyudpdestination porteq1025rule24denytcpdestination porteq9995rule25denyudpdestination porteq9995rule26denytcpdestination porteq1068rule27denyudpdestination porteq1068rule28denytcpdestination porteq1023rule29denyudpdestination porteq1023 rule30permiticmpicmp typeechorule31permiticmpicmp typeecho replyrule32permiticmpicmp typettl exceededrule33denyicmprule34denytcpdestination porteq1433firewallpacket filter3333inbound 在接口上下发此ACL 为进入的方向 2 常受攻击方式的防范firewalldefendlandfirewalldefendsmurffirewalldefendfragglefirewalldefendwinnukefirewalldefendicmp redirectfirewalldefendicmp unreachablefirewalldefendsource routefirewalldefendroute recordfirewalldefendtracert firewalldefendping of deathfirewalldefendtcp flagfirewalldefendip fragmentfirewalldefendlarge icmpfirewalldefendteardropfirewalldefendip sweepfirewalldefendport scanfirewalldefendarp spoofingfirewalldefendarp reverse query firewalldefendarp floodfirewalldefendfrag floodfirewalldefendsyn floodenablefirewalldefendudp floodenablefirewalldefendicmp floodenable 1 IP地址欺骗 IPSpoofing 攻击为了获得访问权 入侵者生成一个带有伪造源地址的报文 对于使用基于IP地址验证的应用来说 此攻击方法可以导致未被授权的用户可以访问目的系统 甚至是以root权限来访问 2 Land攻击所谓Land攻击 就是把TCPSYN包的源地址和目标地址都配置成受害者的IP地址 这将导致受害者向它自己的地址发送SYN ACK消息 结果这个地址又返回ACK消息并创建一个空连接 每一个这样的连接都将保留直到超时掉 各种受害者对Land攻击反应不同 许多UNIX主机将崩溃 WindowsNT主机会变的极其缓慢 3 Smurf攻击简单的Smurf攻击 用来攻击一个网络 方法是发ICMP应答请求 该请求包的目标地址配置为受害网络的广播地址 这样该网络的所有主机都对此ICMP应答请求作出答复 导致网络阻塞 高级的Smurf攻击主要用来攻击目标主机 方法是将上述ICMP应答请求包的源地址改为受害主机的地址 最终导致受害主机接收到大量的ICMP应答消息而崩溃 攻击报文的发送需要一定的流量和持续时间 才能真正构成攻击 理论上讲 网络的主机越多 攻击的效果越明显 Smurf攻击的另一个变体为Fraggle攻击 4 WinNuke攻击WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口 139 发送OOB out of band 数据包 引起一个NetBIOS片断重叠 致使目标主机崩溃 还有一种是IGMP分片报文 一般情况下 IGMP报文是不会分片的 所以 不少系统对IGMP分片报文的处理有问题 如果收到IGMP分片报文 则基本可判定受到了攻击 5 SYNFlood攻击由于资源的限制 TCP IP栈只能允许有限个TCP连接 而SYNFlood攻击正是利用这一点 它伪造一个SYN报文 其源地址是伪造的或者是一个不存在的地址 向服务器发起连接 服务器在收到报文后用SYN ACK应答 而此应答发出去后 不会收到ACK报文 造成一个半连接 如果攻击者发送大量这样的报文 会在被攻击主机上出现大量的半连接 消耗尽其资源 使正常的用户无法访问 直到半连接超时 在一些创建连接不受限制的实现里 SYNFlood具有类似的影响 它会消耗掉系统的内存等资源 6 ICMP和UDPFlood攻击这种攻击短时间内用大量的ICMP消息 如ping 和UDP报文向特定目标不断请求回应 致使目标系统负担过重而不能处理合法的传输任务 7 地址扫描与端口扫描攻击运用扫描工具探测目标地址和端口 对此作出响应的表示其存在 用来确定哪些目标系统确实存活着并且连接在目标网络上 这些主机使用哪些端口提供服务 为后续的攻击做准备 8 PingofDeath攻击所谓PingofDeath 就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击 IP报文的长度字段为16位 这表明一个IP报文的最大长度为65535 对于ICMP回应请求报文 如果数据长度大于65507 就会使ICMP数据 IP头长度 20 ICMP头长度 8 65535 对于有些路由器或系统 在接收到一个这样的报文后 由于处理不当 会造成系统崩溃 死机或重启 3 L2tpvpn设置l2tpenable 使能L2TP local uservpnuser passwordsimplevpnuser L2TP用户名和密码 ippool110 1 2 1010 1 2 20 给L2TP分配的地址池 PC作为LAC 直接发起L2TP隧道 interfaceVirtual Template0 使能L2TP的虚接口 ipaddress10 1 2 1255 255 255 0remoteaddresspool1 给L2TP客户分配地址池1中的地址 l2tp group1 创建L2TP组 undotunnelauthenticationallowl2tpvirtual template0 取消隧道验证 默认启用 这时LAC和LNS必须配置隧道验证字 allowl2tpvirtual template0 在虚接口0上启用L2TP 4 出口优化设计aclnumber2100match orderautorule0permitsource192 168 4 00 0 0 255rule1denyaclnumber2600match orderautorule0permitsource192 168 5 00 0 0 255 route policysjxjfpermitnode1if matchacl2100applyip addressnext hop10 20 160 1route policysjxjfpermitnode6if