安全(Security)
一些常见的攻击:
应用层攻击:利用软件漏洞攻击。
autorooters:利用rootkit扫描、探测目标主机的数据,然后监视整个系统。
后门程序:在目标主机装入一程序,通过远程进入主机并控制。
拒绝服务DOS和分布式拒绝服务(DDOS)攻击:发送大量数据,让主机停止服务。有TCP-SYN泛洪攻击、死亡PING攻击、族群式泛洪攻击(TFN)和族群式2000泛洪攻击(TFN2000)。
IP欺骗:通过IP伪装成一台可信的主机。
中间人攻击:拦截数据,更改数据。
网络侦察:通过扫描、探测软件找到网络漏洞。
包嗅探、口令攻击、强暴攻击、端口重定向攻击。
访问控制列表:是一系列对数据包进行分类的条件,调节网络流量,控制网络包的走向,增强网络安全的一系列条件。
访问列表的遵循规则:
1、按顺序比较访问列表的第一行,
2、比较访问列表的各行,直到匹配的一行,后面的不在进行比较。
3、在所有行不匹配的时候,后面隐含量了一个拒绝的语句,如果访问控制列没有匹配,将丢弃所有数据。
访问列表类型:标准访问列表和扩展访问列表,还有命名式的访问列表。命名列表可以是标准的也可以是扩展的。
入口访问列表:当访问列表被应用到从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表的处理,路由之前就被丢弃。
出口访问列表:当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接口中,然后在进入该接口的输出队列之前经过访问列表的处理。
访问列表配置指南:
1、每个接口、每个协议或每个方向只可以分派一个访问列表。
2、将特殊的测试放在访问列表的最前面,
3、添加新的访问列表条目时,都将放在最末尾。
4、不能删除访问列表的某一行,除命名访问列表。
5、如果访问列表末尾没有允许所有的命令,测试条件不符合将拒绝所有的数据据通过。
6、将IP标准访问列表放在靠近目的地址的位置。
7、将扩展IP访问列表放在靠近源地址的位置。
标准的IP访问列表通过使用IP包中的源IP地址过虑网络中的流量。可以使用访问列表号1~~99或1300~~1999(扩展范围)创建标准的访问列表。
router(config)#access-list_1_deny_host_192.168.1.1-----拒绝源主机192.168.1.1流量通过。
router(config)#access-list_1_permit_192.168.1.0_255.255.255.0---------允许源为192.168.1.0网络的所有主机流量通行。
router(config)#access-list_1_permit_192.168.1.0_0.0.0.255---------------允许源为192.168.1.0网络的所有主机流量通行。
通配符掩码:是用来标识一个段的网络,第一个块的必须从0或块的大小倍数开始。
router(config-if)#ip_access-group_1_out----------把标准访问列表1应用的接口的出方向。
router(config-if)#ip_access-group_1_in----------把标准访问列表1应用的接口的入方向。
router(config_line)#access-class_1_in----------把标准访问列表1应用的VTY线路的入方向,
扩展访问列表:
扩展访问列表可以允许指定源地址和目地地址,以及标识上层的协议或应用程序的协议和端口号。
router(config)#access-list_110_deny_tcp_any_host_192.168.1.1_eq_23_log
拒绝目标地址192.168.1.1的telnet所有流量,并发送到日志信息中。
命名访问列表可以是标准的也可以是扩展的访问列表
router(config)#ip_access-list_"extended|standard"_"名称"----------创建命名访问列表
router(config-std-nacl)#permit_host_192.168.1.1-------------命名列表允许源主机192.168.1.1流量通过。
router(config-if)#ip_access-group_"名称"_out-----------把命名列表应用的接口的出方向
交换机端口访问控制列表(ACL):只能把它应用在接口的入口列表上,并且只能使用命名的访问列表
switch(config)#mac_access-list_extended_"名称"-------创建扩展命名的MAC访问列表
switch(config-ext-macl)#deny_host_any_host_xxxx.xxxx.xxxx-------------命名MAC访问列表拒绝目标xxxx.xxxx.xxxx的所有流量。
switch(config-if)max_access-group_"名称"_in-----------把MAC命名列表应用到接口的入方向
基于时间的访问控制列表:
router(config)#time-range_"名字"--------------创建一个时间规则
router(config-time-range)#periodic------------定义一个周期时间
router(config-time-range)#absolute------------定义一个绝对时间
router(config)#ip_access-list_extended_"名字"
router(config-ext-nacl)#deny_tcp_any_any_eq_www_time-range_"名字"---------调用时间规则到访问列表中。
router(config-if)#ip_access-group_"名字"_in---------调用访问列表到接口的入方向
注释:
router(config)#ip_access-list_110_remark_"说明内容,注释内容"
router#show_access-list----------------显示访问列表参数
router#show_access-list_110----------显示访问列表110的参数
router#show_ip_access-list--------------显示IP访问列表参数
router#show_run--------------------显示那些接口被配置了访问列表
router#show_mac_access-group-----------显示二层接口的MAC访问列表