安全(Security)

一些常见的***:

应用层***:利用软件漏洞***。

autorooters:利用rootkit扫描、探测目标主机的数据,然后监视整个系统。

后门程序:在目标主机装入一程序,通过远程进入主机并控制。

拒绝服务DOS和分布式拒绝服务(DDOS)***:发送大量数据,让主机停止服务。有TCP-SYN泛洪***、死亡PING***、族群式泛洪***(TFN)和族群式2000泛洪***(TFN2000)。

IP欺骗:通过IP伪装成一台可信的主机。

中间人***:拦截数据,更改数据。

网络侦察:通过扫描、探测软件找到网络漏洞。

包嗅探、口令***、强暴***、端口重定向***。

访问控制列表:是一系列对数据包进行分类的条件,调节网络流量,控制网络包的走向,增强网络安全的一系列条件。

访问列表的遵循规则:

1、按顺序比较访问列表的第一行,

2、比较访问列表的各行,直到匹配的一行,后面的不在进行比较。

3、在所有行不匹配的时候,后面隐含量了一个拒绝的语句,如果访问控制列没有匹配,将丢弃所有数据。

访问列表类型:标准访问列表和扩展访问列表,还有命名式的访问列表。命名列表可以是标准的也可以是扩展的。

入口访问列表:当访问列表被应用到从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表的处理,路由之前就被丢弃。

出口访问列表:当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接口中,然后在进入该接口的输出队列之前经过访问列表的处理。

访问列表配置指南:

1、每个接口、每个协议或每个方向只可以分派一个访问列表。

2、将特殊的测试放在访问列表的最前面,

3、添加新的访问列表条目时,都将放在最末尾。

4、不能删除访问列表的某一行,除命名访问列表。

5、如果访问列表末尾没有允许所有的命令,测试条件不符合将拒绝所有的数据据通过。

6、将IP标准访问列表放在靠近目的地址的位置。

7、将扩展IP访问列表放在靠近源地址的位置。

标准的IP访问列表通过使用IP包中的源IP地址过虑网络中的流量。可以使用访问列表号1~~99或1300~~1999(扩展范围)创建标准的访问列表。

router(config)#access-list_1_deny_host_192.168.1.1-----拒绝源主机192.168.1.1流量通过。

router(config)#access-list_1_permit_192.168.1.0_255.255.255.0---------允许源为192.168.1.0网络的所有主机流量通行。

router(config)#access-list_1_permit_192.168.1.0_0.0.0.255---------------允许源为192.168.1.0网络的所有主机流量通行。

通配符掩码:是用来标识一个段的网络,第一个块的必须从0或块的大小倍数开始。

router(config-if)#ip_access-group_1_out----------把标准访问列表1应用的接口的出方向。

router(config-if)#ip_access-group_1_in----------把标准访问列表1应用的接口的入方向。

router(config_line)#access-class_1_in----------把标准访问列表1应用的VTY线路的入方向,

扩展访问列表:

扩展访问列表可以允许指定源地址和目地地址,以及标识上层的协议或应用程序的协议和端口号。

router(config)#access-list_110_deny_tcp_any_host_192.168.1.1_eq_23_log

拒绝目标地址192.168.1.1的telnet所有流量,并发送到日志信息中。

命名访问列表可以是标准的也可以是扩展的访问列表

router(config)#ip_access-list_"extended|standard"_"名称"----------创建命名访问列表

router(config-std-nacl)#permit_host_192.168.1.1-------------命名列表允许源主机192.168.1.1流量通过。

router(config-if)#ip_access-group_"名称"_out-----------把命名列表应用的接口的出方向

交换机端口访问控制列表(ACL):只能把它应用在接口的入口列表上,并且只能使用命名的访问列表

switch(config)#mac_access-list_extended_"名称"-------创建扩展命名的MAC访问列表

switch(config-ext-macl)#deny_host_any_host_xxxx.xxxx.xxxx-------------命名MAC访问列表拒绝目标xxxx.xxxx.xxxx的所有流量。

switch(config-if)max_access-group_"名称"_in-----------把MAC命名列表应用到接口的入方向

基于时间的访问控制列表:

router(config)#time-range_"名字"--------------创建一个时间规则

router(config-time-range)#periodic------------定义一个周期时间

router(config-time-range)#absolute------------定义一个绝对时间

router(config)#ip_access-list_extended_"名字"

router(config-ext-nacl)#deny_tcp_any_any_eq_www_time-range_"名字"---------调用时间规则到访问列表中。

router(config-if)#ip_access-group_"名字"_in---------调用访问列表到接口的入方向

注释:

router(config)#ip_access-list_110_remark_"说明内容,注释内容"

router#show_access-list----------------显示访问列表参数

router#show_access-list_110----------显示访问列表110的参数

router#show_ip_access-list--------------显示IP访问列表参数

router#show_run--------------------显示那些接口被配置了访问列表

router#show_mac_access-group-----------显示二层接口的MAC访问列表