安全(Security)
一些常見的***:
應用層***:利用軟件漏洞***。
autorooters:利用rootkit掃描、探測目標主機的數據,然後監視整個系統。
後門程序:在目標主機裝入一程序,通過遠程進入主機並控制。
拒絕服務DOS和分佈式拒絕服務(DDOS)***:發送大量數據,讓主機停止服務。有TCP-SYN泛洪***、死亡PING***、族羣式泛洪***(TFN)和族羣式2000泛洪***(TFN2000)。
IP欺騙:通過IP僞裝成一臺可信的主機。
中間人***:攔截數據,更改數據。
網絡偵察:通過掃描、探測軟件找到網絡漏洞。
包嗅探、口令***、強暴***、端口重定向***。
訪問控制列表:是一系列對數據包進行分類的條件,調節網絡流量,控制網絡包的走向,增強網絡安全的一系列條件。
訪問列表的遵循規則:
1、按順序比較訪問列表的第一行,
2、比較訪問列表的各行,直到匹配的一行,後面的不在進行比較。
3、在所有行不匹配的時候,後面隱含量了一個拒絕的語句,如果訪問控制列沒有匹配,將丟棄所有數據。
訪問列表類型:標準訪問列表和擴展訪問列表,還有命名式的訪問列表。命名列表可以是標準的也可以是擴展的。
入口訪問列表:當訪問列表被應用到從接口輸入的包時,那些包在被路由到輸出接口之前要經過訪問列表的處理,路由之前就被丟棄。
出口訪問列表:當訪問列表被應用到從接口輸出的包時,那些包首先被路由到輸出接口中,然後在進入該接口的輸出隊列之前經過訪問列表的處理。
訪問列表配置指南:
1、每個接口、每個協議或每個方向只可以分派一個訪問列表。
2、將特殊的測試放在訪問列表的最前面,
3、添加新的訪問列表條目時,都將放在最末尾。
4、不能刪除訪問列表的某一行,除命名訪問列表。
5、如果訪問列表末尾沒有允許所有的命令,測試條件不符合將拒絕所有的數據據通過。
6、將IP標準訪問列表放在靠近目的地址的位置。
7、將擴展IP訪問列表放在靠近源地址的位置。
標準的IP訪問列表通過使用IP包中的源IP地址過慮網絡中的流量。可以使用訪問列表號1~~99或1300~~1999(擴展範圍)創建標準的訪問列表。
router(config)#access-list_1_deny_host_192.168.1.1-----拒絕源主機192.168.1.1流量通過。
router(config)#access-list_1_permit_192.168.1.0_255.255.255.0---------允許源爲192.168.1.0網絡的所有主機流量通行。
router(config)#access-list_1_permit_192.168.1.0_0.0.0.255---------------允許源爲192.168.1.0網絡的所有主機流量通行。
通配符掩碼:是用來標識一個段的網絡,第一個塊的必須從0或塊的大小倍數開始。
router(config-if)#ip_access-group_1_out----------把標準訪問列表1應用的接口的出方向。
router(config-if)#ip_access-group_1_in----------把標準訪問列表1應用的接口的入方向。
router(config_line)#access-class_1_in----------把標準訪問列表1應用的VTY線路的入方向,
擴展訪問列表:
擴展訪問列表可以允許指定源地址和目地地址,以及標識上層的協議或應用程序的協議和端口號。
router(config)#access-list_110_deny_tcp_any_host_192.168.1.1_eq_23_log
拒絕目標地址192.168.1.1的telnet所有流量,併發送到日誌信息中。
命名訪問列表可以是標準的也可以是擴展的訪問列表
router(config)#ip_access-list_"extended|standard"_"名稱"----------創建命名訪問列表
router(config-std-nacl)#permit_host_192.168.1.1-------------命名列表允許源主機192.168.1.1流量通過。
router(config-if)#ip_access-group_"名稱"_out-----------把命名列表應用的接口的出方向
交換機端口訪問控制列表(ACL):只能把它應用在接口的入口列表上,並且只能使用命名的訪問列表
switch(config)#mac_access-list_extended_"名稱"-------創建擴展命名的MAC訪問列表
switch(config-ext-macl)#deny_host_any_host_xxxx.xxxx.xxxx-------------命名MAC訪問列表拒絕目標xxxx.xxxx.xxxx的所有流量。
switch(config-if)max_access-group_"名稱"_in-----------把MAC命名列表應用到接口的入方向
基於時間的訪問控制列表:
router(config)#time-range_"名字"--------------創建一個時間規則
router(config-time-range)#periodic------------定義一個週期時間
router(config-time-range)#absolute------------定義一個絕對時間
router(config)#ip_access-list_extended_"名字"
router(config-ext-nacl)#deny_tcp_any_any_eq_www_time-range_"名字"---------調用時間規則到訪問列表中。
router(config-if)#ip_access-group_"名字"_in---------調用訪問列表到接口的入方向
註釋:
router(config)#ip_access-list_110_remark_"說明內容,註釋內容"
router#show_access-list----------------顯示訪問列表參數
router#show_access-list_110----------顯示訪問列表110的參數
router#show_ip_access-list--------------顯示IP訪問列表參數
router#show_run--------------------顯示那些接口被配置了訪問列表
router#show_mac_access-group-----------顯示二層接口的MAC訪問列表