Презентация на тему: МДК.01.01 Организация, принципы построения и функционирования компьютерных

Реклама. Продолжение ниже
МДК.01.01 Организация, принципы построения и функционирования компьютерных сетей 3 -курс
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
Список литературы :
Список ссылок:
МДК.01.01 Организация, принципы построения и функционирования компьютерных
1/61
Средняя оценка: 4.6/5 (всего оценок: 56)
Код скопирован в буфер обмена
Скачать (12885 Кб)
Реклама. Продолжение ниже
1

Первый слайд презентации: МДК.01.01 Организация, принципы построения и функционирования компьютерных сетей 3 -курс

Занятие 1 4 Практические занятия

Изображение слайда
1/1
2

Слайд 2

Тема: Cisco ASA ( Adaptive Security Appliance ) – межсетевой экран. Основной задачей этого устройства является обеспечение сетевой безопасности. Межсетевой экран – это маршрутизирующее устройство (третий уровень модели OSI ). Устанавливается данное устройство как на границе сети Интернет, так называемый «Периметр», так и в сегменте серверов для обеспечения безопасности. При построении защищённой сети межсетевой экран – это главный компонент. Функции межсетевого экрана и маршрутизатора во многом схожи. Оба устройства поддерживают: - динамическую маршрутизацию ( RIP, OSPF, EIGRP ); - трансляцию сетевых адресов ( NAT – Network Address Translation );

Изображение слайда
Изображение для работы со слайдом
1/2
3

Слайд 3

- фильтрацию трафика, используя Access List ; - VPN (Site-to-Site, RA VPN) — виртуальная частная сеть. Это технология которая позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например, Интернет. Межсетевой экран Cisco ASA – это прежде всего устройство безопасности. И такие функции безопасности как межсетевой экран, IPS, VPN, подключение удаленных пользователей, с технической точки зрения реализованы лучше чем на обычном маршрутизаторе. В межсетевых экранах по умолчанию включены многие функции безопасности, которые на маршрутизаторе необходимо настраивать в ручную, либо они вообще отсутствуют.

Изображение слайда
Изображение для работы со слайдом
1/2
4

Слайд 4

Основные функции Cisco ASA : 1. Stateful packet inspection, SPI — инспекция пакетов с хранением состояния. Эта технология позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность. Данная технология работает на сетевом, сеансовом и прикладном уровнях модели OSI. 2. Identity Firewall, IDFW – это технология, которая является эволюцией технологии фаирволла на сетевых экранах Cisco ASA. Главной особенностью технологии является возможность написания различных правил доступа (напр. ACL) относительно не IP-адресов, а конкретно для определенного пользователя или же группы пользователей. Это может быть очень удобно для сетей, где у пользователей нет фиксированных IP-адресов, т.е. в подавляющем большинстве компаний.

Изображение слайда
Изображение для работы со слайдом
1/2
5

Слайд 5

3. Архитектура Cisco TrustSec – это система управления безопасностью сети с помощью меток безопасности Secure Group Tag (SGT), которые по своему потенциалу несут если не революционный (хотя на мой взгляд именно такой), то уж точно намного более глубокий и продвинутый подход к формированию политик доступа в сеть с возможностью их детализации и применения прозрачно через всю сеть. 4. Улучшенный VPN ( Virtual Private Network, виртуальная частная сеть — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет ). 5. Функция IPS – является встроенным решением для глубокого анализа сетевого трафика, которое помогает ПО Cisco IOS эффективно нейтрализовывать сетевые атаки.

Изображение слайда
Изображение для работы со слайдом
1/2
6

Слайд 6

Межсетевой экран это в первую очередь фильтр. Использование межсетевого экрана исключительно для маршрутизации будет неправильным, тем более что многие функции доступны только в традиционных маршрутизаторах : - BGP ( Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации ; - MPLS ( M ultiprotocol L abel S witching, многопротокольная коммутация по меткам) — механизм в высокопроизводительной телекоммуникационной сети, осуществляющий передачу данных от одного узла сети к другому с помощью меток ; - DMVPN ( Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей, разработанная Cisco Systems.

Изображение слайда
Изображение для работы со слайдом
1/2
7

Слайд 7

Технология DMVPN является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. ; - GRE ( Generic Routing Encapsulation, общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты ; - WLAN Controller – это контроллер беспроводной локальной сети, объединяющий точки доступа, управляющий их работой, а также централизующий трафик.

Изображение слайда
Изображение для работы со слайдом
1/2
Реклама. Продолжение ниже
8

Слайд 8

В данный момент существует серия межсетевых экранов – Cisco ASA 5500. Эта серия уже не производится, а 2018 год был объявлен последним годом её технической поддержки. На смену этой серии приходит новая – Cisco ASA 5500-X. В лине есть большой выбор м оделей предназначенных для работы как в домашней сети, небольших офисах, филиалах, так и для более крупных офисов, дата-центров, Интернет-провайдеров или очень крупных сетей.

Изображение слайда
Изображение для работы со слайдом
1/2
9

Слайд 9

Изображение слайда
Изображение для работы со слайдом
1/2
10

Слайд 10

Изображение слайда
1/1
11

Слайд 11

Соберём небольшую сеть, состоящую из двух компьютеров и межсетевого экрана 5505. Сеть Интернет, как обычно будем эмулировать с помощью маршрутизатора 1841 и сервера. Нужно заметить, что модель ASA 5505 – это скорее L3- коммутатор с функцией межсетевого экрана. Более старшие модели, такие как модель ASA 55 10, модель ASA 5520 и модель ASA 5540 – это скорее маршрутизаторы с функцией межсетевого экрана. Разница между этими двумя вариантами чувствуется в настройке интерфейса.

Изображение слайда
Изображение для работы со слайдом
1/2
12

Слайд 12

Открываем в настройки межсетевого экрана, заходим в привилегированный режим. Для этого набираем: « en ». Появляется приглашение ввести пароль. По умолчанию пароль пустой, поэтому просто нажимаем <Enter>.

Изображение слайда
Изображение для работы со слайдом
1/2
13

Слайд 13

Для проверки возможностей межсетевого экрана модели ASA 5505 набираем: « show version ».

Изображение слайда
Изображение для работы со слайдом
1/2
14

Слайд 14

Видим версию прошивки.

Изображение слайда
Изображение для работы со слайдом
1/2
Реклама. Продолжение ниже
15

Слайд 15

Чуть ниже видим файл прошивки.

Изображение слайда
Изображение для работы со слайдом
1/2
16

Слайд 16

Далее находим основные параметры прошивки н иже – порты.

Изображение слайда
Изображение для работы со слайдом
1/2
17

Слайд 17

Перемещаемся в самый низ. Видим, что установлена базовая лицензия. На данный момент сменить её невозможно.

Изображение слайда
Изображение для работы со слайдом
1/2
18

Слайд 18

Максимальное количество VLANs равно трём. Причём один из них ( DNZ ), как правило ограниченный.

Изображение слайда
Изображение для работы со слайдом
1/2
19

Слайд 19

Также видим, что у нас нет возможности использовать Trunk Ports. Это делает макетирование в Cisco Packet Tracer весьма неудобным. Будем ждать новые версии, а пока придётся работать с тем, что есть.

Изображение слайда
Изображение для работы со слайдом
1/2
20

Слайд 20

Проверим преднастройки межсетевого экрана: « show run ». Видим, что interface Ethernet0/0 определён во vlan 2, по умолчанию он outside (внешний), security-level – 0 (уровень защиты равен 0 ) и включен dhcp -клиент. Остальные интерфейсы определены во vlan 1, по умолчанию – inside ( внутренние), security-level – 10 0 и уже назначен ip -address 192.168.1.1 255.255.255.0.

Изображение слайда
Изображение для работы со слайдом
1/2
21

Слайд 21

Опускаемся ещё ниже и видим, что по умолчанию настроен dhcp -сервер на внутреннем интерфейсе. Это значит, он будет раздавать ip - адреса подключенным компьютерам.

Изображение слайда
Изображение для работы со слайдом
1/2
22

Слайд 22

Если это верно, получим ip - адрес для компьютера PC0. Сработало, ip - адрес получен.

Изображение слайда
Изображение для работы со слайдом
1/2
23

Слайд 23

Точно также получим ip - адрес для компьютера PC 1. Результат тот же, ip - адрес получен.

Изображение слайда
Изображение для работы со слайдом
1/2
24

Слайд 24

Предположим, что на одном из компьютеров администратор хочет удалённо администрировать ASA. Для этого на ASA набираем: « conf t ». Зададим пароль на привилегированный режим, например, cisco : « enable password cisco » и создадим пользователя admin c поролем cisco : « username admin password cisco »

Изображение слайда
Изображение для работы со слайдом
1/2
25

Слайд 25

Набираем: « show run ». Видим, что пароль на вход в привилегированный режим и на вход пользователя ( см. внизу ) зашифрованы! Это о дна из функций безопасности, включенных по умолчанию (в отличие от коммутаторов и маршрутизаторов).

Изображение слайда
Изображение для работы со слайдом
1/2
26

Слайд 26

Выберем протокол SSH, по которому будем осуществлять удалённый доступ, указываем ip -адрес сети и интерфейс. Так как команда длинная, для просмотра вариантов пользуемся знаком «?» : « ssh 192.168.1.0 255.255.255.0 inside ».

Изображение слайда
Изображение для работы со слайдом
1/2
27

Слайд 27

Далее задаём параметры аутентификации пользователя. Так как команда длинная, для просмотра вариантов пользуемся знаком «?» : « aaa authentication ssh console LOCAL ».

Изображение слайда
Изображение для работы со слайдом
1/2
28

Слайд 28

Наберём команду: « show run ». На этом устройстве она доступна в любой момент (не так как на коммутаторах и маршрутизаторах).

Изображение слайда
Изображение для работы со слайдом
1/2
29

Слайд 29

Попробуем удалённо подключиться к межсетевому экрану с компьютера PC0 : « ssh -l admin 192.168.1.1 », пароль: cisco. Входим в привилегированный режим: « en », пароль: cisco, далее: « show run ». Видим, что удалённый доступ настроен!!!

Изображение слайда
Изображение для работы со слайдом
1/2
30

Слайд 30

Настроим уровень доверия к интерфейсу Security Level. Чем выше его значение, тем выше уровень доверия. Самый высокий уровень доверия – у внутреннего интерфейса. Самый низкий – у внешнего интерфейса. По умолчанию разрешён трафик с более высокого уровня доверия на более низкий. У нас внутренняя сеть и меет security-level 100, а внешняя – security-level 0. То есть из внешней сети по умолчанию трафик закрыт.

Изображение слайда
Изображение для работы со слайдом
1/2
31

Слайд 31

Уровень доверия к интерфейсу Security Level можно легко изменить, например, на 95. Для этого в режиме глобального конфигурирования набираем: « int vlan 1 », « security-level 95 », « end », « show run ».

Изображение слайда
Изображение для работы со слайдом
1/2
32

Слайд 32

Видим, что Security Level изменился со 100 на 95.

Изображение слайда
Изображение для работы со слайдом
1/2
33

Слайд 33

Н астроим внешний интерфейс: « conf t », « int vlan 2 ». Введём ip -адрес, который предположительно, нам выдал провайдер: « ip address 210.210.0.2 255.255.255.252 », « no shutdown », « exit », « show run ».

Изображение слайда
Изображение для работы со слайдом
1/2
34

Слайд 34

Видим, что внешний ip -адрес прописан.

Изображение слайда
Изображение для работы со слайдом
1/2
35

Слайд 35

Н астроим маршрутизатор провайдера: « n », « en », « int fa0/0 », « ip address 210.210.0.1 255.255.255.252 », « no shutdown », « exit », « int fa0/1 », « ip address 210.210.1.1 255.255.255.0 », « no shutdown », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
36

Слайд 36

Н астроим сервер. Введём ip -адрес,: «210.210.1.2», м аску: «255.255.255.0» и шлюз по умолчанию: «210.210.1. 1 ».

Изображение слайда
Изображение для работы со слайдом
1/2
37

Слайд 37

Проверим связь с межсетевого экрана на маршрутизатор: « ping 210.210.0.1 ». Видим, что связь есть!

Изображение слайда
Изображение для работы со слайдом
1/2
38

Слайд 38

Пропишем маршрут по умолчанию. Так как команда длинная, для просмотра вариантов пользуемся знаком «?» : « route outside 0.0.0.0 0.0.0.0 210.210.0.1 », « end ».

Изображение слайда
Изображение для работы со слайдом
1/2
39

Слайд 39

Ещё раз проверим связь с межсетевого экрана на сервер: « ping 210.210.0.1 ». Видим, что связь есть!

Изображение слайда
Изображение для работы со слайдом
1/2
40

Слайд 40

Проверим связь одного из компьютеров с маршрутизатором провайдера: « ping 210.210.0.1 ». Видим, что связи нет!

Изображение слайда
Изображение для работы со слайдом
1/2
41

Слайд 41

Чтобы связь появилась, необходимо прописать маршрут на маршрутизаторе провайдера в нашу локальную сеть (192.168.0.1 255.255.255.0) через ip - адрес межсетевого экрана ( 210.210.0. 2 ): « en », « conf t », « ip route 192.168.1.0 255.255.255.0 210.210.0.2 », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
42

Слайд 42

Ещё раз проверим связь одного из компьютеров с маршрутизатором провайдера: « ping 210.210.0.1 ». Видим, что связи нет! Почему? Всё дело в уровнях доверия. ASA ведёт таблицу сессий. Уровень доверия с маршрутизатора на межсетевой экран низкий и в таблице ещё не было дано ни одного разрешения.

Изображение слайда
Изображение для работы со слайдом
1/2
43

Слайд 43

По умолчанию на ASA инспектирование трафика не настроено. Сделаем это. Сначала определяем тип трафика, который хотим инспектировать: « conf t », « class-map inspection_default », указываем весь трафик: « match default-inspection-traffic », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
44

Слайд 44

Далее создаём политику (действие над трафиком): « policy-map global_policy ». Это действие применяется к созданному нами классу: « class inspection_default », нас интересует инспектирование трафика icmp : « inspect icmp », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
45

Слайд 45

Далее определяем, в каком направлении будем использовать политику инспектирования трафика. В нашем случае во всех направлениях: « service-policy global_policy global », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
46

Слайд 46

Ещё раз проверим связь одного из компьютеров с маршрутизатором провайдера: « ping 210.210.0.1 ». Связь есть!

Изображение слайда
Изображение для работы со слайдом
1/2
47

Слайд 47

Проверим связь одного из компьютеров с сервером: « ping 210.210. 1. 2». Связь есть!

Изображение слайда
Изображение для работы со слайдом
1/2
48

Слайд 48

Проверим Web- сервер ( HTTP ). Сервер включен.

Изображение слайда
Изображение для работы со слайдом
1/2
49

Слайд 49

Пробуем войти на Web- сервер. Не работает. Почему? Мы инспектируем н а ASA только icmp -трафик трафик. Чтобы заработал Web- сервер нужно ещё инспектировать HTTP- трафик.

Изображение слайда
Изображение для работы со слайдом
1/2
50

Слайд 50

Сделаем это. Войдём в настройки ASA : « conf t », « policy-map global_policy », « class inspection_default », « inspect http », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
51

Слайд 51

Ещё раз пробуем войти на Web- сервер. Связь появилась!!!

Изображение слайда
Изображение для работы со слайдом
1/2
52

Слайд 52

Проверим связь с сервера к одному из компьютеров: « ping 192. 168. 1. 5 ». Связи нет и не будет, так как уровень доверия на в ход извне в нашу сеть очень низкий. ASA этот трафик не пропускает, если только мы не пропишем явный Access List. Это одно из преимуществ сетевых экранов!!!

Изображение слайда
Изображение для работы со слайдом
1/2
53

Слайд 53

Рассмотрим настройку NAT на Cisco ASA. Она существенно отличается от настройки на маршрутизаторе. Для этого сначала мы удалим на м аршрутизаторе провайдера, созданный ранее маршрут в нашу сеть: « no ip route 192.168.1.0 255.255.255.0 210.210.0.2 », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
54

Слайд 54

Теперь на компьютерах должна пропасть связь с сервером: « ping 210.210. 1. 2». Связи нет.

Изображение слайда
Изображение для работы со слайдом
1/2
55

Слайд 55

Настроим NAT на Cisco ASA. Это делается с помощью создания объектов. Создадим object network и дадим ему имя FOR-NAT : « object network FOR-NAT ». В этом объекте определим нашу сеть (пользуемся знаком «?» ): « subnet 192.168.1.0 255.255.255.0 », переходим к настройке NAT. Здесь надо указать в скобках сначала внутренний интерфейс, а затем – внешний интерфейс, далее выбираем dynamic в качестве ip -адреса указываем interface : « nat ( inside,outside ) dynamic interface », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
56

Слайд 56

На этом настройка NAT Завершилась. Проверим связь компьютера с сервером: « ping 210.210. 1. 2». Связь появилась!!!

Изображение слайда
Изображение для работы со слайдом
1/2
57

Слайд 57

Н а Cisco ASA наберём к оманду: « show nat ». Видим счётчик пакетов, к оторые прошли через NAT. На этом краткое знакомство с межсетевым экраном Cisco ASA закончено!

Изображение слайда
Изображение для работы со слайдом
1/2
58

Слайд 58

Изображение слайда
Изображение для работы со слайдом
1/2
59

Слайд 59: Список литературы :

Компьютерные сети. Н.В. Максимов, И.И. Попов, 4-е издание, переработанное и дополненное, «Форум», Москва, 2010. Компьютерные сети. Принципы, технологии, протоколы, В. Олифер, Н. Олифер (5-е издание), «Питер», Москва, Санк -Петербург, 2016. Компьютерные сети. Э. Таненбаум, 4-е издание, «Питер», Москва, Санк -Петербург, 2003. Список литературы :

Изображение слайда
1/1
60

Слайд 60: Список ссылок:

http:// blog.netskills.ru/2014/03/firewall-vs-router.html https:// drive.google.com/file/d/0B-5kZl7ixcSKS0ZlUHZ5WnhWeVk/view Список ссылок:

Изображение слайда
1/1
61

Последний слайд презентации: МДК.01.01 Организация, принципы построения и функционирования компьютерных

Спасибо за внимание! Преподаватель: Солодухин Андрей Геннадьевич Электронная почта: asoloduhin@kait20.ru

Изображение слайда
1/1
Реклама. Продолжение ниже