chap04企业内网安全控制.pptVIP

学习情境3 内容回顾 交换基础 交换机工作原理 VLAN技术 VLAN技术概述 VLAN的优点 VLAN划分方法 基于端口VLAN划分—Port VLAN技术 基于标识的VLAN划分—Tag VLAN技术 交换网络中的链路冗余技术 生成树技术 以太网通道聚合技术 VLAN之间的通信 利用路由器实现VLAN间的通信 单臂路由技术 利用三层交换机实现VLAN间通信 企业内网安全控制 学习情境4 Internet飞速增长 网络安全的演化 本章目标 了解网络安全的基础知识 掌握网络互联设备的安全控制保护措施 掌握交换机端口的安全知识 学习访问控制列表技术 区别不同的访问控制列表技术 本章结构 任务进度 4.1 网络安全概述 安全威胁 窃听 、重传 、篡改 、拒绝服务攻击 、行为否认 、电子欺骗 、非授权访问 、传播病毒 网络攻击方法 获取口令 放置木马程序 WWW的欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 网络监听 寻找系统漏洞 利用帐号进行攻击 偷取特权 手段多样的网络攻击： 网络攻击的防御技术 身份认证技术 加解密技术 边界防护技术 访问控制技术 主机加固技术 安全审计技术 检测监控技术 4.2 管理设备控制台安全 对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。 据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护 保护设备控制台的安全措施 通过一根配置线缆连接到交换机的配置端口（Console），另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码 Switch Switch#configure terminal Switch(config)#enable secret mypassword ！配置特权密文密码 Switch(config)#login ！配置登陆时需要验证密码 配置线缆 配置交换机远程登录的安全措施 除通过Console端口与设备直接相连管理设备之外，用户还可以通过Telnet程序和交换机RJ45口建立远程连接，以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下（路由器远程登录密码的配置与之相同）。 Switch Switch#configure terminal Switch(config)#line vty 0 4 ！开启Telnet线路 Switch(config-line)#password mypassword ！配置Telnet登录密码 Switch(config-line)#login ！配置登陆时需要验证密码 4.3交换机端口安全 端口安全概述 大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为，可以通过启用交换机端口安全功能特性加以防范。 MAC攻击 端口安全配置方式 配置安全地址：当开启交换机端口安全功能并为交换机端口配置安全MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。 配置安全地址数：交换机安全端口不仅可以配置安全MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全MAC地址。 配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。 配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全MAC地址。 将IP地址绑定到MAC地址：可以在交换机上将IP地址绑定到MAC地址，以实现在特定端口上允许特定的IP终端接入。 端口安全的配置和维护 配置安全端口的过程包括启用端口安全，设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC地址与IP地址绑定等。 对于Cisco交换机，需要注意的是： Cisco系列交换机可以做基于2层的端口安全，即MAC地址与端口进行绑定。 Cisco3550以上交换机均可做基于2层和3层的端口安全，即MAC地址与端口绑定以及MAC地址与IP地址绑定。 交换机端口安全功能 交换机的端口安全功能，防止网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。 交换机端口安全的基本功能 1、端口安全地址绑定