收藏
下载资源

层以太网交换机的4种安全技术课件

上传人:石磨 文档编号:182242973 上传时间:2021-05-10 格式:PPT 页数:49 大小:336KB
返回 下载 相关 举报
层以太网交换机的4种安全技术课件_第1页
第1页 / 共49页
层以太网交换机的4种安全技术课件_第2页
第2页 / 共49页
层以太网交换机的4种安全技术课件_第3页
第3页 / 共49页
层以太网交换机的4种安全技术课件_第4页
第4页 / 共49页
层以太网交换机的4种安全技术课件_第5页
第5页 / 共49页
点击查看更多>>
资源描述

《层以太网交换机的4种安全技术课件》由会员分享,可在线阅读,更多相关《层以太网交换机的4种安全技术课件(49页珍藏版)》请在金锄头文库上搜索。

1、层以太网交换机的4种安全技术,1,二层以太网交换机的4种安全技术,层以太网交换机的4种安全技术,2,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,层以太网交换机的4种安全技术,3,以太网交换机作为企业内部网络通讯的关键设备,有必要在企业网内部提供充分的安全保护功能。 用户只要能接入以太网交换机,就可以访问Internet网上的设备或资源,使局域网上的安全性问题更显突出。 HXXX系列以太网交换机针对网络安全问题提供了多种网络安全机制。,引子,层以太网交换机的4种安全技术,4,学习完本课程,您应该能够:,了解以太网安全技术的基本内容 掌握地址绑定及端口隔离的原理与配置 掌握Portal

2、认证的基本原理与配置 掌握访问控制列表进行报文过滤的原理与配置,层以太网交换机的4种安全技术,5,地址绑定技术的作用,为了防止内部人员进行非法IP盗用,可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败; 由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。,层以太网交换机的4种安全技术,6,MAC、IP与端口绑定,进行绑定操作后,只有指定MAC地址和IP地址的计算机发出的报文才能通过制定端口转发,提高了系统的安全性,增强了对网络安全的监控 。 该计算机可以在没有设置绑定的其他端口上使用。,层以太网交

3、换机的4种安全技术,7,MAC、IP与端口绑定的基本配置,对同一个MAC地址,系统只允许进行一次绑定操作 。,层以太网交换机的4种安全技术,8,MAC、IP与端口绑定的配置显示,层以太网交换机的4种安全技术,9,地址绑定技术案例,为了防止校园网内有恶意用户盗用PC1的IP地址,将PC1的MAC地址和IP地址绑定到Switch A 的Ethernet1/0/1端口上。,Switch A,Switch B,PC1,PC2,E1/0/1,MAC:0001-0002-0003 IP Address:10.12.1.1,层以太网交换机的4种安全技术,10,地址绑定技术 端口隔离技术 接入认证技术 报文过

4、滤技术,层以太网交换机的4种安全技术,11,端口隔离概述,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,增强了网络的安全性。 端口隔离特性与以太网端口所属的VLAN无关。,层以太网交换机的4种安全技术,12,端口隔离技术基本配置,层以太网交换机的4种安全技术,13,端口隔离的配置显示,层以太网交换机的4种安全技术,14,端口隔离技术案例,小区用户PC1、PC2、PC3分别与交换机的以太网端口E1/0/2、E1/0/3、E1/0/4相连 。 交换机通过E1/0/1端口与外部网络相连 。 小区用户PC1、PC2和PC3之间不能互通 。

5、,Internet,PC1,PC2,PC3,Switch,E1/0/1,E1/0/2,E1/0/3,E1/0/4,层以太网交换机的4种安全技术,15,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,层以太网交换机的4种安全技术,16,网络认证技术,常用的网络认证技术包括: Portal认证 802.1x认证,层以太网交换机的4种安全技术,17,Portal认证的基本原理,Portal认证的基本原理:未认证的Portal用户用户只能访问特定的站点服务器,其它任何访问都被无条件地重定向到Portal服务器;只有在认证通过后,用户才能访问Internet。,层以太网交换机的4种安全技术,18

6、,Portal认证的优点,Portal认证的优点包括: Poratl认证无需安装客户软件,终端用户使用方便。 Portal认证对新业务支撑的能力强大。利用Portal认证的门户功能,运营商还可以将小区广播、广告、信息查询、网上购物等业务放到Portal上,用户上网时就会强制地看到上述信息。,层以太网交换机的4种安全技术,19,Portal的系统组成,认证客户机 NAS接入设备 Portal服务器 认证/计费服务器,认证/计费服务器,Portal服务器,NAS接入设备,认证客户机C,认证客户机B,认证客户机A,层以太网交换机的4种安全技术,20,Portal认证的过程,NAS首次接收到登录用户的

7、HTTP报文时,判断该登录用户是否为Portal用户。 对于Portal用户访问其他站点的HTTP报文,交换机通过TCP仿冒将其重定向到Portal服务器; 用户在Portal服务器提供的Web页面输入用户名和密码,输入的用户名和密码会通过Portal服务器转发到NAS; NAS将用户名和密码发到认证服务器进行认证,认证通过后,NAS允许用户访问Internet,之后不再对该用户的HTTP报文进行重定向。,层以太网交换机的4种安全技术,21,Portal的运行方式,Portal有三种运行方式 直接认证方式 二次地址分配方式 三层Portal认证方式 注意: 出于安全性考虑,直接认证方式和二次地

8、址分配方式都要求检查用户的MAC地址,因此只能在用户接入的第一个三层接口上启用Portal,即在用户和接入设备之间不能跨越启用三层协议的网络设备。 三层Portal认证方式不检查用户的MAC地址,安全性有所降低。在安全性要求较高的场合,不建议使用三层Portal认证方式。,层以太网交换机的4种安全技术,22,Portal免认证用户和免费IP,免认证用户 不需要进行Portal认证即可访问Internet的用户。 免费IP 用户可以不受限制访问的IP地址。 免费IP可以设置为DNS服务器的IP地址,或者ISP提供的免费访问网站的IP地址,层以太网交换机的4种安全技术,23,Portal的基本配置

9、(一),层以太网交换机的4种安全技术,24,Portal的基本配置(二),层以太网交换机的4种安全技术,25,Portal的配置信息的显示与清除,层以太网交换机的4种安全技术,26,Portal免认证用户和免费IP配置,层以太网交换机的4种安全技术,27,删除Portal用户的配置,层以太网交换机的4种安全技术,28,Portal认证典型配置,VLAN34内的客户机需通过Portal服务器认证后方可访问其他网络资源。,Internet,Portal Server IP:192.168.0.13,Web Server IP:192.168.0.2,VLAN1 E0/2,VLAN1 E0/3,VL

10、AN10 E0/10 10.1.1.1/24,VLAN1 E0/1E/0/4 192.168.0.1/24,VLAN34 E0/34E/38 34.1.1.0/24,层以太网交换机的4种安全技术,29,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,层以太网交换机的4种安全技术,30,报文过滤技术概述,报文过滤根据报文的源IP地址、目的IP地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。 实现报文过滤的核心技术就是ACL(Access Control List,访问控制列表)。,层以太网交换机的4种安全技术,31,ACL分类,ACL分为下面几种 基本AC

11、L 高级ACL 二层ACL 用户自定义ACL,层以太网交换机的4种安全技术,32,ACL的作用,可以限制网络流量、提高网络性能 提供对通信流量的控制手段 是提供网络安全访问的基本手段 可以在端口处决定哪种类型的通信流量被转发或被丢弃,层以太网交换机的4种安全技术,33,ACL的配置,访问控制列表的配置包括: 配置时间段(可选) 定义访问控制列表 应用访问控制列表 以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后应用访问控制列表,使其生效。,层以太网交换机的4种安全技术,34,ACL中时间段的配置,对时间段的配置有如下内容:配置周期时间段和绝对时间

12、段。,层以太网交换机的4种安全技术,35,ACL中时间段的配置举例,配置周期时间段,取值为周一到周五每天8:00到18:00 system-view HXXX time-range test 8:00 to 18:00 working-day,配置绝对时间段,取值为2000年1月28日15:00起至2004年1月28日15:00结束 system-view HXXX time-range test from 15:00 1/28/2000 to 15:00 1/28/2004,层以太网交换机的4种安全技术,36,定义基本ACL规则的配置,基本ACL的编号号取值范围为20002999。,层以太网

13、交换机的4种安全技术,37,基本ACL的配置举例,配置一个ACL 2000,禁止源地址为1.1.1.1的报文通过 system-view HXXX acl number 2000 HXXX-acl-basic-2000 rule deny source 1.1.1.1 0 HXXX-acl-basic-2000 display acl 2000 Basic ACL 2000, 1 rule Acls step is 1 rule 0 deny source 1.1.1.1 0,层以太网交换机的4种安全技术,38,定义高级ACL规则的配置,高级ACL的编号号取值范围为30003999。,层以太网

14、交换机的4种安全技术,39,高级ACL的配置举例,配置ACL 3000,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的端口号为80的TCP报文通过 system-view HXXX acl number 3000 HXXX-acl-adv-3000 rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 HXXX-acl-adv-3000 display acl 3000 Advanced ACL 3000, 1 r

15、ule Acls step is 1 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www,层以太网交换机的4种安全技术,40,定义二层ACL规则的配置,二层ACL的编号取值范围为40004999。,层以太网交换机的4种安全技术,41,二层ACL的配置举例,配置ACL 4000,禁止从MAC地址000d-88f5-97ed发送到MAC地址011-4301-991e且802.1p优先级为3的报文通过 system-view HXXX acl

16、 number 4000 HXXX-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff HXXX-acl-ethernetframe-4000 display acl 4000 Ethernet frame ACL 4000, 1 rule Acls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff,层以太网交换机的4种安全技术,42,用户自定义ACL规则的配置,用户自定义ACL的编号取值范围为50005999。,层以太网交换机的4种安全技术,43,用户自定义ACL的配置举例,配置ACL 5001,禁止所有的TCP报文通过(假设没有端口启动VLAN VPN功能) system-view HXXX time-range t1 18:00 to

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号