收藏
下载资源

RCNA-10-园区网安全-v1.1(35)

上传人:ldj****22 文档编号:48550508 上传时间:2018-07-17 格式:PPT 页数:35 大小:1.09MB
返回 下载 相关 举报
RCNA-10-园区网安全-v1.1(35)_第1页
第1页 / 共35页
RCNA-10-园区网安全-v1.1(35)_第2页
第2页 / 共35页
RCNA-10-园区网安全-v1.1(35)_第3页
第3页 / 共35页
RCNA-10-园区网安全-v1.1(35)_第4页
第4页 / 共35页
RCNA-10-园区网安全-v1.1(35)_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《RCNA-10-园区网安全-v1.1(35)》由会员分享,可在线阅读,更多相关《RCNA-10-园区网安全-v1.1(35)(35页珍藏版)》请在金锄头文库上搜索。

1、园区网安全园区网安全RCNA_10RCNA_10学习目标学习目标 通过本章的学习,希望您能够:通过本章的学习,希望您能够: 了解园区网安全隐患了解园区网安全隐患 掌握交换机端口安全原理及配置方法掌握交换机端口安全原理及配置方法 掌握掌握ACLACL的工作原理及配置方法的工作原理及配置方法本章内容本章内容 园区网安全隐患园区网安全隐患 园区网的常见安全隐患园区网的常见安全隐患 园区网安全解决方案的整体思园区网安全解决方案的整体思 路路 交换机端口安全交换机端口安全 交换机端口安全概述交换机端口安全概述 端口安全的配置端口安全的配置 访问控制列表访问控制列表 访问控制列表概述访问控制列表概述 AC

2、LACL的种类的种类 配置配置ACLACL课程议题课程议题园区网安全隐患园区网安全隐患园区网的常见安全隐患园区网的常见安全隐患 网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。统资源的潜在的环境、条件或事件。 园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为(如使用不当、安全意识差等)、黑客行为、内部泄

3、密、外部泄密、信息(如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。丢失、电子监听(信息流量分析、信息窃取等)和信息战等。 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和 工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。园区网安全解决方案的整体思路园区网安全解决方案的整体思路 制定一个严格的安全策略制定一个严格的安全策略 可以通过交换机端口安全、配置访问控制列表可以通过交换机端口安全、配置访问控制列表ACLACL、在防火墙实现包过滤、在防火墙实现

4、包过滤等技术来实现一套可行的园区网安全解决方案。等技术来实现一套可行的园区网安全解决方案。 宣传教育宣传教育课程议题课程议题交换机端口安全交换机端口安全交换机端口安全概述交换机端口安全概述 交换机的端口安全机制是工作在交换机二层端口上的一个安全特性交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 只允许特定只允许特定MACMAC地址的设备接入到网络中,从而防止用户将非法或未授地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络。权的设备接入网络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 配置端口

5、安全存在以下限制:配置端口安全存在以下限制: 一个安全端口必须是一个一个安全端口必须是一个AccessAccess端口,及连接终端设备的端口,而非端口,及连接终端设备的端口,而非TrunkTrunk端口。端口。 一个安全端口不能是一个聚合端口(一个安全端口不能是一个聚合端口(Aggregate PortAggregate Port)。)。 一个安全端口不能是一个安全端口不能是SPANSPAN的目的端口。的目的端口。交换机端口安全概述交换机端口安全概述 当配置完成端口安全之后,如果当违例产生时,可以设置下面几种当配置完成端口安全之后,如果当违例产生时,可以设置下面几种针对违例的处理模式:针对违例

6、的处理模式: protectprotect:当安全地址个数满后,安全端口将丢弃未知名地址:当安全地址个数满后,安全端口将丢弃未知名地址( (不是该端口不是该端口的安全地址中的任何一个的安全地址中的任何一个) )的包的包 restrictrestrict:当违例产生时,交换机不但丢弃接收到的帧(:当违例产生时,交换机不但丢弃接收到的帧(MACMAC地址不在安地址不在安全地址表中),而且将发送一个全地址表中),而且将发送一个SNMP TrapSNMP Trap报文报文 shutdownshutdown:当违例产生时,交换机将丢弃接收到的帧(:当违例产生时,交换机将丢弃接收到的帧(MACMAC地址不

7、在安地址不在安全地址表中),发送一个全地址表中),发送一个SNMP TrapSNMP Trap报文,而且将端口关闭。报文,而且将端口关闭。端口安全的配置端口安全的配置 打开该接口的端口安全功能打开该接口的端口安全功能 设置接口上安全地址的最大个数设置接口上安全地址的最大个数 配置处理违例的方式配置处理违例的方式Switch(conifg-if)#switchport port-securitySwitch(conifg-if)#switchport port-security maximum numberSwitch(conifg-if)#switchport port-security vi

8、olation protect | restrict | shutdown 配置安全端口上的安全地址 配置安全端口上的安全地址配置安全端口上的安全地址 当端口由于违规操作而进入当端口由于违规操作而进入“ “err-disabled”err-disabled”状态后,必须在全局模式下使用状态后,必须在全局模式下使用如下命令手工将其恢复为如下命令手工将其恢复为UPUP状态:状态: 设置端口从设置端口从“ “err-disabled”err-disabled”状态自动恢复所等待的时间状态自动恢复所等待的时间Switch(conifg-if)#switchport port-security mac-

9、address mac-address ip-address ip-addressSwitch(conifg)#errdisable recoverySwitch(conifg)#errdisable recovery interval time 配置安全地址的老化时间配置安全地址的老化时间 关闭一个接口的安全地址老化功能(老化时间为关闭一个接口的安全地址老化功能(老化时间为0 0) 使老化时间仅应用于动态学习到的安全地址使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchport port-security agingstatic | time time S

10、witch(conifg-if)#no switchport port-security aging timeSwitch(conifg-if)#no switchport port-security aging static 查看端口安全信息查看端口安全信息 显示所有接口的安全设置状态、违例处理等信息显示所有接口的安全设置状态、违例处理等信息 来查看安全地址信息,显示安全地址及老化时间来查看安全地址信息,显示安全地址及老化时间 显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等及违例处理方式等Rou

11、ter#show port-security interface interface-id Router#show port-security address Router#show port-security 课程议题课程议题访问控制列表访问控制列表访问控制列表概述访问控制列表概述 访问表(访问表(access listaccess list)是一个有序的语句集,它通过匹配报文中信)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。息与访问表参数,来允许报文通过或拒绝报文通过某个接口。访问控制列表概述访问控制列表概述 访问控制列表总的说起来有下面三个

12、作用访问控制列表总的说起来有下面三个作用: : 安全控制安全控制 流量过滤流量过滤 数据流量标识数据流量标识ACL ACL工作原理及规则工作原理及规则 ACLACL语句有两个组件:一个是条件,一个是操作。语句有两个组件:一个是条件,一个是操作。 条件:条件基本上一个组规则条件:条件基本上一个组规则 操作:当操作:当ACLACL语句条件与比较的数据包内容匹配时,可以采取允许和拒绝语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。两个操作。 ACL ACL工作原理及规则工作原理及规则 入站入站ACLACLACL ACL工作原理及规则工作原理及规则 出站出站ACLACLACLACL工作原

13、理及规则工作原理及规则 基本规则、准则和限制基本规则、准则和限制 ACLACL语句按名称或编号分组;语句按名称或编号分组; 每条每条ACLACL语句都只有一组条件和操作,如果需要多个条件或多个行动,则语句都只有一组条件和操作,如果需要多个条件或多个行动,则必须生成多个必须生成多个ACLACL语句;语句; 如果一条语句的条件中没有找到匹配,则处理列表中的下一条语句;如果一条语句的条件中没有找到匹配,则处理列表中的下一条语句; 如果在如果在ACLACL组的一条语句中找到匹配,则不再处理后面的语句;组的一条语句中找到匹配,则不再处理后面的语句; 如果处理了列表中的所有语句而没有指定匹配,不可见到的隐

14、式拒绝语句如果处理了列表中的所有语句而没有指定匹配,不可见到的隐式拒绝语句拒绝该数据包;拒绝该数据包; 由于在由于在ACLACL语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,所有数据包都会被拒绝;所有数据包都会被拒绝; 语句的顺序很重要,约束性最强的语句应该放在列表的顶部,约束性最弱语句的顺序很重要,约束性最强的语句应该放在列表的顶部,约束性最弱的语句应该放在列表的底部;的语句应该放在列表的底部;ACLACL工作原理及规则工作原理及规则 基本规则、准则和限制基本规则、准则和限制 一个空的一个空的ACLACL组允许所有数据包,空的组允

15、许所有数据包,空的ACLACL组已经在路由器上被激活,但组已经在路由器上被激活,但不包含语句的不包含语句的ACLACL,要使隐式拒绝语句起作用,则在,要使隐式拒绝语句起作用,则在ACLACL中至少要有一条中至少要有一条允许或拒绝语句;允许或拒绝语句; 只能在每个接口、每个协议、每个方向上应用一个只能在每个接口、每个协议、每个方向上应用一个ACLACL; 在数据包被路由到其它接口之前,处理入站在数据包被路由到其它接口之前,处理入站ACLACL; 在数据包被路由到接口之后,而在数据包离开接口之前,处理出站在数据包被路由到接口之后,而在数据包离开接口之前,处理出站ACLACL; 当当ACLACL应用

16、到一个接口时,这会影响通过接口的流量,但应用到一个接口时,这会影响通过接口的流量,但ACLACL不会过滤路不会过滤路由器本身产生的流量。由器本身产生的流量。ACLACL工作原理及规则工作原理及规则 ACLACL放置在什么位置放置在什么位置: : 只过滤数据包源地址的只过滤数据包源地址的ACLACL应该放置在离目的地尽可能近的地方;应该放置在离目的地尽可能近的地方; 过滤数据包的源地址和目的地址以及其他信息的过滤数据包的源地址和目的地址以及其他信息的ACLACL,则应该放在离源地,则应该放在离源地址尽可能近的地方;址尽可能近的地方; 只过滤数据包中的源地址的只过滤数据包中的源地址的ACLACL有两个局限性:有两个局限性: 即使即使ACLACL应用到路由器应

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号