收藏
下载资源

交换机基础安全功能应用

上传人:第*** 文档编号:61503639 上传时间:2018-12-02 格式:PPT 页数:35 大小:639KB
返回 下载 相关 举报
交换机基础安全功能应用_第1页
第1页 / 共35页
交换机基础安全功能应用_第2页
第2页 / 共35页
交换机基础安全功能应用_第3页
第3页 / 共35页
交换机基础安全功能应用_第4页
第4页 / 共35页
交换机基础安全功能应用_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《交换机基础安全功能应用》由会员分享,可在线阅读,更多相关《交换机基础安全功能应用(35页珍藏版)》请在金锄头文库上搜索。

1、技术培训中心 2010-03,交换机基础安全功能应用,学习目标,理解交换机常用安全功能的应用场合 掌握交换机常用安全功能的配置与注意事项,2,课程内容,第一章:设备管理安全 第二章:接入安全 第三章:防攻击,3,设备管理安全,概述 设备易管理性与安全性成反比,必须有效的平衡管理与安全的关系 措施 使用中/强密码 源地址限制 使用安全管理协议,4,使用中强密码,概述 密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码 密码强度举例 弱密码:aabbcc、567890 中等强度密码:ruijie345 高等强度密码:Ruijie#876,

2、5,源地址限制,概述 只有合法的源地址才能管理设备 限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#line vty 0 4 Ruijie(config-line)#access-class 99 in 限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#snmp-server community ruijie rw 99,6,使用安全管理协议,使用加密管理协议 禁用T

3、elnet协议,使用SSH管理设备 使用SNMPv3 禁用Telnet协议 方法一:Ruijie(config)#no enable service telnet-server 方法二:Ruijie(config-line)#transport input ssh 使用SNMPv3 Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99,7,课程内容,第一章:设备管理安全 第二章:接入安全 第三章:防攻击,8,接入安全,概述 制定一组安全规则,让网络中的主机以合法的身份接入网络,并得到有效的防护

4、 措施 ACL 保护端口 全局地址绑定 端口安全 802.1x,9,保护端口,概述 禁止交换机端口之间的通讯(二层) 保护端口角色 保护口 非保护口 保护端口规则 保护口之间禁止通讯 保护口允许与非保护口通讯,10,protected,protected,保护端口(续),保护端口配置 Ruijie(config)#int range fa 0/1-24 Ruijie(config-if-range)#switchport protected 级联情况下的配置 保护端口可以跨交换机使用 连接外界的交换机中,级联其他交换机的端口应配置为保护口,11,protected,protected,全局地址

5、绑定,概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景,12,绑定:1.1.1.1 001a.a900.0001,1.1.1.1 001a.a900.0001,1.1.1.2 001a.a900.0001,1.1.1.1 001a.a900.0002,全局地址绑定配置,配置全局绑定地址 Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001 配置全局绑定地址上联口 Ruijie(config)# address-bind uplink gi 0/25 开启全局绑定地址功能 Ruijie(config

6、)#address-bind install 查看全局绑定地址 Ruijie#show address-bind,13,端口安全,概述 基于端口制定接入规则 接入规则 端口MAC最大个数 端口+MAC 端口+MAC+VLAN 端口+IP 端口+IP+MAC+VLAN,14,1.1.1.1,1.1.1.2 001a.a900.0001 VLAN 100,001a.a900.0002 VLAN 10,F0/1,F0/2,F0/3,F0/4,端口安全配置,打开端口安全功能 Ruijie(config-FastEthernet 0/1)#switchport port-security 配置最大MAC

7、地址数 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 配置MAC地址绑定 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 Ruijie(config-FastEthernet 0/1)#sw po mac 001a.a900.0001 vlan 10 配置IP地址绑定 Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1 配置IP+MAC绑定 Ruijie(con

8、fig-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 192.168.10.1 配置违例处理方式 Ruijie(config-FastEthernet 0/1)# sw po violationprotect | restrict | shutdown,15,端口安全缺省配置,16,端口安全规则处理规则,17,端口安全应用场景(例),交换机一个端口最大只能接入1台主机 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1 交换机一个端口最大只能接入4台主机,但其

9、中有一台主机是合法保障的 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 4 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 交换机一个端口只能是合法的IP接入 Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1 交换机一个端口只能是合法的IP且合法的MAC接入 Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.00

10、01 vlan 10 192.168.10.1,18,课程内容,第一章:设备管理安全 第二章:接入安全 第三章:防攻击,19,防攻击,概述 制定一组安全策略防止攻击行为的发生 措施 DHCP Snooping IP Source Guard ARP-check DAI,20,DHCP Snooping,概述 DHCP嗅探功能 功能 防止网络中假冒的DHCP服务器 形成Snooping表项为其他功能服务 端口角色 非信任口:拒绝DHCP回应报文 信任口:允许DHCP回应报文 默认角色:非信任口,21,21,DHCP discovery,DHCP offer,DHCP offer,trust,un

11、trust,DHCP Snooping功能配置,开启DHCP snooping功能 Ruijie(config)#ip dhcp snooping 配置信任端口 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trust 配置DHCP报文速率限制 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression,22,DHCP Snooping功能配置(续),查看DHCP Snooping配置 Ruijie#show ip dhcp snooping 查看DHCP Snooping数据库

12、Ruijie#show ip dhcp snooping binding,23,理解DHCP Snooping数据库,组成元素 MAC、IP、VLAN、Interface等 作用 为其他功能提供服务 IP Source-guard DAI ARP-check 注:DHCP Snooping数据库不写入FFP,24,IP Source Guard,概述 IP源保护功能,依赖于DHCP Snooping 作用 防止DHCP环境下用户私设IP地址 为ARP-check提供服务 原理 将DHCP Snooping数据库写入FFP 用户私设IP无法通过FFP,25,DHCP,Static,IP Sour

13、ce Guard功能配置,开启接口IP Source Guard功能 Ruijie(config-FastEthernet 0/1)#ip verify source port-security 配置静态 IP 源地址绑定用户 Ruijie(config)#ip source binding 001a.a900.0001 vlan 1 192.168.1.100 int fa 0/1 查看IP Source Guard表项 Ruijie#show ip verify source,26,DHCP Snooping & IP Source Guard,理解关系 DHCP Snooping在用户获

14、取地址的过程中形成数据库 IP Source Guard将Snooping数据库中的内容写入FFP FFP根据Snooping数据库中的内容进行用户IP+MAC过滤,数据库中没有的内容将被丢弃 IP Source Guard在Trust接口不生效,27,IP Source Guard功能配置优化,28,trust,trust,多台交换机级联时,为避免上面一台交换机正对下联交换机上的用户重复FFP过滤,请将下联其他交换机的接口启用ip dhcp snooping trust,ARP协议简介,29,ARP协议过程通过ARP Request和ARP Replay两个报文学习到IP对应的MAC地址,A

15、RP request,ARP reply,PC1,PC2,IP:192.168.0.1 MAC:00d0.f800.0001,IP:192.168.0.2 MAC:00d0.f800.0002,PC3,PCN,欺骗原理 欺骗者伪造Sends IP与Senders MAC 受骗主机用的Sender MAC与Sender IP更新自己的ARP表,ARP欺骗,30,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat(ARP Request),ARP欺骗攻

16、击目的,为什么产生ARP欺骗攻击? 表象:网络通讯中断 真实目的:截获网络通讯数据,31,PC1,网关,主机型,网关型,欺骗者,ARP-check,概述 ARP检查功能,防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项,生成ARP过滤表项 过滤ARP字段 Senders IP Senders MAC,32,原FFP逻辑示意,新增FFP逻辑示意,ARP-check配置,开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list,33,总结,设备安全管理 密码 源地址限制 安全协议 接入安全 保护端口 全局地址绑定 端口安全 防攻击 DHCP Snooping IP Source Guard 防ARP:ARP-check & DAI,34,35,THANKS!,,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号