收藏
下载资源

网络安全运行与维护配套资源M71提高网络内部安全

上传人:E**** 文档编号:91177491 上传时间:2019-06-26 格式:PPT 页数:56 大小:970.50KB
返回 下载 相关 举报
网络安全运行与维护配套资源M71提高网络内部安全_第1页
第1页 / 共56页
网络安全运行与维护配套资源M71提高网络内部安全_第2页
第2页 / 共56页
网络安全运行与维护配套资源M71提高网络内部安全_第3页
第3页 / 共56页
网络安全运行与维护配套资源M71提高网络内部安全_第4页
第4页 / 共56页
网络安全运行与维护配套资源M71提高网络内部安全_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《网络安全运行与维护配套资源M71提高网络内部安全》由会员分享,可在线阅读,更多相关《网络安全运行与维护配套资源M71提高网络内部安全(56页珍藏版)》请在金锄头文库上搜索。

1、网络安全运行与维护,模块七 网络互联系统安全运行与维护能力,总体概述,为有效地利用公司带宽,并对员工进行上网行为的控制,实现办公网的安全管理与维护,公司希望采取以下措施保障公司网络安全。 在接入交换机上配置接入安全策略,提高网络接入安全 在汇聚层交换机上配置安全策略,提高网络抗攻击能力 对办公区用户群进行访问控制,提高办公区网络访问安全,生产网络,办公网络,能力单元1,提高网络内部安全,任务描述,拓维公司北京总部的办公网络由若干部门组成,办公网络按部门划分区域实施管理。公司的网络中心发现由于部门内工位的不固定,员工的计算机经常随意地接插在其他人机位的网络接口上,访问公司网络服务,这给公司的网络

2、管理带来了很大的安全隐患。 针对办公网络目前的安全状况,公司网络中心决定配置公司办公网接入设备的安全策略,提升网络安全保障。,任务分析,为保证网络管理员正常管理网络设备,需要增加远程访问连接的安全管理;为保证公司网络安全,避免ARP欺骗,需要增加ARP检查、DHCP监听等安全措施;为避免骨干网络之间可能由于单点连接失败带来网络的不稳定现象,需要使用网络冗余链路,开启STP协议保障网络的稳定。 配置STP、风暴控制和系统保护技术。 配置访问控制列表技术。,相关知识,1DHCP监听安全 (1)DHCP攻击 攻击者可以在网络中私自架设DHCP服务器(称伪DHCP服务器),当DHCP客户端设备请求IP

3、地址时,网络中收到此报文的DHCP服务器都会响应一个DHCP OFFER报文,但是客户端通常只会选择收到的第一个(最快到达客户端的)DHCP OFFER报文。如果伪DHCP的DHCP OFFER报文最先到达客户端,那么客户端接收它,并使用伪DHCP服务器提供的IP地址传输信息,导致客户端不能正常访问网络资源,这就是常说的伪DHCP攻击,也称无赖(Rogue)DHCP攻击。,相关知识,1DHCP监听安全 (2)什么是DHCP监听 DHCP监听(DHCP Snooping)是交换机的一种安全特性,通过过滤网络中接入的伪DHCP(非法或不可信)服务器发送的DHCP报文以增强网络的安全。DHCP监听还

4、可以检查DHCP客户端发送的DHCP报文的合法性,防止DHCP DoS攻击的发生。,相关知识,1DHCP监听安全 (3)DHCP监听安全 DHCP监听是DHCP的一种安全特性。交换机支持在每个VLAN上启用DHCP监听特性。通过这种特性交换机能够拦截第二层Vlan域内的所有DHCP报文。 通过开启DHCP监听,交换机可以限制用户接口(非信任接口)只能发送DHCP请求,丢弃来自用户接口的其它DHCP报文,如DHCP Offer报文等。,相关知识,2动态ARP检测 DAI技术 (1)ARP的原理 ARP通过二层广播机制,根据IP地址查询对应计算机的MAC地址。 例如,主机A想和同一广播域中的主机B

5、通信,但是在ARP缓存里没有主机B的MAC地址(二层的通信通过MAC地址进行)。主机A就会向广播域内的所有主机发送广播,询问谁的MAC地址是主机B的IP地址,所有的主机都会接收这个请求(ARP request),并核对自己的MAC地址,只有符合请求的主机(也即主机B)才作出应答(ARP respond)。,相关知识,2动态ARP检测 DAI技术 (2)了解ARP攻击 ARP攻击就是在ARP请求没有回复的情况下,接收攻击主机发出的回复,从而达到攻击主机的目的。假如A主机想向B主机通信,它们的ARP缓存有IP-MAC映射表。攻击者C告诉A主机IPb(B主机的IP地址)对应MACc(C主机的MAC在

6、地址),同样告诉B主机IPa(A主机的IP地址)对应MACc,导致A主机发向B主机的数据,会被攻击者C截获。,相关知识,2动态ARP检测 DAI技术 (3)DAI自动检测 交换网络环境中,DAI(Dynamic ARP Inspection)技术是交换机提供IP地址和MAC地址绑定的技术,DAI技术能动态地建立绑定关系,从而减少人为的工作量。DAI技术以 DHCP Snooping绑定表为基础,对于没有启动DHCP服务的个别机器,可以采用静态添加ARP access-list来实现安全保护。,相关知识,2动态ARP检测 DAI技术 (4)理解DAI和ARP攻击 DAI提供可信任ARP包安全监测

7、机制,可以通过截获、记录、丢弃一切在网络中不被信任的ip-mac绑定地址,有效防止网络中的ARP攻击。DAI技术通过以下机制,来确认合法的ARP请求并回复更新。 DAI技术通过建立一个ip-mac绑定数据库,来确定ARP数据包的可信任性,这个数据库通过DHCP检测来建立。,相关知识,2动态ARP检测 DAI技术 (5)配置DAI自动检测安全 通过配置交换机DAI安全技术,对处于同一VLAN内的接口开启DAI配置,通过DAI控制某个接口的ARP请求报文的数量,可以有效防范网络中“中间人”的攻击。,相关知识,3STP协议安全 (1)什么是STP协议 生成树协议生成树协议(Spanning Tree

8、 Protocol,STP)最主要的应用是避免局域网中的网络环回,解决了环路以太网的“广播风暴”问题,从某种意义上说是一种网络保护技术,消除由于失误或意外带来的循环连接,STP为网络备份连接提供了安全保障机制。,相关知识,3STP协议安全 (2)STP的技术原理 (3)STP的技术缺陷 (4)STP快速接口技术 (5)BPDU防护 BPDU防护功能就是接入交换机的某个接口收到任何的BPDU,就马上将其设为Error-Disabled状态。 (6)BPDU过滤 BPDU Filtering 特性和BPDU Guard特性类似,通过使用BPDU Filtering,可以防止交换机在启用了PortF

9、ast特性的接口上发送数据帧BPDU给主机。,拓扑结构,任务实施,步骤1组建网络环境 按拓扑结构连接网络设备和计算机。 为所有测试计算机配置IP地址和默认网关。 清除交换机的配置,并重新启动交换机,任务实施,步骤2交换机基本配置 第1步:创建LAN 在交换机SW-A上创建VLAN10、20和100 SW-A(config)#vlan 10 SW-A(config-vlan)#vlan 20 SW-A(config-vlan)#vlan 100 在交换机SW-B上创建VLAN10、20和100 在交换机SW-C上创建VLAN10 在交换机SW-D上创建VLAN20 在交换机SW-E上创建VLAN

10、100,任务实施,步骤2交换机基本配置 第2步:配置VLAN对应的IP地址。 在交换机SW-A上配置VLAN10、20和100对应的IP地址 SW-A(config)#interface vlan10 SW-A(config-if)#ip address 192.168.1.254 255.255.255.0 SW-A(config-if)#interface vlan20 SW-A(config-if)#ip address 192.168.2.254 255.255.255.0 SW-A(config-if)#interface vlan100 SW-A(config-if)#ip add

11、ress 172.16.1.254 255.255.255.0 在交换机SW-B上配置VLAN10、20和100对应的IP地址 在交换机SW-E上配置VLAN100对应的IP地址,任务实施,步骤2交换机基本配置 第3步:设置交换机的接入端口 设置交换机SW-C的端口F0/1是VLAN10接入口 SW-C(config)#interface fastethernet 0/1 SW-C(config-if)#switchport access vlan10 设置交换机SW-D的端口F0/1是VLAN20接入口 设置交换机SW-E的端口F0/18、F0/19是VLAN100接入口,任务实施,步骤2交

12、换机基本配置 第4步:设置交换机的TRUNK端口 设置三层交换机SW-A的端口F0/21-24是TRUNK端口 SW-A(config)#interface range fastethernet 0/21-24 SW-A(config-if-range)#switchport trunk encapsulation dot1q SW-A(config-if-range)#switchport mode trunk 设置三层交换机SW-B的端口F0/22-24,F0/20是TRUNK端口 设置三层交换机SW-E的端口F0/20-21是TRUNK端口 设置二层交换机SW-C的端口F0/23-24是

13、TRUNK端口 设置二层交换机SW-D的端口F0/23-24是TRUNK端口,任务实施,步骤2交换机基本配置 第5步:在三层交换机上启用三层功能 在交换机SW-A上启用三层功能 SW-A(config)#ip routing 在交换机SW-B上启用三层功能 测试配置:所有计算机能够想到通信。,任务实施,步骤3配置交换设备管理安全 汇聚交换机SW-A和SW-B,承担着公司部门网络之间的汇聚功能,需要配备高级别的安全性能。在办公网络的管理中,不仅需要配置登录密码防止其他人员登入,还要针对远程Telnet连接管理设置SSH加密登录验证,确保设备远程管理的安全。 接入交换机SW-C和SW-D,主要把各

14、部门中的计算机接入办公网络中,承担简单的二层功能,在办公网络中的安全性级别相对较低,所以只需要配置设备的管理密码即可,使用SSH加密登录验证。,任务实施,步骤3配置交换设备管理安全 置所有交换机的登录密码 SW(config)#enable secret level 15 ruijie SW(config)#username ruijie password star SW(config)#line con 0 SW(config-line)#login local,任务实施,步骤3配置交换设备管理安全 设置所有交换机SSH加密登录验证 SW(config)#enable services ss

15、h-server SW(config)#ip ssh version 2 SW(config)#ip ssh authentication-retries 3 SW(config)#line vty 0 4 SW(config-line)#login local SW(config-line)#transport input ssl,任务实施,步骤4配置办公网络的访问控制安全 办公网络中的接入交换机的主要功能是将各部门中的客户端设备接入到公司办公网络中,并提供安全稳定的网络服务。为实施设备的安全管理,在连接员工客户端设备的接入层交换机接口上,需要配置访问控制列表,让指定用户在指定时间登录到指定

16、的网络,以保障公司办公网络的安全管理。 为实现以上安全措施,可以在部门的接入交换机上配置MAC访问控制列表技术。建立在二层设备上的MAC访问控制列表不同于三层设备的IP访问控制列表技术,前者主要应用在交换设备上,通过过滤MAC地址来实现交换网络安全。,任务实施,步骤4配置办公网络的访问控制安全 第1步:在接入层交换机SW-C上配置MAC访问控制列表 创建访问控制列表 SW-C(config)#mac access-list extended per-valid SW-C(config-mac-nACL)#permit host 000C.000C.000C any 将访问控制列表应用到交换机的入接口 SW-C(config)#interface fastethernet 0/1 SW-C(config-if)#mac access-group per- valid in 第2步:在接入层交换机SW-

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号