《4-3:网络安全技术》由会员分享,可在线阅读,更多相关《4-3:网络安全技术(21页珍藏版)》请在金锄头文库上搜索。
1、4-3:网络安全技术:网络安全技术软件与服务外包学院软件与服务外包学院 李亚方李亚方课程议题网络安全隐患交换机端口安全复杂程度复杂程度Internet 技术的飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间网络安全风险安全需求和实际操作脱安全需求和实际操作脱离离 内部的安全隐患内部的安全隐患动态的网络环境动态的网络环境有限的防御策略有限的防御策略安全策略和实际执行之安全策略和实际执行之间的巨大差异间的巨大差异针对网络通讯层的攻击通讯通讯 & 服务层服务层 TCP/IP TCP/IP IPX IPX X.25 X.2
2、5 Ethernet Ethernet FDDI FDDI Router Configurations Router Configurations Hubs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet 企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIn
3、tranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对操作系统的攻击操作系统操作系统 UNIXUNIX Windows Windows Linux Linux FreebsdFreebsd Macintosh Macintosh Novell NovellDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中
4、继中继针对应用服务的攻击应用服务程序应用服务程序 WebWeb服务器服务器服务器服务器 数据库系统数据库系统数据库系统数据库系统 内部办公系统内部办公系统内部办公系统内部办公系统 网络浏览器网络浏览器网络浏览器网络浏览器 ERP ERP 系统系统系统系统 办公文件程序办公文件程序办公文件程序办公文件程序 FTP SMTP POP3FTP SMTP POP3SAP R/3OracleOracleDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事
5、部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织额外的不安全因素网络的普及使学习网络进攻变得容易全球超过全球超过2626万个黑客站点提供系统漏洞和攻击万个黑客站点提供系统漏洞和攻击知识知识越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现第一代第一代第一代第一代 引导性病毒引导性病毒引导性病毒引导性病毒第二代第二代第二代第二代 宏病毒宏病毒宏病毒宏病毒 DOSDOS 电子邮件电子邮件电子邮件电子邮件 有限的黑客有限的黑客有限的黑客有限的黑客攻击攻击攻击攻击第三代第三代第三代第三代 网络网络网络网络DO
6、SDOS攻攻攻攻击击击击 混合威胁混合威胁混合威胁混合威胁(蠕虫(蠕虫(蠕虫(蠕虫+ +病病病病毒毒毒毒+ +特洛伊)特洛伊)特洛伊)特洛伊) 广泛的系统广泛的系统广泛的系统广泛的系统黑客攻击黑客攻击黑客攻击黑客攻击下一代下一代下一代下一代 网络基础网络基础网络基础网络基础设施黑客设施黑客设施黑客设施黑客攻击攻击攻击攻击 瞬间威胁瞬间威胁瞬间威胁瞬间威胁 大规模蠕大规模蠕大规模蠕大规模蠕虫虫虫虫 DDoSDDoS 破坏有效破坏有效破坏有效破坏有效负载的病负载的病负载的病负载的病毒和蠕虫毒和蠕虫毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单
7、个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化IDSIDS68%68%杀毒软件杀毒软件杀毒软件杀毒软件99%99%防火墙防火墙防火墙防火墙98%98%ACLACL71%71%现有网络安全体制VPNVPN 虚拟专用网虚拟专用网防火墙防火墙防火墙防火墙包过滤包过滤包过滤包过滤防病毒防病毒防病毒防病毒入侵检测入侵检测入侵检测入侵检测课程议题网络安全隐患交换机端口安全交换机端口安全利用交换机的端口安全功能可以防止局域网大利用交换机的端口安全功能可以防止局域网大部分的
8、内部攻击对用户、网络设备造成的破坏。部分的内部攻击对用户、网络设备造成的破坏。如如MACMAC地址攻击、地址攻击、ARPARP攻击、攻击、IP/MACIP/MAC地址欺地址欺骗等。骗等。交换机端口安全的基本功能交换机端口安全的基本功能l l限制交换机端口的最大连接数限制交换机端口的最大连接数l l端口的安全地址绑定端口的安全地址绑定交换机端口安全如果一个端口被配置为一个安全端口,当其安全地址的数如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后目已经达到允许的最大个数后; ;如果该端口收到一个源地址不属于端口上的安全地址的包如果该端口收到一个源地址不属于端口上的安全地
9、址的包时,时,一个安全违例将产生。一个安全违例将产生。一个安全违例将产生。一个安全违例将产生。 当安全违例产生时,你可以选择多种方式来处理违例:当安全违例产生时,你可以选择多种方式来处理违例:l lProtectProtect:当当安安全全地地址址个个数数满满后后,安安全全端端口口将将丢丢弃弃未未知知名名地地址址(不不是该端口的安全地址中的任何一个)的包。是该端口的安全地址中的任何一个)的包。l lRestrictTrapRestrictTrap:当违例产生时,将发送一个当违例产生时,将发送一个TrapTrap通知。通知。l lShutdownShutdown:当违例产生时,将关闭端口并发送一
10、个当违例产生时,将关闭端口并发送一个TrapTrap通知。通知。配置安全端口 端口安全最大连接数配置端口安全最大连接数配置l lswitchportswitchport port-security port-security打开该接口的端口安全功能打开该接口的端口安全功能l lswitchportswitchport port-security maximum port-security maximum valuevalue设置接口上安全地址设置接口上安全地址的最大个数,范围是的最大个数,范围是1 1128128,缺省值为,缺省值为128128。l lswitchportswitchport
11、port-security violation port-security violationprotectprotect| | restrict restrict | | shutdownshutdown 设置处理违例的方式设置处理违例的方式注:注:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。 2 2、当端口因为违例而被关闭后,在全局配置模式下使、当端口因为违例而被关闭后,在全局配置模式下使 用命令用命令errdisableerrdisable recovery recovery 来将接口从错误状态来将接口从错误状态 中恢复过来。中恢
12、复过来。配置安全端口端口的安全地址绑定端口的安全地址绑定l lswitchportswitchport port-security port-security 打开该接口的端口安全功能打开该接口的端口安全功能l lswitchportswitchport port-security port-security macmac-address -address macmac-address-address ipip-address -address ipip-address-address 手工配置接口上的安全地址。手工配置接口上的安全地址。注:注:1 1、端口安全功能只能在、端口安全功能只能在a
13、ccessaccess端口上进行配置。端口上进行配置。 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有: :单单MACMAC、单单IPIP、MAC+IPMAC+IP端口安全配置示例下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端上的端口安全功能,设置最大地址个数为口安全功能,设置最大地址个数为8 8,设置违例方,设置违例方式为式为protectprotect。l lSwitch# configure terminal Switch# configure terminal l lSwitch(Switch(conf
14、igconfig)# interface )# interface gigabitethernetgigabitethernet 1/3 1/3 l lSwitch(Switch(configconfig-if)# -if)# switchportswitchport mode access mode access l lSwitch(Switch(configconfig-if)# -if)# switchportswitchport port-security port-security l lSwitch(Switch(configconfig-if)# -if)# switchport
15、switchport port-security maximum 8 port-security maximum 8 l lSwitch(Switch(configconfig-if)# -if)# switchportswitchport port-security violation port-security violation protect protect l lSwitch(Switch(configconfig-if)# end-if)# end端口安全配置示例下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口安全功能,上
16、的端口安全功能,配置端口绑定地址,主机配置端口绑定地址,主机MACMAC为为0000d0.f800.073cd0.f800.073c,IPIP为为192.168.12.202192.168.12.202l lSwitch# configure terminalSwitch# configure terminall lSwitch(Switch(configconfig)# interface )# interface fastethernetfastethernet 0/3 0/3l lSwitch(Switch(configconfig-if)# -if)# switchportswitch
17、port mode access mode accessl lSwitch(Switch(configconfig-if)# -if)# switchportswitchport port-security port-securityl lSwitch(Switch(configconfig-if)# -if)# switchportswitchport port-security port-security macmac- -address 00d0.f800.073c address 00d0.f800.073c ipip-address 192.168.12.202-address 19
18、2.168.12.202l lSwitch(Switch(configconfig-if)# end-if)# end验证命令查看所有接口的安全统计信息,包括最大安全地查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等。址数,当前安全地址数以及违例处理方式等。l lSwitch#show port-security Switch#show port-security Secure Port Secure Port MaxSecureAddrMaxSecureAddr(countcount) CurrentAddrCurrentAddr(countcount) Se
19、curity Action Security Action - - - - - - - - Gi1/3 8 1 Protect Gi1/3 8 1 Protect验证命令查看安全地址信息。查看安全地址信息。l lSwitch# Switch# show port-security addressshow port-security addressVlanVlan Mac Address IP Address Type Port Remaining Age( Mac Address IP Address Type Port Remaining Age(minsmins) )- - - - - - - - - - -1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 11 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1
