4-3网络安全技术.ppt

4-3网络安全技术,软件与服务外包学院李亚方,课程议题,网络安全隐患交换机端口安全,,,复杂程度,,Internet技术的飞速增长,时间,网络安全风险,,安全需求和实际操作脱离内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,针对操作系统的攻击,针对应用服务的攻击,,应用服务程序,Web服务器数据库系统内部办公系统网络浏览器ERP系统办公文件程序FTPSMTPPOP3,Oracle,,,,,DMZE-MailFileTransferHTTP,Intranet,,企业网络,生产部,工程部,市场部,,,人事部,路由,,,,,,,,Internet,中继,外部个体,,,外部/组织,,,,内部个体,内部/组织,,额外的不安全因素,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现,,,,,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁（蠕虫病毒特洛伊）广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球的网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,,,,现有网络安全防御体制,,IDS68,杀毒软件99,防火墙98,ACL71,现有网络安全体制,,,VPN虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,网络安全隐患交换机端口安全,交换机端口安全,利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定,交换机端口安全,如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后;如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，你可以选择多种方式来处理违例Protect当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap当违例产生时，将发送一个Trap通知。Shutdown当违例产生时，将关闭端口并发送一个Trap通知。,配置安全端口,端口安全最大连接数配置switchportport-security打开该接口的端口安全功能switchportport-securitymaximumvalue设置接口上安全地址的最大个数，范围是1－128，缺省值为128。switchportport-securityviolation{protect|restrict|shutdown}设置处理违例的方式,注1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定switchportport-security打开该接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address]手工配置接口上的安全地址。,注1、端口安全功能只能在access端口上进行配置。2、端口的安全地址绑定方式有单MAC、单IP、MACIP,端口安全配置示例,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。SwitchconfigureterminalSwitchconfiginterfacegigabitethernet1/3Switchconfig-ifswitchportmodeaccessSwitchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymaximum8Switchconfig-ifswitchportport-securityviolationprotectSwitchconfig-ifend,端口安全配置示例,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202SwitchconfigureterminalSwitchconfiginterfacefastethernet0/3Switchconfig-ifswitchportmodeaccessSwitchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Switchconfig-ifend,验证命令,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。Switchshowport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------Gi1/381Protect,验证命令,查看安全地址信息。Switchshowport-securityaddressVlanMacAddressIPAddressTypePortRemainingAgemins----------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381,