创建高级交换型互联网 教学课件 作者 程庆梅 第10章 多层交换网络安全技术.pptVIP

第十章 多层交换网络安全技术 大纲 安全隐患的存在 安全技术综述 利用多层交换机加强局域网安全设置 MAC地址端口验证 防止DOS（Denial of Service）攻击 ACL列表 MAC攻击 攻击者生成大量数据包，数据包的源MAC地址都不相同，会充满交换机的MAC地址表空间 真正的数据流到达交换机时被广播出去 导致交换机的查表速度下降 生成树攻击 用一台PC机模拟生成树协议，不断发布BPDU包 会导致一定范围内的生成树拓扑结构定期地发生变化 由于生成树不稳定，会导致整个网络不断发生动荡 蠕虫病毒攻击网络设备 冲击形式主要有两种 堵塞带宽，导致服务不可用 占用CPU资源，导致宕机 蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的 Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡 Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源 安全技术综述 流量控制技术 访问控制列表(ACL)技术 交换机与IDS联动? 多层交换机局域网安全设置 MAC地址端口验证 在多层交换机的一个端口上配置有限数量的“安全”MAC地址，这样交换机只转发源地址与安全MAC地址匹配的包 防范Smurf攻击 防止成为Smurf攻击的中间媒介（Intermediary） DCRS-7500（config）#no ip directed-broadcast 避免成为Smurf攻击的被攻击者 DCRS-7500（config）# ip icmp burst-normal 5000 burst-max 10000 lockup 300 防范TCP SYN攻击 DCRS-7500（config）# ip tcp burst-normal 10 burst-max 100 lockup 300 ACL列表 标准IP访问表 access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] 扩展的IP访问控制列表 Access-list [list number] [permit/deny] [protocol] [source address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [option] 注意点 需要注意的是： 列表的顺序是相当重要的 注意列表的相互影响 默认每个列表后都由一个“deny all” 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 DCRS-5526S/DCRS-7604 在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配 全局默认动作只对端口入口方向的IP包有效。对入口的非IP数据包以及出口的所有数据包，其默认转发动作均为允许通过(permit) 只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作 当一条access-list被绑定到一个端口的出方向时，其规则（rule）的动作只能为拒绝通过（deny）。 单击此处编辑母版标题样式 这里指出，交换机防止局域网的洪泛攻击时，通用的做法是：1、避免向外转发广播数据。2、对特定的控制报文限制一段时间内的上限，从而避免交换机本身遭受攻击后无法转发正常数据。