ND_07.园区网安全技术.ppt

第七章园区网安全技术 教学目标 本章内容 课程议题 常见的网络攻击 攻击不可避免 额外的不安全因素 现有网络安全体制 现有网络安全体制 课程议题 网络攻击对各网络层次的影响 二层交换机工作原理 二层交换机工作原理 二层交换机工作原理 二层交换机工作原理 二层交换机工作原理 二层交换机工作原理 二层攻击和防范 三层攻击和防范 MAC攻击 MAC攻击 MAC攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 ARP攻击 ARP攻击 ARP攻击 IP/MAC欺骗攻击 IP/MAC欺骗攻击 IP/MAC欺骗攻击 IP/MAC欺骗攻击 IP/MAC欺骗攻击 STP攻击 DoS/DDoS攻击 DoS/DDoS攻击 DoS/DDoS攻击 课程议题 交换机端口安全 交换机端口安全基本概念 配置安全端口 端口安全最大连接数配置 配置安全端口 案例（一） 案例（二） 查看配置信息 课程议题 什么是访问列表 为什么要使用访问列表 访问列表 访问列表的组成 访问列表规则的应用 访问列表的入栈应用 访问列表的出栈应用 IP ACL的基本准则 一个访问列表多个测试条件 访问列表规则的定义 IP标准访问列表 IP扩展访问列表 反掩码（通配符） IP标准访问列表的配置 IP标准访问列表配置实例(一) 标准访问列表配置实例(二) IP扩展访问列表的配置 IP扩展访问列表配置实例(一) IP扩展访问列表配置实例(二) 访问列表的验证 IP访问列表配置注意事项 课程回顾 休息 F1/0 S1/2 F1/1 配置： access-list 1 permit 55 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out 需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 配置： ip access-list standard abc permit host deny 55 财务 教师 F0/1 F0/2 F0/5 F0/6 F0/8 F0/9 F0/10 校长 定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 55 host eq www Router # show access-lists 103 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知 interface interface-id ！进入接口配置模式。 switchport port-security ！打开接口的端口安全功能 switchport port-security maximum value ！设置接口上安全地址数，范围1－128，缺省为128 switchport port-security violation {protect | restrict | shutdown}！设置处理违例的方式 switchport port-security mac-address mac-address [ip-address ip-address] ！手工配置接口上的安