培训交换机.pptVIP

H3C的一些标准数字 H3C E系列交换机 H3C全新安全易用E126A/E152 校园网面临的新挑战之一 校园网面临的新挑战之二 ARP欺骗进行中间人攻击－如何攻击 如何防范ARP欺骗－ARP入侵检测（动态分配IP） 如何防范ARP欺骗－ARP入侵检测（静态IP分配） H3C全新安全易用E126A/E152 以胶片为载体的医学影像已经走到了十字路口，现代医学影像包括数字X光、CT、B超、MR（核磁共振）技术，正被临床医生广泛接纳和采用，成为重要的检查手段。 影像实验研究室合作，完成了Ｘ - 刀、 CT 、 MR 的图像网络传输，在院内进行联网，这不仅方便了病人，简化了程序，缩短了时间，减少了误差，使Ｘ - 刀治疗更加方便、准确、快捷，这在全国也是首家 表1提供的信息，在影像数据存储量分析表(见表2)中，可以计算出各种影像成像设备“生产”的影像数据量和系统总的存储量。 ... 在10Mbps共享式以太网环境中，传输、存储、归档一帧CT影像的数据需要7s，每天仅存储传输”CT影像数据．需要占用影像成像设备和PACS服务器机时总计6．1 h 与国内一般的PACS系统不同，天坛医院PACS系统接入的医学影像设备种类繁多、数量巨大，具体包括3台CT、3台MR、2台CR、2台DSA、1台ECT以及B超、超声心动图、胃镜、肠镜、支气管镜、病理显微镜等，测试显示，平均每天新增数据量约5GB，每年新增数据量1800GB ... 根据ARP 协议的实现原理，当一台主机收到的 ARP 应答并非自己所请求的，它也会对自己 ARP 缓存表进行其更新或加入操作。ARP协议没有对ARP报文的真实性提供验证机制，就给“ ARP 欺骗攻击”提供了可乘之机。 攻击的危害： 利用 ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 C友商的解决方案：DAI( Dynamic ARP Inspection) + ARP 限速 + DHCP Snooping。 我司的解决方案与C友商相似，目前我司S3600-SI可支持该特性，而友商需要更高一档的产品才支持。 应该说对于ARP Poisoning、ARP欺骗攻击，ARP入侵检测是最佳的方案。 ARP入侵检测（ARP Intrusion Inspection)过程： 1）以DHCP Snooping绑定表为基础； 2）对ARP报文的MAC地址有效性进行检查； 3）对ARP报文的IP地址有效性进行检查； 4）丢弃无效的ARP报文； 5）完全杜绝ARP欺骗中间人攻击。 MAC + IP + 端口 绑定是否可以解决ARP欺骗问题呢 ？答案是否定的。端口绑定（手工绑定、动态绑定、802.1x认证产生的绑定）能保证交换机端口在发送和接收数据报文时，只处理目的MAC/IP或者源MAC/IP匹配的数据报文。交换机端口收到的免费ARP报文，其源MAC地址是符合规则的，目的MAC地址是广播地址，其伪装的IP、MAC地址作为ARP报文中的数据，交换机识别不出来。 端口绑定虽然不能解决ARP中毒问题，但却可以阻止中间人攻击。 C友商的解决方案：DAI( Dynamic ARP Inspection) + ARP 限速 + DHCP Snooping。 我司的解决方案与C友商相似，目前我司S3600-SI可支持该特性，而友商需要更高一档的产品才支持。 应该说对于ARP Poisoning、ARP欺骗攻击，ARP入侵检测是最佳的方案。 ARP入侵检测（ARP Intrusion Inspection)过程： 1）以DHCP Snooping绑定表为基础； 2）对ARP报文的MAC地址有效性进行检查； 3）对ARP报文的IP地址有效性进行检查； 4）丢弃无效的ARP报文； 5）完全杜绝ARP欺骗中间人攻击。 MAC + IP + 端口 绑定是否可以解决ARP欺骗问题呢 ？答案是否定的。端口绑定（手工绑定、动态绑定、802.1x认证产生的绑定）能保证交换机端口在发送和接收数据报文时，只处理目的MAC/IP或者源MAC/IP匹配的数据报文。交换机端口收到的免费ARP报文，其源MAC地址是符合规则的，目的MAC地址是广播地址，其伪装的IP、MAC地址作为ARP报文中的数据，交换机识别不出来。 端口绑定虽然不能解决ARP中毒问题，但却可以阻止中间人攻击。 S5100SI系列千兆安全交换机－卖点 卖点一：千兆的品质，百兆的价格 卖点二：安全特性，小胜思科2960 卖点三：小核心/大接入 两者通吃 H3C S51 思科2960 价格天平 Evaluation only. Creat