沈鑫剡编著(网络安全)教材配套课件第7章.pptxVIP

网络安全;第7章 以太网安全技术;7.1以太网解决安全威胁的思路;一、以太网相关威胁和引发原因;一、以太网相关威胁和引发原因;一、以太网相关威胁和引发原因;二、以太网解决安全威胁的思路;二、以太网解决安全威胁的思路;二、以太网解决安全威胁的思路;7.2 以太网接入控制技术;一、以太网接入控制机制;一、以太网接入控制机制;一、以太网接入控制机制;一、以太网接入控制机制;允许为交换机每一个端口配置访问控制列表，列表中给出允许接入的终端的MAC地址； 配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧，因此对于接入端口，只允许物理连接MAC地址属于列表中MAC地址的终端。;二、静态配置访问控制列表;安全端口是自动建立访问控制列表的机制； 允许为每一个交换机端口设置MAC地址数N，从端口学习到的前N个MAC地址作为访问控制列表的MAC地址； 不允许转发源地址是N个地址以外的MAC帧。;四、802.1X接入控制过程;四、802.1X接入控制过程;802.1X基于端口认证机制，一旦完成认证过程，端口就处于正常转发状态，这种方式适用于交换机B的认证端口，不适用交换机A的认证端口； 802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合，一旦交换机通过对某个用户的身份认证，将该用户终端的MAC地址记录在访问控制列表的中，这种方式下，访问控制列表的中的MAC地址是动态的，随着用户接入增加，随着用户退出减少。;认证数据库表明：允许用户名为用户A，具有口令PASSA的用户接入以太网； 交换机A将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制：EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。; 以太网接入控制过程可以解决以下问题，一是由于每一个交换机端口只允许接收源MAC地址是访问控制列表中的MAC地址的MAC帧，限制了交换机接收到的源MAC地址不同的MAC帧的数量，防止交换机发生转发表（MAC表）溢出的情况，有效地防御了MAC表溢出攻击。二是由于可以指定连接到每一个交换机端口的终端的MAC地址，因此，可以有效防御通过修改终端的MAC地址实施的MAC地址欺骗攻击。;本讲主要内容 防DHCP欺骗攻击机制和DHCP侦听信息库； 防ARP欺骗攻击机制； 防源IP地址欺骗攻击机制。 ;　伪造的DHCP服务器为终端配置错误的网络信息，导致终端发送的数据都被转发到冒充默认网关的黑客终端。;　终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文，在其他终端和路由器的ARP缓冲器中增添一项IP A MAC B，导致其他终端和路由器将目的IP地址为IP A的IP分组，全部封装成以MAC B为目的地址的MAC帧。;三、防源IP地址欺骗攻击机制;7.4 生成树欺骗攻击与防御机制;一、实施生成树欺骗攻击的条件;二、防生成树欺骗攻击机制;7.5 虚拟局域网;一、虚拟局域网降低攻击危害;一、虚拟局域网降低攻击危害;二、虚拟局域网安全应用实例;二、虚拟局域网安全应用实例