交换机基础安全功能应用.pptVIP

ARP-check 概述 ARP检查功能，防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项，生成ARP过滤表项 过滤ARP字段 Sender’s IP Sender’s MAC * Dest MAC Source MAC TYPE IP Source IP Dest IP 原FFP逻辑示意 新增FFP逻辑示意 Dest MAC Source MAC TYPE ARP Sender’s IP Sender’s MAC ARP-check配置 开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list * 总结 设备安全管理 密码 源地址限制 安全协议 接入安全 保护端口 全局地址绑定 端口安全 防攻击 DHCP Snooping IP Source Guard 防ARP：ARP-check DAI * * THANKS！ 培训目标： 8 * S2100系列交换机不支持 8 * ACL见公共技术课程 802.1x见SAM课程 8 * 保护端口适用于比较简单的场合，对于隔离要求较高的场合建议使用PVLAN，关于PVLAN技术请参考公共技术类课程 8 * 全局地址绑定无需将安全规则与端口对应 8 * S2100系列交换机address-bind功能的处理机制是： 只有过滤匹配IP却不匹配MAC的主机，其他主机不收约束 8 * protect：当IP/MAC过滤项个数满后，安全端口将丢所有新接入的用户数据流。该处理模式为默认的对违例的处理模式。 restrict：当违例产生时，将发送一个 Trap 通知。 shutdown：当违例产生时，将关闭端口并发送一个 Trap 通知。 S2100系列交换机端口安全配置稍有不同，请参看S2100系列配置手册 8 * S2100系列交换机使用DHCP Snooping功能时需要将软件版本升级至1.69（1a3）或者1.8以上 8 * Trust端口不仅仅允许DHCP回应报文通过，同时也不会形成该端口相关的DHCP Snooping数据库表项 S2100系列交换机不支持DHCP报文速率限制 8 * ARP Request是广播发送 ARP Reply是单播发送 8 * 8 * 通过双向攻击后，PC发往网关的数据将被欺骗者截获，导致敏感信息被窃取 网游的木马程序多通过这种方式进行盗号 8 * 非RGOS交换机，例如S2100系列 ARP-check基于全局配置，非基于端口生效 配置命令： S2126G(config)#port-security arp-check 8 * 技术培训中心 2010-03 交换机基础安全功能应用 学习目标 理解交换机常用安全功能的应用场合 掌握交换机常用安全功能的配置与注意事项 * 课程内容 第一章：设备管理安全 第二章：接入安全 第三章：防攻击 * 设备管理安全 概述 设备易管理性与安全性成反比，必须有效的平衡管理与安全的关系 措施 使用中/强密码 源地址限制 使用安全管理协议 * 使用中强密码 概述 密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码 密码强度举例 弱密码：aabbcc、567890 中等强度密码：ruijie345 高等强度密码：Ruijie#876 * 源地址限制 概述 只有合法的源地址才能管理设备 限制远程管理源地址 Ruijie(config)#access-list 99 permit host 00 Ruijie(config)#line vty 0 4 Ruijie(config-line)#access-class 99 in 限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 00 Ruijie(config)#snmp-server community ruijie rw 99 * 使用安全管理协议 使用加密管理协议 禁用Telnet协议，使用SSH管理设备 使用SNMPv3 禁用Telnet协议 方法一：Ruijie(config)#no enable service telnet-server 方法二：Ruijie(config-line)#transport input ssh 使用SNMPv3 Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99 * 课程内容 第一章：设备管理安全 第二章：接入安全 第三章：防攻击 * 接入安全