网络安全技术与实训 第4章-精品·公开课件.ppt

4.1 交换机端口安全概述 接入安全—保护端口 概述 禁止交换机端口之间的通讯（二层） 保护端口角色 保护口 非保护口 保护端口规则 保护口之间禁止通讯 保护口允许与非保护口通讯 4.1 交换机端口安全概述 接入安全—全局地址绑定 概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景 4.1 交换机端口安全概述 接入安全—端口安全 概述 基于端口制定接入规则 接入规则 端口MAC最大个数 端口+MAC 端口+MAC+VLAN 端口+IP 端口+IP+MAC+VLAN 4.1 交换机端口安全概述 DHCP监听 概述 DHCP嗅探（Snooping）功能 功能 防止网络中假冒的DHCP服务器 形成Snooping表项为其他功能服务 端口角色 非信任口：拒绝DHCP回应报文 信任口：允许DHCP回应报文 默认角色：非信任口 4.1 交换机端口安全概述 ARP的作用 将IP地址映射到MAC地址 4.1 交换机端口安全概述 ARP的弱点 ARP无验证机制，请求者不能判断收到的ARP应答是否合法 4.1 交换机端口安全概述 ARP攻击 攻击者不但伪造网关，而且进行数据重定向 4.1 交换机端口安全概述 DAI DAI（Dynamic ARP Inspection） 与ARP检查一样，用于防止ARP欺骗 ARP检查需要静态配置安全地址 DAI依赖于DHCP Snooping数据库 要使用DAI，需要部署DHCP环境 4.1 交换机端口安全概述 DAI DAI端口 DAI Trust端口:不检查ARP报文 DAI Untrust端口:检查所有收到的ARP报文 4.4 802.1x 安全网络接入 AAA介绍 AAA 是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。 AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架 AAA主要解决的是网络安全访问控制的问题 Authentication：认证模块可以验证用户是否可获得访问权。 Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。 Accounting：计费模块可以记录用户使用网络资源的情况。 可实现对用户使用网络资源情况的记帐、统计、跟踪。 4.4 802.1x 安全网络接入 AAA基本模型 AAA基本模型中分为用户、NAS、认证服务器三个部分 4.4 802.1x 安全网络接入 AAA配置 启用AAA Router(config)#aaa new-model 配置验证列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 应用验证列表 Router(config-line)#login authentication { default | list-name } 将验证列表应用到PPP接口： Router(config-if)#ppp authentication { default | list-name } 4.4 802.1x 安全网络接入 RAIDUS概述 RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议 4.4 802.1x 安全网络接入 RADIUS认证过程 4.4 802.1x 安全网络接入 配置RADIUS 配置RADIUS服务器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]* 配置RADIUS服务器认证密钥 Router(config)#radius-server host key { 0 string | 7 string | string } 配置服务器组 Router(config)#aaa group server radius group-name 将RADIUS服务器加入到服务器组中： Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]* 4.4 802.1x 安全网络接入 AAA及RADIUS配置示例 在拓扑中，需要对远程登录到NAS设备上的用户进行AAA认证。认证方法首先使用RADIUS进行验证，如果RADIUS无法访问，