中小企业网络设备配置与管理情境课-公开课件.pptVIP

中小企业网络设备配置与管理 情境五：园区网的安全 常见的网络攻击： 攻击不可避免 额外的不安全因素 现有网络安全体制 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 案例（一） 下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end 案例（二） 下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02 Switch(config-if)# end 查看配置信息 查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action ----------------- -------- --------- -------------- Gi1/3 8 1 Protect 查看安全地址信息 Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- ----------- ---------- ------- --------- -------- 1 00d0.f800.073c 02 Configured Fa0/3 8 1 为什么要使用访问列表 访问列表 访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 访问列表的入栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” IP访问列表配置注意事项 1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟VLAN）接口，可以配置入栈（I