网络互联技术第章网络安全技术.pptVIP

第五章 网络安全技术 工程任务：保护园区网络安全 组件一：网络攻击行为 组件一：网络攻击行为 Internet飞速增长 网络安全的演化 网络安全隐患 网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。 企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 一般根据网络安全隐患源头可分为以下几类： （1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损坏。 （3）来自企业网外部和内部人员的恶意攻击和破坏。 常见网络管理中存在的安全问题 （1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 　　 （2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。 （3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。 （4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。 网络攻击行为 常见的攻击措施主要有： 获取网络口令 放置特洛伊木马程序 　　 WWW欺骗技术 　　 电子邮件攻击 　　 通过一个节点来攻击其他节点 　　 拒绝服务攻击 DDOS 网络监听 　　 寻找系统漏洞 　　 利用账号进行攻击 　　 偷取特权 　　 手段多样的网络攻击： 攻击不可避免 网络进攻简单化 ? 全球超过26万黑客站点, 提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理 现有网络安全体制 现有网络安全技术 管理交换机控制台安全 对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互联设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，对网络的打击将是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。 据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本的保护。 MAC地址攻击 交换机端口安全功能 交换机的端口安全功能，可以防止网络内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。 交换机端口安全的基本功能 1、限制端口最大连接数，控制恶意扩展接入 例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。 2、端口安全地址绑定, 解决网中IP地址冲突、ARP欺骗 例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。 交换机端口安全内容 ? 安全端口收到不属于端口上安全地址包时，一个安全违例将产生。 当安全违例产生时，可以选择多种方式来处理违例： Protect：安全端口将丢弃未知地址的包（不是该端口的安全地址中的任何一个）。 RestrictTrap：当违例产生时，将发送一个Trap通知。 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。 配置端口的最大连接数 配置fa1/3端口安全功能， 设置最大地址个数为8，违例方式为protect。 Switch(config)# interface fa1/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect 绑定端口安全地址 ? 配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为02 Switch(config)# interface fa 0/3 S