采用端口安全控制策略确保准东采油厂网络安全.pdfVIP

I中国石油石化企业网络安全技术交流大会《函匝—●一 采用端口安全控制策略确保准东采油厂网络安全 程新忠 余智勇 (中国石油新疆油田公司) 摘要：本文介绍网络交换机访问控制列表(ACL)配置，端口安全(Port Security)控制策略的 原理以及防范MAC／CAM攻击，结合实际介绍了具体的配置方法，提出了网络自身安全的一个解 决方案。 Port 关键词：ACL Security；MAC地址；病毒攻击 1 前言 网络管理员面临的一个日渐严峻的挑战是决定哪些人可以访问企业内部的网络，哪些人不可以。 如果一台外来的计算机非法地接入了企业内部的网络，那么他计算机内部的木马或者病毒及蠕虫对 你的局域网就是一个极大威胁了。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身 的目的，现象有时非常直接，会带来网络流量加大、设备CPU利用率过高，直至网络瘫痪。目前 这类攻击和欺骗工具已经非常成熟和易用，而目前企业在部署这方面的防范还存在很多不足，有很 多工作要做。针对这类攻击已有较为成熟的解决方案，今天我们看一下怎样通过配置交换机端口来 解决类似的安全问题。通过配置交换机端口，可以简化地址管理，直接跟踪用户IP和对应的交换 机端口，最快地定位有安全隐患的网络用户。 2访问控制列表配置 Control 访问控制列表，即Access List，以下简称ACL，是路由器、交换机等网络设备上最 常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系，所以要弄清楚ACL的用 法非常重要。 实际上，ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。 然后根据这些集合去匹配网络中的流量(由大量数据包组成)，同时根据策略来“允许”或者“禁止”。 2．1 ACL的基本原理 1．ACL由若干条件，并按照一定的顺序而成，同时每个条件都对应了一个策略：允许或者禁止。 2．收到一个数据帧之后，ACL会按照从上到下的顺序逐一匹配： 一个条件不匹配就查看下一个； 任意一个条件匹配后就按照指定的策略执行，并跳出匹配； 所有条件都不匹配时，默认禁止，即deny。 3．为防止病毒或者恶意程序利用端口漏洞，网络中除了正常的web访问、邮件收发，其他所 有的应用都要禁止。 一301— 万方数据 —●囡衄_一中国石油石化企业网络安全技术交流大会I istextendedtest ipaccess一1 tcpanyanyeq80 permit tcpanyanyeq25 permit permittcpanyanyeq110 denyipanyany(隐含生效，后面不再贴出来了) 2．2 H3C交换机ACL常用配置 1．限制常见病毒使用的端口： 3000 lH3C]aclnumber [H3C—acl—adv一3000]ruledenytcpdestination—porteq135 ／Worm．Blaster[H3C— acl—adv-3000]ruleudp 135 ／Worm．Blaster[H3C-acl—adv一3000] deny destination—porteq rule 445 ／Worm．Blaster denytcpdestination—