网络互联技术PPT第5章网络安全技术

------------ -------------------- ----------------- --------------
fa0/3
8
1
Protect
查看安全地址信息
Switch# show port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- --------------- --------------- ---------- -------- ----------------------------------1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1
25/54
交换机端口安全内容
安全端口收到不属于端口上安全地址包时，一个安全违 例将产生。
当安全违例产生时，可以选择多种方式来处理违例： Protect：安全端口将丢弃未知地址的包（不是该端口的 安全地址中的任何一个）。 RestrictTrap：当违例产生时，将发送一个Trap通知。 Shutdown：当违例产生时，将关闭端口并发送一个Trap 通知。
00d0.f800.073c ip-address 192.168.12.202
28/54
验证命令
查看接口安全信息
Switch#show port-security
Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action
！配置远程登陆密码
注：
两个
Switch (config)#enable secret level 15 0 star
密码
缺一
！配置进入特权模式密码
不可
Switch (config)#interface vlan 1 ！配置远程登录地址
Switch (config-if)#no shutdown
Switch (config-if)#ip address 192.168.1.1 255.255.255.0
➢ 企业内部网络安全隐患包括的范围更广泛，如自然火灾、 意外事故、人为行为（如使用不当、安全意识等）、黑客 行为、内部泄密、外部泄密、信息丢失、电子监听（信息 流量分析、信息窃取等）和信息战等。
➢ 一般根据网络安全隐患源头可分为以下几类： （1）非人为或自然力造成的硬件故障、电源故障、软件错
误、火灾、水灾、风暴和工业事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损
Switch (config-if)#end
19/54
路由器控制台安全
保护路由器控制台的安全措施
配置路由器控制台密码
Router （config） # line concole 0 Router （config-line） # login Router （config-line） # password star
26/54
配置端口的最大连接数
配置fa1/3端口安全功能， 设置最大地址个数为8，违例方式为protect。
Switch(config)# interface fa1/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect
第五章 网络安全技术
1/54
工程任务：保护园区网络安全
中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合 各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中， 网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划， 通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范， 并增加防火墙设备增加学院网络的整体安全建设规划。
29/54
实习项目：配置交换机端口安全
【工作任务】 如图所示，模拟是中北大学中北 大学计算机科学技术学院为了防 止学院内部用户的IP地址冲突， 防止学院内部的网络攻击行为， 学院领导要求网络中心的管理员， 为学院中每一台电脑分配固定IP 地址（如为某位老师分配的IP地 址是172.16.1.55/24，该主机的 MAC地址是00-06-1B-DE-13-B4）， 并限制只允许学院内部的员工才 可以使用网络，并不得随意连接 其他主机。。
2/54
保护园区网络安全 组件一：网络攻击行为 组件二：管理设备控制台安全 组件三：交换机端口安全技术 组件四：访问控制列表安全技术
3/54
保护园区网络安全 组件一：网络攻击行为
4/54
复杂程度
Internet飞速增长
电子交易
电子商务 电子政务
Intranet 站点 Web 浏览 Internet Email
（3）黑客的攻击。得益于Internet的开放性和匿名性，也给 Internet应用造成了很多漏洞，从而给别有用心的人有可乘 之机，来自企业网络内部或者外部的黑客攻击都给目前网络 造成了很大的隐患。
（4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问 题，更是一个管理问题。它包含管理机构、法律、技术、经 济各方面。网络安全技术只是实现网络安全的工具。要解决 网络安全问题，必须要有综合的解决方案。
【项目设备】交换机（1台）， PC(1台)、网线（1条）
【实施过程】
…………
30/54
31/54
arp绑定
运行->cmd telnet 172.16.1.251 输入用户名uuuuuu 输入密码 mmmmmm show ip arp 显示ARP状况 en 进入编辑 config t 进入配置编辑状态 show mac- 显示mac号后处的交换口 arp ip地址 mac地址 arpa gi 0/4 绑定某IP的mac地址于交换机4口上 end 结束编辑 wr 写入配置文件中 exit 退出
Router # configure terminal Router （config） # Router （config） # line VTY 0 4 Router （config-line） # login Router （config-line） # password star
21/54
保护园区网络安全 组件三：交换机端口安全技术
今天
秒
下一代 • 网络基础
设施黑客 攻击 • 瞬间威胁 • 大规模蠕 虫 • DDoS • 破坏有效 负载的病 毒和蠕虫
未来
6/54
网络安全隐患
➢ 网络安全隐患是指借助计算机或其他通信设备，利用网络 开放性和匿名性的特征，在进行网络交互操作时，进行的 窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系 统资源的危险。
配置交换机的特权密码 S2126G(config)#enable secret level 15 0 Star
“0”表示输入的是明文形式的口令， 15为分配等级
等级1分配给特权模式; 等级15分配给全局模式，登级2-14 分配给不同的命令;
18/54
配置交换机远程登录的安全措施
Switch(config)#enable secret level 1 0 star
交换机端口安全的基本功能 1、限制端口最大连接数，控制恶意扩展接入 例：学校宿舍网可以防止学生随意购买小型交换机或 HUB扩展网络，对网络造成破坏。 2、端口安全地址绑定, 解决网中IP地址冲突、ARP欺 骗 例：在学校宿舍网内端口地址绑定，可以解决学生随意 更改IP地址，造成IP地址冲突，或者学生利用黑客工 具，进行ARP地址欺骗。
8/54
网络攻击行为
9/54
手段多样的网络攻击：
10/54
攻击不可避免
攻击工具体系化
11/54
网络进攻简单化
全球超过26万黑客站点, 提供系统漏洞和攻击知识 ➢ 越来越多易使用攻击软件出现 ➢ 年轻人对网络攻击好奇心 ➢ 年轻人的叛逆心理
12/54
攻击工具更加“人性化”
大量的攻击工具随手拾来
➢ 据国外调查显示，80%的安全破坏事件都是由薄弱的口 令引起的，因此为网络互联设备，配置一个恰当口令， 是保护网络不受侵犯最根本的保护。
17/54
保护交换机控制台的安全措施
配置交换机的登陆密码 S2126G(config)#enable secret level 1 0 star
“0”表示输入的是明文形式的口令，1为分配等级
配置路由器的特权登录密码：
Router （config） # enable password star Router （config） # enable secret star
“password ”表示输入的是明文形式的口令， “secret”为密文形式的口令，密文有最高优先级别。

时间
5/54
网络安全的演化
影响目标
波及全球网 络基础架构
安全事件对我们的威胁越来越快
分钟
地区网络 多个网络 单个网络 单台计算机
天
周
第一代 • 引导性病毒
第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑
客攻击
1980s
1990s
第三代 • 网络DOS
攻击 • 混合威胁
（蠕虫+ 病毒+特 洛伊） • 广泛的系 统黑客攻 击
22/54
MAC地址
MAC地址：链路层唯一标识
00.d0.f8. 00.07.3c
前3个字节： IEEE分配给网 络设备制造厂商 的
后3个字节：网 络设备制造厂商 自行分配的，不 重复，生产时写 入设备
FF.FF.FF.FF.FF.FF
广播MAC地址
MAC地址表：空间有限
接入交换机
MAC Port
坏。 （3）来自企业网外部和内部人员的恶意攻击和破坏。
7/54
常见网络管理中存在的安全问题
（1）机房安全。机房是网络设备运行的控制中心，经常发生 的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安 全（停电、负载不均等）等情况。
（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成 为灾难。据美国国家计算机安全协会（NCSA）最近一项调 查发现，几乎100%的美国大公司都曾在他们的网络中经历 过计算机病毒的危害。
13/54
现有网络安全体制
入侵检测系统
IDS 68%
杀毒软件 99%
ACL 71%
防火墙 98%
14/54
现有网络安全技术
防病毒 包过滤
VPN 虚拟专用网
入侵检测
防火墙
15/54
保护园区网络安全 组件二：管理设备控制台安全
16/54
管理交换机控制台安全
➢ 对于大多数企业内部网来说，连接网络中各个节点的互 联设备，是整个网络规划中最需要重要保护的对象。大 多数网络都有一、二个主要的接入点，对这个接入点的 破坏，直接造成整个网络瘫痪。如果网络互联设备没有 很好的安全防护措施，来自网络内部的攻击或者恶作剧 式的破坏，对网络的打击将是最致命的。因此设置恰当 的网络设备防护措施是保护网络安全的重要手段之一。
A
1
B
2
C
3
23/54
MAC地址攻击
攻击：
MAC地址表空间是有限，MAC攻击会占满交换机地址表;
使得单播包在交换机内部也变成广播包, 向所有端口转发， 每个连在端口上的客户端都可以收到该报文;
交换机变成了一个Hub，用户的信息传输也没有安全保障 了。
24/54
交换机端口安全功能
交换机的端口安全功能，可以防止网络内部攻击, 如 MAC地址攻击、ARP攻击、IP/MAC欺骗等。
27/54
绑定端口安全地址
配置fa0/3安全功能，绑定MAC为00d0.f800.073c， IP为192.168.12.202
Switch(config)# interface fa 0/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address
no arp ip解开绑定
32/54
保护园区网络安全 组件四：访问控制列表技术
33/54
1、什么是访问列表
FTP ISP
√
ACL对经过设备的数据包，根据一定的规则，进 行数据包的过滤。
34/54
2、为什么要使用访问列表
隔离外网病毒
RG-S3512G /RG-S4009