網(wǎng)絡(luò)安全技術(shù)

4-3：網(wǎng)絡(luò)安全技術(shù)軟件與服務(wù)外包學(xué)院李亞方課程議題網(wǎng)絡(luò)安全隱患交換機(jī)端口安全復(fù)雜程度Internet技術(shù)的飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)安全需求和實(shí)際操作脫離內(nèi)部的安全隱患動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境有限的防御策略安全策略和實(shí)際執(zhí)行之間的巨大差異針對(duì)網(wǎng)絡(luò)通訊層的攻擊通訊&服務(wù)層TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼調(diào)制解調(diào)器DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼針對(duì)操作系統(tǒng)的攻擊操作系統(tǒng)

UNIXWindowsLinux

FreebsdMacintoshNovell網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過(guò)26萬(wàn)個(gè)黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識(shí)越來(lái)越多的容易使用的攻擊軟件的出現(xiàn)第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來(lái)安全事件對(duì)我們的威脅越來(lái)越快網(wǎng)絡(luò)安全的演化現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制VPN

虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)課程議題網(wǎng)絡(luò)安全隱患交換機(jī)端口安全交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后;如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來(lái)處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。配置安全端口

端口安全最大連接數(shù)配置switchportport-security 打開該接口的端口安全功能switchportport-securitymaximumvalue 設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設(shè)置處理違例的方式注：1、端口安全功能只能在access端口上進(jìn)行配置。2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái)。配置安全端口端口的安全地址綁定switchportport-security打開該接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address] 手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進(jìn)行配置。2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP端口安全配置示例下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protect。Switch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end端口安全配置示例下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end驗(yàn)證命令查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等。Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------Gi1/381Protect驗(yàn)證命令查看安全地址信息。Switch#showport-securityaddressVlanMacAddressIPAddressType