安全管理局域網(wǎng).ppt

1、主編 高良誠,局域網(wǎng)組建與管理項(xiàng)目教程,中國水利水電出版社,第2頁,第八單元,安全管理局域網(wǎng),第3頁,某高校校園網(wǎng)不斷發(fā)展，其開放性、共享性和 互聯(lián)程度越來越高，網(wǎng)絡(luò)應(yīng)用已經(jīng)遍布校園內(nèi)每 一個(gè)角落，網(wǎng)絡(luò)系統(tǒng)的安全與保密問題顯得越來 越重要。目前由于信息系統(tǒng)的脆弱性而導(dǎo)致的系 統(tǒng)安全問題日益嚴(yán)重。網(wǎng)絡(luò)管理員小劉該采取哪 些措施應(yīng)對校園網(wǎng)建設(shè)過程中遇到的各種各樣的 網(wǎng)絡(luò)安全問題？,項(xiàng)目描述,第4頁,項(xiàng)目分析,網(wǎng)絡(luò)攻擊事件頻發(fā)，其根本原因在于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備甚至網(wǎng)絡(luò)協(xié) 議本身存在著嚴(yán)重的安全漏洞。網(wǎng)絡(luò)管理員小劉只有配置安全的服務(wù) 器、安全的網(wǎng)絡(luò)設(shè)備和安全的數(shù)據(jù)存儲(chǔ)，同時(shí)借助于各種安全策略和手 段，

2、拒絕存在的各種安全隱患的用戶接入網(wǎng)絡(luò)，督促普通用戶采取安全 的措施，只有這樣才能有效地防范網(wǎng)絡(luò)攻擊威脅。 經(jīng)過與用戶交流（可由教師扮演用戶角色），安全措施具體要求如下 1、保證服務(wù)器用戶賬戶的安全 2、保證服務(wù)器文件系統(tǒng)的安全 3、保證網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器）的安全傳輸數(shù)據(jù) 4、ARP攻擊的防范 5、設(shè)備要求 （1）Windows Server 2003系統(tǒng)的服務(wù)器若干臺(tái) （2）Cisco 2960交換機(jī) （3）Cisco 3560三層交換機(jī) 其它設(shè)備綜合考慮功能需求和經(jīng)濟(jì)性方面的要求。,第5頁,項(xiàng)目實(shí)施過程,1、管理員賬戶的安全配置 2、用戶賬戶的安全配置 3、組策略的安全配置 4、NTF

3、S權(quán)限配置、NTFS壓縮配置、NTFS加密配置 5、Cisco交換機(jī)基于端口的傳輸控制 6、ARP欺騙的防范,第6頁,8.1 Windows Server 2003用戶賬戶安全管理,通常情況下，非法獲得系統(tǒng)賬戶是入侵網(wǎng)絡(luò)系統(tǒng)的第一步，其目的是通過得到合法的系統(tǒng)賬戶從而獲得更多未授權(quán)的網(wǎng)絡(luò)資源；使用默認(rèn)的管理員賬號和采用安全性不高的密碼，都會(huì)成為黑客破解工具的漏洞，從而進(jìn)一步竊取管理員權(quán)限；超限或過大地授權(quán)也會(huì)使用戶獲得更多的網(wǎng)絡(luò)資料訪問的能力。所以針對用戶賬戶的安全管理尤為重要。 局域網(wǎng)絡(luò)中系統(tǒng)管理員賬戶擁有著系統(tǒng)中最高的權(quán)限，因此，管理員賬戶也成為了黑客的主要攻擊目標(biāo)。作為網(wǎng)絡(luò)管理員，應(yīng)該做

4、好管理員賬戶的安全管理，避免賬戶及密碼被破解或盜取。,第7頁,8.1.1 更改Administrator賬戶名,1、更改獨(dú)立計(jì)算機(jī)中Administrator賬戶名 2、更改Active Directory控制器中 Administrator賬戶名 3、通過組策略更改Administrator賬戶名,第8頁,8.1.2 禁用Administrator賬戶,如果更改Administrator賬戶名仍然達(dá)不到系統(tǒng)安全 需求，可以將Administrator賬戶禁用。然后使用其 他管理員賬戶，執(zhí)行計(jì)算機(jī)或網(wǎng)絡(luò)的維護(hù)任務(wù)。,1、禁用獨(dú)立計(jì)算機(jī)中Administrator賬戶 2、禁用域控制器中Admi

5、nistrator賬戶,第9頁,8.1.3 減少Administrators組成員數(shù)量,Administrators 組可以執(zhí)行計(jì)算機(jī)的維護(hù)任務(wù)。分配給該 組的默認(rèn)權(quán)限允許對整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有 受信任的人員才可成為該組的成員。減少Administrators 組成員的數(shù)量可以有效的提高網(wǎng)絡(luò)系統(tǒng)的安全。 1、減少獨(dú)立計(jì)算機(jī)中Administrators組成員數(shù)目 2、減少域控制器中Administrators組成員數(shù)目 注意：其中“成員”選項(xiàng)中默認(rèn)存在“Administrator”賬戶、 “Domain Admins”組（指定的域管理員）、“Enterprise Admins”組（

6、企業(yè)的指定系統(tǒng)管理員）。因此還應(yīng)該控制 “Domain Admins”組和“Enterprise Admins”組中成員的數(shù) 量。,第10頁,8.1.4 Administrator賬戶口令設(shè)置,1、注意事項(xiàng) （1）不能讓賬號名與密碼相同 （2）不要使用用戶自己的姓名 （3）不要使用英文詞組 （4）不要使用特定意義地日期 （5）不要使用簡單的密碼 2、安全密碼原則 （1）用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至非打印 字符，將這些符號排列組合使用，以期達(dá)到最好的保密效果 （2）用戶密碼不要太規(guī)則，不要將用戶姓名、生日和電話號碼作為密碼 （3）密碼長度設(shè)置時(shí)遵循7位或14位的整數(shù)倍原

7、則 （4）在通過網(wǎng)絡(luò)驗(yàn)證密碼過程中，不得以明文方式傳輸，以免被監(jiān)聽截取 （5）密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤 上，且包含密碼的文件是只讀的,第11頁,（6）密碼應(yīng)定期修改，以避免重復(fù)使用舊密碼 （7）建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗(yàn)錯(cuò)誤若干次即斷開連 接并鎖定該賬戶，經(jīng)過一段時(shí)間才能解鎖 （8）由網(wǎng)絡(luò)管理員設(shè)置一次性密碼機(jī)制，用戶在下次登錄時(shí)必須更換 新的密碼 3、強(qiáng)密碼設(shè)置 （1）長度至少有7個(gè)字符 （2）不包含用戶的生日、電話、用戶名、真實(shí)姓名或公司名等 （3）不包含完整的字典詞匯 （4）包含全部下列4組字符類型。大寫字母（A、B、Z）、小寫字 母（a、

8、b、z）、數(shù)字（09）、非字母字符（鍵盤上所有 未定義為字母和數(shù)字的字符，如！ #￥%等等）,第12頁,8.1.5 本地安全數(shù)據(jù)庫配置,1、加密本地安全數(shù)據(jù)庫 本地安全數(shù)據(jù)庫保存%systemroot%system32config 目錄下的SAM文件中，保護(hù)該文件的安全，也就間接保 護(hù)了管理員賬戶的安全，通常情況下可以通過加密方式 實(shí)現(xiàn)。Syskey是Windows系統(tǒng)內(nèi)置的賬戶數(shù)據(jù)庫加密專 用工具，經(jīng)過其對SAM文件加密后，即使入侵者竊取了 SAM文件也無法獲得其中的用戶名和密碼信息。 2、刪除備份賬戶數(shù)據(jù)庫 安裝Windows Server 2003后，會(huì)自動(dòng)在 %systemroot%r

9、epair目錄下保存一份SAM文件的備 份。為防止賬戶和密碼等相關(guān)信息的泄露，需要?jiǎng)h除該 備份文件。,第13頁,8.2 Windows Server 2003組策略安全管理,8.2.1 組策略概述 組策略程序位于C:WINNTSYSTEM32中，文件名為gpedit.msc，單擊“開始”“運(yùn)行”命令，在運(yùn)行對話框的打開欄中輸入gpedit.msc，然后單擊確定按扭即可啟動(dòng)Windows組策略編輯器。,圖8-2-1 組策略編輯器,第14頁,8.2.2 賬戶策略配置,賬戶策略主要用于限制本地用戶賬戶或與用戶賬戶的交互方式，其中 包括密碼策略和賬戶鎖定策略。 密碼策略配置 密碼策略用

10、于域或本地用戶賬戶，確定密碼設(shè)置，如圖8-2-2所示。獨(dú) 立服務(wù)器默認(rèn)禁用，而域控制器默認(rèn)啟用。其中包括： 1、密碼必須符合復(fù)雜性要求 2、密碼長度最小值 3、密碼最長使用期限： 4、密碼最短使用期限 5、強(qiáng)制密碼歷史 6、用可還原的加密來存儲(chǔ)密碼 賬戶鎖定策略配置 1、復(fù)位賬戶鎖定計(jì)數(shù)器 2、賬戶鎖定時(shí)間 3、賬戶鎖定閾值,第15頁,8.2.3 本地策略配置, 審核策略配置 審核策略是Windows Server 2003系統(tǒng)中本地安全策略的一 部分，每當(dāng)用戶執(zhí)行指定的某些操作時(shí)，審核日志都會(huì)記 錄一項(xiàng)。Windows Server 2003系統(tǒng)的審核策略包含以

11、下九 個(gè)策略，如圖8-2-4所示： 1、審核策略更改 2、審核登錄事件 3、審核對象訪問 4、審核過程跟蹤 5、審核目錄服務(wù)訪問 6、審核特權(quán)使用 7、審核系統(tǒng)事件 8、審核賬戶登錄事件 9、審核賬戶管理,第16頁, 用戶權(quán)限分配 用戶權(quán)限分配時(shí)通過管理員權(quán)限將部分安全功能分配給指定用戶賬 戶，即可減少系統(tǒng)或網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，又可以將重要權(quán)限分?jǐn)?到不同的用戶賬戶，避免了個(gè)別用戶權(quán)限過高而給系統(tǒng)或網(wǎng)絡(luò)帶來的 威脅。Windows Server 2003有近三十多個(gè)用戶權(quán)限分配策略，管理員 可以為用戶賬戶指派相應(yīng)的安全管理權(quán)限，在這介紹幾種常見的用戶 權(quán)限分配策略。 1、從網(wǎng)絡(luò)

12、訪問此計(jì)算機(jī) 2、更改系統(tǒng)時(shí)間 3、關(guān)閉系統(tǒng) 4、拒絕本地登錄 5、拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī) 6、通過終端服務(wù)拒絕登錄 7、通過終端服務(wù)允許登錄 8、允許在本地登錄,第17頁,8.3 Windows Server 2003文件系統(tǒng)安全管理,【任務(wù)說明】 任務(wù)一：某高校一臺(tái)安裝有Windows Server 2003的文件服 務(wù)器磁盤空間資源緊張，其中有若干大文件占用相當(dāng)大的 容量，網(wǎng)絡(luò)管理員小劉如何操作配置解決磁盤空間不足的 問題？ 任務(wù)二：文件服務(wù)器中有若干文件安全性要求較高，僅允 許網(wǎng)絡(luò)管理員對其進(jìn)行控制，若不采用第三方加密軟件對 其加密，網(wǎng)絡(luò)管理員小劉如何操作配置解決此問題？ 任務(wù)三：如

13、果某個(gè)用戶需要訪問文件服務(wù)器上的已經(jīng)加密 過的文件，網(wǎng)絡(luò)管理員小劉如何進(jìn)行操作配置呢？,第18頁,8.3.1 NTFS權(quán)限,NTFS是Windows Server 2003推薦使用的高性能的文件系統(tǒng)，它提供了FAT中所沒有的性能、支持許多新的文件安全、存儲(chǔ)和容錯(cuò)功能，如NTFS權(quán)限、文件的壓縮、加密、配額等技術(shù)。 NTFS權(quán)限是基于NTFS分區(qū)實(shí)現(xiàn)的，NTFS權(quán)限可以實(shí)現(xiàn)高度的本地安全性。通過對用戶賦予NTFS權(quán)限可以有效地控制用戶對文件和文件夾的訪問。在NTFS分區(qū)上的每一個(gè)文件和文件夾都有一個(gè)列表，被稱為ACL（Access Control List，訪問控制列表），該列表記錄了每一用戶和

14、組對該資源的訪問權(quán)限。,第19頁,8.3.2 NTFS標(biāo)準(zhǔn)權(quán)限和NTFS特殊權(quán)限,1、NTFS文件夾權(quán)限（如圖8-3-1所示） （1）讀?。翰榭丛撐募A中的文件和子文件夾。查看文件夾的所有者、權(quán)限 和屬性（如只讀、隱藏、存檔和系統(tǒng)）。 （2）寫入：在該文件夾內(nèi)新建文件和子文件夾。 （3）列出文件夾目錄：查看該文件夾內(nèi)的文件和子文件夾的名稱。 （4）讀取和運(yùn)行：完成“讀取”權(quán)限和“列出文件夾目錄”權(quán)限所允許的操作。 （5）修改：完成“寫入”權(quán)限及“讀取和運(yùn)行”權(quán)限所允許的操作。 （6）完全控制：完成其他所有NTFS權(quán)限允許的操作。 2、NTFS文件權(quán)限（如圖8-3-2所示） （1）讀取：讀取該文

15、件和查看文件的屬性、所有者及權(quán)限。 （2）寫入：覆蓋該文件，更改文件屬性和查看文件的所有者的權(quán)限。 （3）讀取和運(yùn)行：完成“讀取”權(quán)限所允許的操作，運(yùn)行應(yīng)用程序。 （4）修改：完成“寫入”權(quán)限及“讀取和運(yùn)行”權(quán)限所允許的操作，修改和刪除 文件。 （5）完全控制：完成其他所有NTFS文件權(quán)限允許的操作。 設(shè)置NTFS文件權(quán)限與設(shè)置NTFS文件夾權(quán)限非常地相似。NTFS文件權(quán)限僅 對目標(biāo)文件有效，建議用戶盡量不要直接為文件設(shè)置權(quán)限的方式，而是 應(yīng)當(dāng)將文件放置在文件夾中，然后對該文件夾設(shè)置權(quán)限。,第20頁,【任務(wù)說明】,圖8-3-1 NTFS文件權(quán)限,圖8-3-2 NTFS文件夾權(quán)限,第21頁,3、

16、NTFS特殊權(quán)限（如圖8-3-3所示） 前面所敘述的標(biāo)準(zhǔn) 權(quán)限是為了簡化權(quán) 限的管理而設(shè)計(jì)的， 標(biāo)準(zhǔn)使用權(quán)限已經(jīng) 能夠滿足一般的需 求。但是用戶還可 以利用NTFS特殊權(quán) 限更精確地指派權(quán) 限，以便滿足各種不同的權(quán)限需求，從而實(shí)現(xiàn)更 加嚴(yán)格的網(wǎng)絡(luò)安全管理。,圖8-3-3 NTFS特殊權(quán)限,第22頁,8.3.3 NTFS權(quán)限使用法則,1、NTFS權(quán)限的繼承性 默認(rèn)情況下，NTFS權(quán)限是具有繼承性的。所謂 繼承性，就是指NTFS權(quán)限自動(dòng)從父對象傳播到當(dāng) 前對象的過程。管理員可以根據(jù)實(shí)際需求，對權(quán) 限繼承進(jìn)行相應(yīng)配置。 （1）權(quán)限繼承 （2）禁止權(quán)限繼承,第23頁,【任務(wù)說明】 任務(wù)四：子文件夾B需

17、要?jiǎng)h除從父文件夾A繼承來 的權(quán)限，然后重新設(shè)置文件夾B的權(quán)限（允許 Administrators組擁有完全控制權(quán)限，允許用戶 bob擁有只讀權(quán)限），網(wǎng)絡(luò)管理員小劉該如何進(jìn)行 操作配置？任務(wù)如圖8-3-5所示。,【任務(wù)四分析】網(wǎng)絡(luò)管理員小劉通過對子文件夾 B進(jìn)行NTFS權(quán)限配置實(shí)現(xiàn)要求。,第24頁,【任務(wù)四實(shí)施】 在NTFS分區(qū)中找到需要?jiǎng)h除權(quán)限繼承的文件夾B，在文件夾B上右擊，選擇彈出菜單中的“共享和安全”命令，在彈出的文件夾的屬性窗口中打開“安全”選項(xiàng)卡，如圖8-3-6所示。 如果在查看對象的權(quán)限時(shí)復(fù)選框?yàn)榛疑?，則表明此權(quán)限是從父對象文件夾A繼承來的。現(xiàn)在需要?jiǎng)h除“Users”組從父文件夾繼

18、承來的權(quán)限。但如果此時(shí)單擊“刪除”按鈕直接刪除此對象，則會(huì)彈出如圖8-3-7所示的警告信息提示框。 在圖8-3-6中單擊“高級”按鈕，彈出如圖8-3-8所示的高級安全設(shè)置對話框，在此對話框的“權(quán)限”選項(xiàng)卡中選擇“允許Users讀取和運(yùn)行c:該文件夾，子文件夾”選項(xiàng)，然后將“允許父項(xiàng)的繼承權(quán)限傳播到該對象和所有子對象，包括那些在此明確定義的項(xiàng)目”復(fù)選框清除，隨后彈出如圖8-3-9所示的信息提示框。,第25頁,在圖8-3-9中有兩個(gè)按鈕“復(fù)制”和“刪除”。如果單擊“復(fù)制”按鈕就是將現(xiàn)有的從父文件夾繼承來的權(quán)限復(fù)制一份，保留給該文件或文件夾，然后斷開繼承關(guān)系，同時(shí)也可以修改繼承來的權(quán)限或者再分配權(quán)限

19、；如果單擊“刪除”按鈕就是將從父文件夾繼承來的所有權(quán)限徹底刪除，然后斷開繼承關(guān)系。 此時(shí)單擊“刪除”按鈕，在“權(quán)限”選項(xiàng)卡中所有通過繼承獲得的權(quán)限都被刪除，如圖8-3-10所示，這時(shí)已經(jīng)將繼承來的權(quán)限刪除了，只剩下“Administrators”組擁有“不是繼承的”完全控制權(quán)限。 接下來可以為這個(gè)文件夾添加新的權(quán)限。單擊“確定”按鈕，返回“安全”選項(xiàng)卡，在此對話框中，只剩下“Administrators”組，而且權(quán)限欄中所有權(quán)限都沒有設(shè)置，如圖8-3-11所示。設(shè)置“Administrators”組擁有“完全控制”權(quán)限。然后在此窗口單擊“添加”按鈕，彈出“選擇用戶和組”對話框，在“輸入對象名稱

20、來選擇”文本框中輸入需要添加的用戶的名稱，本任務(wù)中是bob，然后單擊“確定”按鈕，返回“安全”選項(xiàng)卡。根據(jù)實(shí)際情況設(shè)置該用戶的訪問權(quán)限，例如：給用戶bob“讀取”權(quán)限，然后單擊“確定”按鈕。,第26頁,2、NTFS權(quán)限的累加性 3、NTFS權(quán)限的優(yōu)先性 （1）文件權(quán)限高于文件夾權(quán)限 （2）拒絕權(quán)限高于其他權(quán)限 4、NTFS權(quán)限的交叉性 5、復(fù)制和移動(dòng)操作對權(quán)限的影響 在同一NTFS分區(qū)或不同NTFS分區(qū)間復(fù)制文件和文件夾 時(shí)，繼承目的文件夾的權(quán)限設(shè)置。在同一NTFS分區(qū)移動(dòng)文 件或文件夾時(shí)，權(quán)限不變。在不同NTFS分區(qū)移動(dòng)文件或文 件夾時(shí)，繼承目的文件夾的權(quán)限設(shè)置。當(dāng)從NTFS分區(qū)向FAT 分

21、區(qū)中拷貝或移動(dòng)文件和文件夾都將導(dǎo)致文件和文件夾的 權(quán)限丟失，因?yàn)镕AT分區(qū)不支持NTFS權(quán)限。,第27頁,8.4 Cisco交換機(jī)基于端口的傳輸控制,【任務(wù)說明】 某高校網(wǎng)絡(luò)中心Web服務(wù)器與FTP服務(wù)器分別連接在Cisco3560三層交換機(jī)的f0/1和f0/2端口上，G0/1端口為出口。且Web服務(wù)器的上行速率和下行速率要求控制在1M；FTP服務(wù)器的上行速率和下行速率要求控制在2M，網(wǎng)絡(luò)管理員小劉該如何進(jìn)行操作配置呢？（Web服務(wù)器IP地址為/24，F(xiàn)TP服務(wù)器IP地址為/24）,第28頁,8.4.1 抑制廣播,當(dāng)端口接收到大量的廣播、單播或多播包

22、時(shí)，就會(huì)發(fā)生廣播風(fēng)暴。轉(zhuǎn)播這些包將導(dǎo)致網(wǎng)絡(luò)速度變慢或超時(shí)。借助于對端口的廣播風(fēng)暴的控制，可以有效地避免硬件損壞或鏈路故障而導(dǎo)致的網(wǎng)絡(luò)癱瘓。默認(rèn)情況下，廣播、多播或單播風(fēng)暴控制被禁用，需要時(shí)將其開啟。,第29頁,【任務(wù)說明】,第30頁,8.4.2 配置IEEE802.3X流控制,流控制（flow control）在直連的以太端口上啟用，在擁塞期間允許另一端擁塞的節(jié)點(diǎn)暫停鏈路工作來控制流量速率。如果一個(gè)端口發(fā)生擁塞并且不能接收任何更多的流量，它將通知對端端口停止發(fā)送數(shù)據(jù)直到這種擁塞情況消失。當(dāng)本地設(shè)備在本地檢測到了任何擁塞，能夠發(fā)送一個(gè)暫停幀通知鏈路伙伴或者遠(yuǎn)程設(shè)備已發(fā)生擁塞。當(dāng)收到暫停幀之后，遠(yuǎn)

23、程設(shè)備停止發(fā)送任何數(shù)據(jù)包，這樣防止在擁塞期間丟棄任何一個(gè)數(shù)據(jù)包,第31頁,【任務(wù)說明】,第32頁,【任務(wù)】關(guān)閉Cisco3560交換機(jī)Gigabitethernet 0/1端口上的所有流控制并且顯示結(jié)果。,第33頁,8.4.3 保護(hù)端口,保護(hù)端口（Protected Port）可以確保在同一交換機(jī)上的指定端口之間不進(jìn)行通信。保護(hù)端口不向其他保護(hù)端口轉(zhuǎn)發(fā)任何傳輸，包括單播、多播和廣播包。傳輸不能在第二層保護(hù)端口間進(jìn)行，所有保護(hù)端口間的傳輸都要通過第三層設(shè)備轉(zhuǎn)發(fā)。保護(hù)端口與非保護(hù)端口之間的數(shù)據(jù)傳輸不受任何影響。,第34頁,【任務(wù)說明】,第35頁,8.4.4 端口安全,利用端口安全（Port-Sec

24、urity），可以只允許指定的MAC地址或指定 數(shù)量的MAC地址訪問某個(gè)端口，從而避免了未經(jīng)授權(quán)的計(jì)算機(jī)接入網(wǎng) 絡(luò)，或限制某個(gè)端口所連接的計(jì)算機(jī)的數(shù)量，從而確保網(wǎng)絡(luò)接入的安 全。當(dāng)設(shè)置了安全端口上的安全地址的最大個(gè)數(shù)后，可以使用下面幾 種方式加滿端口上的安全地址： 1、使用接口配置模式下的命令“switchport port-security mac-address mac-address ip-address ip-address”手工配置端口的所有安全地址； 2、讓該端口自動(dòng)學(xué)習(xí)地址，這些自動(dòng)學(xué)習(xí)的地址將變成該端口上的安全地址，直到達(dá)到最大個(gè)數(shù)。需要注意的是，自動(dòng)學(xué)習(xí)的安全地址不會(huì)綁定IP

25、地址，如果在一個(gè)端口上，已經(jīng)綁定了IP地址的安全地址，則將不能再通過自動(dòng)學(xué)習(xí)來增加安全地址。 3、手工配置一部分安全地址，剩下的部分讓交換機(jī)自己學(xué)習(xí)。 注意：如果這個(gè)端口關(guān)閉了，所有的動(dòng)態(tài)學(xué)習(xí)的mac地址都會(huì)被移除,第36頁,【任務(wù)1】在Cisco3560交換機(jī)的f0/12端口上配置最大MAC地址數(shù)目為5的端口安全，違規(guī)動(dòng)作為默認(rèn)。,第37頁,【任務(wù)2】在Cisco3560交換機(jī)上配置f0/12端口安全MAC地址為1111.1111.1111,第38頁,【任務(wù)3】在Cisco3560交換機(jī)上配置f0/12端口安全超時(shí)時(shí)間兩小時(shí)。,第39頁,8.4.5 限制傳輸速率,核心層的交換機(jī)除了要支持VL

26、AN、TRUNK、ACL 等等功能外，它最核心的功能就是要保證各個(gè)端 口間的快速數(shù)據(jù)轉(zhuǎn)發(fā)，因此它們上面的端口限速 往往不是簡單設(shè)置一個(gè)數(shù)值就可以了，總體來說 要分為四個(gè)步驟： 1、建立一個(gè)訪問控制列表(ACL); 2、建立一個(gè)類(CLASS)，并在這個(gè)類上引用剛建立 的那個(gè)訪問控制列表(ACL); 3、建立一個(gè)策略(POLICY)，在這個(gè)策略上指定相 應(yīng)的帶寬，并引用相應(yīng)的類; 4、將這個(gè)策略應(yīng)用具體的端口上。,第40頁,網(wǎng)絡(luò)管理員小劉可以在三層交換機(jī)的相應(yīng)端口 上限制傳輸速率來實(shí)現(xiàn)任務(wù)要求。需要注意的是 每個(gè)端口的每個(gè)方向只支持一個(gè)策略；一個(gè)策略 可以用于多個(gè)端口。任務(wù)拓?fù)淙鐖D8-5-1所示

27、。,【任務(wù)分析】,第41頁,【任務(wù)說明】,圖8-5-1 限制傳輸速率,第42頁,1、在交換機(jī)上啟動(dòng)QOS,2、分別定義Web服務(wù)器和Ftp服務(wù)器訪問控制列表,【任務(wù)實(shí)施】,第43頁,3、定義類，并和上面定義的訪問控制列表綁定,第44頁,4、定義策略，把上面定義的類綁定到該策略,第45頁,5、在接口上應(yīng)用策略,第46頁,8.4.6 綁定IP和MAC地址,許多安全設(shè)置都是基于IP的，而用戶的IP地址卻可以隨意 設(shè)置。因此，還應(yīng)當(dāng)同時(shí)采取另一種安全措施，即在交換機(jī) 中將IP地址與MAC地址綁定在一起。這樣，即使用戶設(shè)置了 IP地址，也由于MAC地址不同而不能獲得相應(yīng)的權(quán)限，從而保 證網(wǎng)絡(luò)的安全。 使

28、用下列命令，可以將MAC地址與IP地址綁定在一起。 步驟1：進(jìn)入全局配置模式 Switch#config terminal 步驟2：綁定IP地址與MAC地址。若欲綁定若干IP地址，需 要重復(fù)該操作 Switch(config-if)#arp ip-address mac-address arpa 步驟3：保存當(dāng)前配置 Switch#copy running-config startup-config,第47頁,8.5 ARP攻擊防范,ARP協(xié)議即地址轉(zhuǎn)換協(xié)議（Address Resolution Protocol），它是一個(gè)鏈路層協(xié)議，工作在OSI模 型的第二層。,8.5.1 ARP協(xié)議簡介,第48頁,8.5.2 ARP協(xié)議的工作原理,1、主機(jī)A與主機(jī)B在同一網(wǎng)段 假設(shè)主機(jī)A和B在同一個(gè)網(wǎng)段，主機(jī)A向主機(jī)B發(fā)送信息，具體的地址 解析過程如下： （1）主機(jī)A首先查看自己的ARP緩存表，確定其中是否包含有主機(jī)B對 應(yīng)的ARP表項(xiàng)。如果找到了主機(jī)B對應(yīng)的MAC地址，則主機(jī)A直接利用ARP 表中的MAC地址對IP數(shù)據(jù)包進(jìn)行第二層幀封裝，并將數(shù)據(jù)包發(fā)送給主機(jī) B。 （2）如果主機(jī)A在