学习情境2企业内网安全控制

企业内网安全控制学习情境2复杂程度Internet飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间第一代•引导性病毒第二代•宏病毒•DOS•电子邮件•有限的黑客攻击第三代•网络DOS攻击•混合威胁（蠕虫+病毒+特洛伊）•广泛的系统黑客攻击下一代•网络基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫波及全球网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响目标1980s1990s今天未来安全事件对我们的威胁越来越快网络安全的演化VLAN北京总部广州分公司上海分公司VLANVLANVLANVLANVLANVLAN情景二：构建企业交换式局域网情景三：企业内部路由配置情景四：企业内网安全控制情景五：企业广域网接入配置课程综合项目：Center公司网络改造项目Internet情景一：网络设备选型课程项目进度本章目标了解网络安全的基础知识掌握网络互联设备的安全控制保护措施掌握交换机端口的安全知识学习访问控制列表技术区别不同的访问控制列表技术任务分解配置交换机端口安全1配置标准访问控制列表访问安全技术23配置扩展访问控制列表访问安全技术任务进度配置交换机端口安全12.1网络安全概述安全威胁窃听、重传、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒网络攻击方法获取口令放置木马程序的欺骗技术电子邮件攻击通过一个节点来攻击其他节点网络监听寻找系统漏洞利用帐号进行攻击偷取特权手段多样的网络攻击：0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击网络攻击的防御技术身份认证技术加解密技术边界防护技术访问控制技术主机加固技术安全审计技术检测监控技术2.2管理设备控制台安全对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护保护设备控制台的安全措施通过一根配置线缆连接到交换机的配置端口（Console），另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码SwitchSwitch#configureterminalSwitch(config)#enablesecretmypassword！配置特权密文密码Switch(config)#login！配置登陆时需要验证密码配置线缆仿真终端RJ45口F0/1Console口Com1口配置线测试机配置交换机的连接模式配置线缆配置交换机远程登录的安全措施除通过Console端口与设备直接相连管理设备之外，用户还可以通过Telnet程序和交换机RJ45口建立远程连接，以方便管理员对网络设备进行远程管理。配置交换机远程登录密码过程如下（路由器远程登录密码的配置与之相同）。SwitchSwitch#configureterminalSwitch(config)#linevty04！开启Telnet线路Switch(config-line)#passwordmypassword！配置Telnet登录密码Switch(config-line)#login！配置登陆时需要验证密码2.3交换机端口安全端口安全概述大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为，可以通过启用交换机端口安全功能特性加以防范。FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节：IEEE分配给网络设备制造厂商的后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC地址：链路层唯一标识接入交换机MACPortA1B2C3MAC地址表：空间有限MAC攻击攻击：MAC地址表空间是有限，MAC攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包,向所有端口转发，每个连在端口上客户端都可以收到该报文;交换机变成了一个Hub，用户的信息传输也没有安全保障了MAC攻击端口安全配置方式配置安全地址：当开启交换机端口安全功能并为交换机端口配置安全MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。配置安全地址数：交换机安全端口不仅可以配置安全MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全MAC地址。配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全MAC地址。将IP地址绑定到MAC地址：可以在交换机上将IP地址绑定到MAC地址，以实现在特定端口上允许特定的IP终端接入。端口安全的配置和维护配置安全端口的过程包括启用端口安全，设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC地址与IP地址绑定等。对于Cisco交换机，需要注意的是：Cisco系列交换机可以做基于2层的端口安全，即MAC地址与端口进行绑定。Cisco3550以上交换机均可做基于2层和3层的端口安全，即MAC地址与端口绑定以及MAC地址与IP地址绑定。交换机端口安全功能交换机的端口安全功能，防止网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。2、限制端口最大连接数，控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。配置端口安全MAC地址下面以以Cisco交换机为例，来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用：（1）设定一端口只接受第一次连接该端口的计算机MAC地址，当该端口第一次获得某计算机MAC地址后，其他计算机接入到此端口所发送的数据帧则认为非法，做丢弃处理。Switch#configterminalSwitch(config)#interfaceinterface-id！进入端口Switch(config-if)#switchportmodeaccess！配置端口为交换模式Switch(config-if)#switchportport-security！打开端口安全模式Switch(config-if)#switchportport-securityviolationprotect！设置违例处理配置端口安全MAC地址（2）设定一端口只接受某一特定计算机MAC地址，其他计算机均无法接入到此端口。Switch#configterminalSwitch(config)#interfaceinterface-idSwitch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolationprotect//以上步骤与第一种应用相同Switch(config-if)#switchportport-securitymac-addressmac-address//将端口绑定到特定的MAC地址设置安全端口最大连接数可以通过MAC地址来限制端口流量。以下配置允许一接口最多通过100个MAC地址，超过100时，来自新主机的数据帧将丢失。具体配置如下：Switch#configterminalSwitch(config)#interfacefastEthernet0/1Switch(config)#SwitchportmodeaccessSwitch(config-if)#switchportport-securitymaximum100//允许通过的最大MAC地址数目为100Switch(config-if)#switchportport-securityviolationprotect//当主机MAC地址数超过100时，交换机继续工作，但来自新主机的数据帧将丢失配置安全违例当交换机端口配制成安全端口后，以下情况发生时就产生了一个安全违例事件：端口安全地址数已达最大安全数目，这时，如果有一个安全MAC地址表外的MAC地址试图访问这个端口。如果一个站点试图访问这个端口，而这个站点的源MAC地址已被配置为其他的端口的安全地址。配置安全违例当安全违例产生时，可以选择多种方式来处理违例：protect：当MAC地址的数量达到了这个端口所最大允许的数目，带有未知的源地址的数据帧就会被丢弃，直到删除了足够数量的MAC地址为止。restrict：当安全违例发生时，产生一个Trap消息并将“安全违规”计数器增加1。shutdown：一旦违例发生，马上关闭该端口，并且发送Trap消息。安全端口由于违例被关闭后处在error-disable状态。如要恢复该端口，必须敲入全局命令errdisablerecoverycausepsecure-violation，或者手动的shutdown然后再noshutdown恢复该端口。这个是Cisco交换机端口安全违例的默认处理方式。配置安全端口与IP地址绑定MAC地址与IP地址绑定基本原理是：在交换机内建立MAC地址和IP地址映射的ARP表。端口获得的IP和MAC地址将匹配该表，不符合则丢弃该端口发送的数据帧。具体实现方法如下：Switch#configureterminalSwitch(config)#arpip地址mac地址arpa如下命令建立ip地址1.1.1.1和mac地址0001.0001.1111绑定：Switch(config)#arp1.1.1.10001.0001.1111arpa注意：需要将网段内所有IP都建立MAC地址映射，没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。配置端口安全老化当为端口指定最大安全MAC地址数时，交换机可以不断学习到新MAC地址，并将它添加到该端口的安全MAC地址表中。这时，安全MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用，可以采用设置端口安全老化时间和模式的方式，使系统能够自动删除长时间不活动的MAC地址，从而减少网络维护的工作量。配置端口安全老化的过程如下：Switch(config)#interfaceinterface_id！指定欲配置端口安全老化的接口Switch(config-if)#switchportport-securityagingtimeaging_time//为安全端口配置老化时间Switch(config-if)#switchportport-securityagingtype{absolute|inactivity}//为安全端口设置老化类型查看端口安全设置在完成端口安全相关设置后，可用下列命令查看端口安全配置：Switch#showport-security！查看哪些接口启用了端口安全Switch#showport-securityaddress