您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 第9章--锐捷园区网安全功能的规划和部署
第1页第9章锐捷园区网安全功能的规划和部署第2页前言本PPT主要介绍了园区网中存在的各种网络安全漏洞,简要地讲解并分析了其原理,有针对性地对基本安全部署和按需安全部署进行了说明,还提供了安全防范的规划和措施。第3页课程目标通过本课程的学习,您可以掌握如下知识点和相关配置:了解网络安全漏洞,以及目前常见的各种网络攻击简要了解各种网络攻击的原理,掌握有针对性的防范措施能够在交换机上进行配置以防范常见的网络攻击第4页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第5页常见的网络安全漏洞物理层线路的安全、物理设备的安全、机房的安全;链路层MAC地址欺骗/泛洪、ARP欺骗、STP攻击、DHCP攻击;网络层IP地址扫描/欺骗/攻击;传输层面向连接和非连接的攻击,也就是端口扫描;应用层Web服务、电子邮件、FTP,病毒对系统的攻击;第6页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第7页基本安全部署在园区网的实施和部署中,根据各自的不同情况和实际需要,可以有多种的安全部署方案。锐捷网络推荐采用的基本安全部署有以下几种:扩展ACL过滤;STP的BPDU报文过滤和防卫;三层设备的IP防扫描;防ARP欺骗;第8页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第9页扩展ACL过滤由于很多的病毒是根据操作系统和软件的漏洞,通过特定TCP/UDP端口进行感染和传播的,比如冲击波、震荡波、SQL蠕虫等就是通过特定的TCP/UDP端口进行传播的。所以,可以通过扩展ACL对常用的病毒端口进行过滤。……病毒病毒有漏洞,呵呵!感染他,成了!×再继续!看看还有没有倒霉蛋!第10页交换机扩展ACL配置步骤:创建一条扩展ACL;对常见的病毒端口作deny处理;常见的病毒端口有:TCP:135-139/445/593/4444/5554/9995/9996UDP:135-139/445/593/1434/4444/5554/9995/9996在相关接口的in方向上,应用这条ACL。注意事项:任意一条扩展ACL的最后都默认隐含了一条denyipanyany的ACE表项。如果您不想让该隐含ACE起作用,则您必须手工设置一条permitipanyany的ACE表项以让不符合其它所有ACE匹配条件的报文通过;在有些应用中可能会用到上述的一些端口,比如TCP/UDP的137、138,此时就要将这些端口从扩展ACL中去掉;第11页路由器扩展ACL配置步骤:直接创建包含对下列常见病毒端口deny的扩展ACL;常见的病毒端口有:TCP:135-139/445/593/4444/5554/9995/9996UDP:135-139/445/593/1434/4444/5554/9995/9996在相关接口的in方向上,应用这条ACL;路由器与交换机的区别:交换机的扩展ACL可用字符串+数字表示,而路由器的扩展ACL只能用100-199的数字表示;交换机是在一个ACL配置模式下进行deny/permit的申明,而路由器是在全局配置模式下对每个端口对deny/permit的申明。第12页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第13页生成树的作用和问题生成树的作用避免链路环路产生的广播风暴;提供链路冗余备份;生成树的问题产生大量的BPDU报文;端口状态的变化可能导致网络拓扑结构的变化;恶意的攻击;第14页STP的报文结构第15页STP的攻击通过发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,以获取信息。我的优先级最高,选我作根桥吧!VLAN1根桥VLAN2根桥VLAN1根桥VLAN2根桥第16页防止STP攻击防范措施:在接入层交换机直连用户的端口上,启用BPDUGuard、BPDUFilter功能,禁止网络中直连用户的端口收到BPDU报文,从而防范用户发送非法BPDU报文;同时,为了减少端口等待Forwarding的时间,可以在接入层交换机的Access口上启用portfast功能;配置:Switch#configureterminalSwitch(config)#spanning-treeSwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#spanning-treebpdufilterenabledSwitch(config-if-range)#spanning-treebpduguardenabledSwitch(config-if-range)#spanning-treeportfast第17页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第18页IP扫描众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用了网络带宽,导致正常的网络通讯无法进行;互联网上扫描的工具软件多如牛毛;第19页IP扫描工具第20页IP扫描的分类目的IP地址不断变化的扫描;目的IP地址不存在的扫描;IP变化的扫描,消耗网络带宽,增加交换机负担,危害最大!IP不存在的扫描IP变化的扫描尝试连接,消耗CPU资源危害较小。第21页IP防扫描防范措施:在全局配置模式下,设置监控攻击主机的最大数目;在三层交换机的端口上,对扫描攻击的报文阀值进行设置;对非法攻击的主机进行隔离时间的设置;配置:Switch#configureterminalSwitch(config)#system-guarddetect-maxnum250Switch(config)#interfacefastEthernet0/1Switch(config-if)#system-guardscan-ip-attack-packets50Switch(config-if)#system-guardsame-ip-attack-packets100Switch(config-if)#system-guardisolate-time300第22页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第23页ARP协议按照RFC的规定,PC在发ARP响应时,不需要一定要先收到ARP请求报文,因此,局域网中任何一台PC都可以向网络内其它PC通告:自己就是PCA和MACA的对应关系,这就给攻击者带来可乘之机!由于ARP协议的缺陷,导致攻击者很容易发送虚假的ARP请求报文和响应报文,来扰乱局域网中被攻击主机的ARP表,从而使得网络中的合法主机无法正常上网或通讯中断。第24页ARP欺骗PCB攻击者:发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应,告诉:192.168.10.1对应的MAC是MACXARP表刷新,192.168.10.1对应的是MACX正常的网络访问数据包,、QQ、FTP网关找不到正确的网关,所有访问外网的数据都无法得到回应第25页防ARP欺骗防范措施:使用Anti-ARP-Spoofing命令在端口上检测网关的IP地址,从而保证交换机下联端口的主机无法进行网关ARP欺骗;配置:Switch#configureterminalSwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#Anti-ARP-Spoofingip192.168.10.1目前只在RG-S21系列交换机上实现了防ARP欺骗第26页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第27页按需安全部署在某些网络环境中还会用到DHCP服务、组播等应用,这都给那些别有用心的人带来了新的机会,他们可以通过各种方式对网络进行攻击,以扰乱合法用户的正常上网和业务使用,还可能对网络设备进行攻击。下面分别介绍几种防范的方式:防DHCP攻击;端口安全;组播源端口检查;授权IP管理;第28页按需安全部署防DHCP攻击端口安全组播源端口检查授权IP管理第29页恶意DHCP请求DHCPServerPCClient攻击者不断变化MAC地址DenialofServiceIPPool被耗尽DHCPDiscover(广播包)XDHCP可以分配的IP数量DHCPOffer(单播包)XDHCP可以分配的IP数量DHCPRequest(广播包)XDHCP可以分配的IP数量DHCPACK(单播包)XDHCP可以分配的IP数量第30页伪装DHCPServerDHCPServerPCClient攻击者:伪装为DHCPServerClient发出的DHCP请求报文非法DHCPServer响应报文Client访问某个PC的报文第31页防DHCP攻击防范措施:启用DHCPRelay,指定合法DHCPServer的IP地址;用扩展ACL对DHCP的请求报文和响应报文进行控制;配置:指定DHCPRelaySwitch#configureterminalSwitch(config)#servicedhcpSwitch(config)#iphelper-address192.168.0.250第32页防DHCP攻击用扩展ACL对DHCP的请求报文和响应报文进行控制;Switch#configureterminalSwitch(config)#ipaccess-listextendeddhcp-clientSwitch(config-ext-nacl)#denyudpanyeq67anyeq68Switch(config-ext-nacl)#permitipanyanySwitch(config-ext-nacl)#exitSwitch(config)#ipaccess-listextendeddhcp-serverSwitch(config-ext-nacl)#permitudphost192.168.0.250eq67anyeq68Switch(config-ext-nacl)#denyudpanyeq67anyeq68Switch(config-ext-nacl)#permitipanyanySwitch(config-ext-nacl)#exitSwitch(config)#interfacerangefastEthernet0/1-23Switch(config-if-range)#ipaccess-groupdhcp-clientinSwitch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/24Switch(config-if)#ipaccess-groupdhcp-serverin第33页按需安全部署防DHCP攻击端口安全组播源端口检查授权IP管理第34页MAC攻击交换机攻击者MACAPCBMACBPCCMACCMACPortH1X2Y3交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MACB,MACC单播流量在交换机内部以广播包方式在所有端口转发,非法者也能接受到这些报文MAC攻击:每秒发送成千上万个随机源MAC的报文HUB第35页端口安全端口安全,是指通过限制允许访问交换机上某个端口的MAC地址以及IP地址(可选)来实现对该端口输入的严格控制;当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的报文外,这个端口将不转发其它任何报文;可以限制一个端口上能包含的安
本文标题:第9章--锐捷园区网安全功能的规划和部署
链接地址:https://www.777doc.com/doc-4787170 .html