6端口安全及访问控制列表.ppt
《6端口安全及访问控制列表.ppt》由会员分享,可在线阅读,更多相关《6端口安全及访问控制列表.ppt(47页珍藏版)》请在文库网上搜索。
1、 第第第第6 6讲讲讲讲 端口安全及访问控制列表端口安全及访问控制列表端口安全及访问控制列表端口安全及访问控制列表主主 讲讲:黄成兵黄成兵阿坝师专计科系阿坝师专计科系工作细分 冗余链路技术保证网络稳定冗余链路技术保证网络稳定 安全技术保障网络安全安全技术保障网络安全课程议题网络安全隐患网络安全隐患网络安全隐患网络安全隐患常见的网络攻击:网络攻击手段多种多样,以上是最常见的几种网络攻击手段多种多样,以上是最常见的几种攻击不可避免攻击工具体系化攻击工具体系化 网络攻击原理日趋复杂,但攻击却变得越来越简单易操作网络攻击原理日趋复杂,但攻击却变得越来越简单易操作额外的不安全因素 DMZ E-Mail
2、File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织现有网络安全体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%VPN VPN 虚拟专用网虚拟专用网防火墙包过滤防病毒入侵检测课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全交换机端口安全 利用交换机的端口安全功能实现利用交换机的端口安全功能实现防止局域网大部分的内部
3、攻击对用户、网络设备造成的破坏,防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如如MACMAC地址攻击、地址攻击、ARPARP攻击、攻击、IP/MACIP/MAC地址欺骗等。地址欺骗等。交换机端口安全的基本功能交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全地址绑定端口的安全地址绑定交换机端口安全 安全违例产生于以下情况:安全违例产生于以下情况:如果一个端口被配置为一个安全端口,当其安全地址的数目已经达如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包如果该端
4、口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例:当安全违例产生时,你可以选择多种方式来处理违例:ProtectProtect:当安全地址个数满后,安全端口将丢弃未知名地址(不是当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包该端口的安全地址中的任何一个)的包RestrictRestrict:当违例产生时,将发送一个:当违例产生时,将发送一个TrapTrap通知通知ShutdownShutdown:当违例产生时,将关闭端口并发送一个当违例产生时,将关闭端口并发送一个TrapTrap通知通知配置安全端口 端口安全最大连
5、接数配置端口安全最大连接数配置switchport port-securityswitchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchportswitchport port-security maximum value port-security maximum value!设置接口上安全地址的最大个数,范围是!设置接口上安全地址的最大个数,范围是1 1128128,缺省值为,缺省值为128128switchport port-security switchport port-security violationprotect|rest
6、rictviolationprotect|restrict|shutdown|shutdown!设置处理违例的方式!设置处理违例的方式 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、当当端端口口因因为为违违例例而而被被关关闭闭后后,在在全全局局配配置置模模式式下下使使用用命命令令errdisableerrdisable recovery recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。配置安全端口 端口的安全地址绑定端口的安全地址绑定switchport port-security swi
7、tchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchportswitchport port-security port-security macmac-address-address macmac-address-address ip-address ip-address ip-ip-addressaddress!手工配置接口上的安全地址!手工配置接口上的安全地址 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单
8、MACMAC、单、单IPIP、MAC+IPMAC+IP案例(一)下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端口安全功能,上的端口安全功能,设置最大地址个数为设置最大地址个数为8 8,设置违例方式为,设置违例方式为protectprotectSwitch#configure terminal Switch#configure terminal Switch(configSwitch(config)#interface)#interface gigabitethernetgigabitethernet 1/3 1/3 Swi
9、tch(configSwitch(config-if)#switchport mode access-if)#switchport mode access Switch(configSwitch(config-if)#-if)#switchportswitchport port-security port-security Switch(configSwitch(config-if)#switchport port-security maximum 8-if)#switchport port-security maximum 8 Switch(configSwitch(config-if)#-
10、if)#switchportswitchport port-security violation protect port-security violation protect Switch(configSwitch(config-if)#end-if)#end案例(二)下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口安全功能,上的端口安全功能,配置端口绑定地址,主机配置端口绑定地址,主机MACMAC为为00d0.f800.073c00d0.f800.073c,IPIP为为192.168.12.202192.168.12.202Swi
11、tch#configure terminalSwitch#configure terminalSwitch(configSwitch(config)#interface)#interface fastethernetfastethernet 0/3 0/3Switch(configSwitch(config-if)#switchport mode access-if)#switchport mode accessSwitch(configSwitch(config-if)#-if)#switchportswitchport port-security port-securitySwitch(c
12、onfigSwitch(config-if)#switchport port-security-if)#switchport port-security macmac-address-address 00d0.f800.073c ip-address 192.168.12.20200d0.f800.073c ip-address 192.168.12.202Switch(configSwitch(config-if)#end-if)#end查看配置信息 查看所有接口的安全统计信息,包括最大安全地址数,当前安全查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等地址数
13、以及违例处理方式等 Switch#showSwitch#show port-security port-security Secure Port Secure Port MaxSecureAddrMaxSecureAddr CurrentAddrCurrentAddr Security Action Security Action -Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看安全地址信息查看安全地址信息Switch#show port-security addressSwitch#show port-security address VlanVlan Mac
14、Address IP Address Type Port Remaining Mac Address IP Address Type Port Remaining Age(minsAge(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1课程议题端口安全实现端口安全实现端口安全实现端口安全实现网络接入安全网络接入安全网络接入安全网络接入安全实验拓扑F1/0F0/3F1/1BF0/23F0/23VLAN2S2126S3550F
15、TPserverF0/24F0/24企业内部网企业内部网外部网外部网VLAN3F0/2S6810E实验拓扑 工作目标工作目标在交换机上配置端口安全最大地址数,实现网络接入安全在交换机上配置端口安全最大地址数,实现网络接入安全F0/1案例拓扑结构服务器群服务器群ISP行政楼行政楼总装配楼总装配楼信息中心信息中心双链路千兆光纤单链路千兆光纤课程议题IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表什么是访问列表 IP Access-listIP Access-list:IPIP访问列表或访问控制列表,简称访问列表或访问控制列表,简称IP ACLIP ACLACLACL就是对经过网络设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 端口 安全 访问 控制 列表