《网络安全隐患》PPT课件

网络安全隐患,第8.1章,Page2/14,常见的网络攻击：,网络攻击手段多种多样，以上是最常见的几种,Page3/14,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂，但攻击却变得越来越简单易操作,Page4/14,额外的不安全因素,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,Page5/14,现有网络安全体制,Page6/14,VPN虚拟专用网,防火墙,包过滤,防病毒,入侵检测,Page7/14,课程议题,交换机端口安全,Page8/14,交换机端口安全,利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定,Page9/14,交换机端口安全,安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知,Page10/14,配置安全端口,端口安全最大连接数配置switchportport-security！打开该接口的端口安全功能switchportport-securitymaximumvalue！设置接口上安全地址的最大个数，范围是1128，缺省值为128switchportport-securityviolationprotect|restrict|shutdown！设置处理违例的方式注意：1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。,Page11/14,配置安全端口,端口的安全地址绑定switchportport-security！打开该接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address！手工配置接口上的安全地址注意：1、端口安全功能只能在access端口上进行配置2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,Page12/14,案例（一）,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end,Page13/14,案例（二）,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end,Page14/14,查看配置信息,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction-Gi1/381Protect查看安全地址信息Switch#showport-security