中小企业网络设备配置与管理情境课-情境五-园区网的安全.ppt

1、，配置和管理中小型企业网络设备，方案5:通过校园网络安全、学习目标和牙齿章节中的学习了解校园网络安全风险了解交换机通信端口安全原理和配置方法了解ACL的工作原理和配置方法，牙齿章节的内容，校园网络安全风险校园网络的一般安全风险校园网络安全解决方案的整体思路交换机端口安全交换机端口安全概述端口安全配置访问控制列表访问控制列表概述ACL的种类配置ACL，过程问题， 校园网络安全风险，一般网络攻击：网络攻击手段多种多样，异常是最常见的几种，攻击是不可避免的，攻击工具是系统化的。 网络攻击的原理越来越复杂，但是攻击变得越来越简单，操作更容易，其他不安全因素，dmz e-mail file transf

2、er http，Internet，企业网络，生产部门，工程，营销，营销内部/组织，非人或自然力造成的硬件故障、电源故障、软件故障、火灾、洪水、暴风雨、工业事故等。人为但操作员无意的失误导致的数据丢失或损坏。校园网络外部和内部人员的恶意攻击和破坏。校园网络安全解决方案的总体思路、交换机通信端口安全、访问控制列表ACL配置、严格的安全策略开发宣传培训(通过防火墙中的数据包筛选等技术实现可执行的校园网络安全解决方案)、课程议程、交换机通信端口安全、交换机通信端口安全、交换机的通信端口安全功能，以防止LAN的内部攻击对用户、网络设备的影响(例如MAC地址攻击、MAC地址攻击)交换机通信端口安全的基本功

3、能包括绑定交换机端口的最大连接端口的安全地址、交换机通信端口安全概述、交换机的通信端口安全机制是在交换机二层端口上运行的安全功能，它可以确保只有特定MAC地址的设备才能访问网络，从而防止用户非法或未授权的设备访问网络。限制端口访问的设备数，以防止用户将过多的设备连接到网络。通信端口安全配置具有以下限制：安全端口必须是Access端口，并且必须是连接终端设备的端口，而不是Trunk端口。一个安全端口不能是聚合通信端口。研究(Aggregate Port)。一个安全端口不能是SPAN的目标端口。交换机通信端口安全概述，如果配置完成通信端口安全后发生违规，您可以设置以下违规处理模式：protect:

4、安全地址数已满时，安全端口返回未知地址(不是该端口的安全地址之一)的数据包：如果发生违规，交换机将终止侦听，并牙齿发送SNMP Trap消息shutdown。发生违规时，交换机放弃收到的帧(MAC地址不在安全地址表中)，发送SNMP Trap消息，然后关闭端口。，通信端口安全配置，交换机(conifg-if) #交换机通信端口安全，交换机(conifg-if) #交换机通信端口通信端口-交换机(conifg-if) #交换机端口protect Switch # configure terminal Switch(config)# interface千兆以太网1/3交换机(config-if)

5、# Switch由于违规，端口进入“禁用”状态后，必须在全局模式下使用以下命令手动还原到UP，设置端口从“禁用”状态自动恢复的等待时间，交换机(conifg-if) #交换机端口示例(2)，以下示例配置了介面fastethernet0/3的通信端口安全功能，配置了通信端口绑定地址，主机MAC 00d0.f800.073c，IP是02交换机#配置终端交换机查看通信端口安全信息，switch # show port-security interface界面id，switch # show port-security address，switch #；查看安全地址信息，显示安

6、全地址和计龄时间，最大安全地址数，当前安全地址数，显示所有安全端口的统计信息(包括违规处理方法)，查看配置信息，查看所有接口的安全统计信息(包括最大安全地址数)，当前安全地址数， Switch # Show port-security secure port max secureaddr current addr security action-Show port-security secure port max secure addr control 执行安全数据过滤防止常见病毒、特洛伊木马、攻击用户损坏、ACL工作原理和过程、ACL条件：条件基本上是最后一个组规则操作。 当ACL语句条件与

7、比较的包内容匹配时，允许和拒绝两种茄子操作。访问列表定义的第一阶段、规则定义(可以通过哪些数据，不能通过哪些数据)、第二阶段、将规则应用于路由器(或交换机)的接口、应用访问列表规则、路由器应用程序节目访问列表控制通过接口的数据包。1 .通过堆栈应用节目(in)接口进入设备内部的数据包的安全规则过滤2。当堆栈应用程序节目(out)设备从接口传输数据时，您可以按安全规则过滤的方向应用访问控制列表集，访问列表中的堆栈应用程序节目，n，您要应用访问列表吗？N、N、Y、N、Y和访问列表中的声明。允许吗？y，是否应用访问列表？N，S0，S0，访问列表堆栈应用程序，IP ACL的基本准则，所有不允许的访问控

8、制列表规则定义，最终的基本规则是，所有包都基于规则链拒绝使用源地址、目标地址、源通信端口、目标通信端口、协议。自上而下匹配方法匹配成功后，立即允许停止规则中的“允许”您可以配置堆栈(In)和堆栈(Out)应用程序节目3。访问列表的默认规则为拒绝、ACL类型和两个茄子默认ACL。标准ACL和扩展ACL标准IP ACL只能过滤IP包的源IP地址。扩展IP ACL可以过滤源IP地址、目标IP地址，通配符掩码与IP地址位成对出现，该位表示如何以0/1处理IP地址中的相应位。如果其中一个通配符掩码为0，请检查相应的位值。通配符掩码1表示不检查(忽略)该位值。ACL使用通配符掩码控制一个或多个必须允许或禁

9、止检查的IP地址。全部为32位，但通配符掩码与子网掩码不同。子网掩码中的0/1确定相应的主机IP地址是网络位、子网位还是主机位。通配符掩码中的0/1确定是否检查或忽略ACL牙齿IP地址中的相应位。通配符掩码、通配符掩码示例、B类地址、8位子网地址。希望使用通配符掩码允许访问网络网络中的所有数据报。通配符掩码示例，假定B类地址具有8位子网地址。希望使用通配符掩码允许访问网络网络中的所有数据报。首先检查前两个字节(171.30)。通配符掩码的前两个字节都是0。通配符掩码的最后一个字节位全部为1，因为您对主机地址

10、解析不感兴趣。通配符掩码的第三个字节必须为15 (00001111)。相应的通配符掩码为55，与子网到的IP地址相匹配。标准ACL、标准ACL只能过滤IP包的源IP地址。标准ACL通常用于配置通过VTY线路的路由器访问限制(telnet、SSH)功能。通过HTTP或HTTPS限制对路由器的访问。过滤路由更新。，标准ACL，Router(config)# access-list permit | deny address wild card mask，router (config-if) # ipask 1 /24网络段禁止用户访问/24网络段配置：access-list 1 deny