企业内网安全控制课程.pptx

学习情境2企业内网安全控制 电子交易电子商务 电子政务Intranet 站点Web 浏览Internet EmailInternet飞速增长复杂程度时间网络安全的演化秒影响目标安全事件对我们的威胁越来越快波及全球网络基础架构地区网络多个网络单个网络单台计算机分钟下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫天第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击周第二代宏病毒DOS电子邮件有限的黑客攻击第一代引导性病毒1980s1990s今天未来Internet课程项目进度VLANVLANVLANVLANVLANVLANVLAN情景二：构建企业交换式局域网情景三：企业内部路由配置情景四：企业内网安全控制北京总部情景五：企业广域网接入配置情景一：网络设备选型上海分公司广州分公司课程综合项目：Center公司网络改造项目本章目标了解网络安全的基础知识掌握网络互联设备的安全控制保护措施掌握交换机端口的安全知识学习访问控制列表技术区别不同的访问控制列表技术1配置交换机端口安全2配置标准访问控制列表访问安全技术任务分解配置扩展访问控制列表访问安全技术31配置交换机端口安全任务进度2.1 网络安全概述手段多样的网络攻击：网络攻击的防御技术身份认证技术 加解密技术边界防护技术 访问控制技术主机加固技术安全审计技术 检测监控技术 2.2 管理设备控制台安全对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护 保护设备控制台的安全措施 通过一根配置线缆连接到交换机的配置端口（Console），另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码 SwitchSwitch#configure terminalSwitch(config)#enable secret mypassword ！配置特权密文密码Switch(config)#login！配置登陆时需要验证密码F0/1Console口配置线RJ45口Com1口仿真终端测试机配置线缆 配置交换机的连接模式 配置线缆 配置交换机远程登录的安全措施 除通过Console端口与设备直接相连管理设备之外，用户还可以通过Telnet程序和交换机RJ45口建立远程连接，以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下（路由器远程登录密码的配置与之相同）。SwitchSwitch#configure terminalSwitch(config)#line vty 0 4！开启Telnet线路Switch(config-line)#password mypassword ！配置Telnet登录密码Switch(config-line)#login！配置登陆时需要验证密码2.3交换机端口安全端口安全概述 大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为，可以通过启用交换机端口安全功能特性加以防范。MAC攻击MAC地址：链路层唯一标识 00.d0.f8. 00.07.3cFF.FF.FF.FF.FF.FF广播MAC地址后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备前3个字节：IEEE分配给网络设备制造厂商的MAC地址表：空间有限MAC Port A 1 B 2 C 3接入交换机MAC攻击攻击： MAC地址表空间是有限，MAC攻击会占满交换机地址表; 使得单播包在交换机内部也变成广播包, 向所有端口转发，每个连在端口上客户端都可以收到该报文; 交换机变成了一个Hub，用户的信息传输也没有安全保障了端口安全配置方式配置安全地址：当开启交换机端口安全功能并为交换机端口配置安全MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。配置安全地址数：交换机安全端口不仅可以配置安全MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全MAC地址。配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全