14.模块四 终端接入安全设计.pptx

;;;;;网络设备安全管理：交换机或路由器等网络设备的访问方式包括物理访问和逻辑访问两种方式，可以通过控制台（Console）端口或辅助（Auxiliary）端口来物理访问CLI，也可以通过Telnet或SSH连接来逻辑访问CLI。;配置健壮的系统密码;4.2.2内部网络安全机制

实现内部网络安全的常见技术措施有端口安全、DHCPSnooping、动态ARP检测、802.1X接入认证、缓解VLAN跳跃攻击、STP防护、PVLAN、端口保护及抑制广播风暴等，限于篇幅，本节只详细讨论端口安全、DHCPSnooping和802.1X接入认证等三项安全技术措施的部署与实现。;端口安全防护技术

端口安全特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址，并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。;DHCPSnooping

DHCP的主要作用是为主机动态分配IP地址信息，它的缺点是不具备验证机制。如果非法的DHCP服务器连接到网络，将向合法的客户端提供错误IP配置参数，从而将客户机的流量引向攻击者所期望的目的地。;使用802.1X实现安全访问控制

在前面的学习中，使用安全端口、地址绑定及限制最大连接数等措施实现了网络接入安全控制。但这些方法使用起来不够灵活，不能针对客户网络实施接入管理。在简单、廉价的以太网技术基础上，提供用户对网络或设备访问的合法性验证，已经成为业界关注的焦点，802.1X正是在这样的背景下提出来的。;;流量分析工具NetFlow

NetFlow不像完整的数据包捕获一样捕获数据包的全部内容，而是记录有关数据包流的信息。例如，在Wireshark中可以查看完整的数据包捕获，而NetFlow收集元数据或有关流的数据，而不是数据流本身，将高速缓存中的流量进行归纳总结，以更为直观的图形化方式在管理终端上显示出来，如图所示。;;