(9.12)-《路由器技術(shù)》第10章計(jì)算機(jī)網(wǎng)絡(luò)

第10章實(shí)施二層交換網(wǎng)絡(luò)安全技術(shù)【單元背景】第二層交換機(jī)技術(shù)應(yīng)用，給用戶帶來良好的網(wǎng)絡(luò)環(huán)境。但最初的網(wǎng)絡(luò)設(shè)計(jì)者在設(shè)計(jì)時，更多地考慮網(wǎng)絡(luò)的聯(lián)通，而很少考慮網(wǎng)絡(luò)的安全。隨著黑客技術(shù)的發(fā)展，二層交換網(wǎng)絡(luò)存在潛在漏洞，使網(wǎng)絡(luò)面臨被攻擊的風(fēng)險。如何在二層交換機(jī)上過濾用戶，保障數(shù)據(jù)安全有效轉(zhuǎn)發(fā)？如何在二層交換機(jī)上阻擋非法用戶，保障網(wǎng)絡(luò)安全應(yīng)用？如何在二層交換機(jī)上進(jìn)行安全網(wǎng)管，及時發(fā)現(xiàn)網(wǎng)絡(luò)非法用戶、非法行為及遠(yuǎn)程網(wǎng)管信息的安全性……【學(xué)習(xí)目標(biāo)】了解網(wǎng)絡(luò)病毒安全防范機(jī)制配置交換機(jī)端口安全配置交換機(jī)保護(hù)端口配置交換機(jī)端口鏡像10.1網(wǎng)絡(luò)安全背景人們越來越多地通過各種網(wǎng)絡(luò)處理工作、學(xué)習(xí)和生活，但由于Internet的開放性和匿名性特征，未授權(quán)用戶對網(wǎng)絡(luò)的入侵變得日益頻繁，存在著各種安全隱患。據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)攻擊手段層出不窮，在全球范圍內(nèi)每秒就發(fā)生一起網(wǎng)絡(luò)攻擊事件，如圖10-1所示。10.1網(wǎng)絡(luò)安全背景為保護(hù)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠及正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷等都稱是計(jì)算機(jī)網(wǎng)絡(luò)安全管理的內(nèi)容。常見網(wǎng)絡(luò)管理中存在的安全問題主要有：1.機(jī)房安全機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。2.病毒的侵入據(jù)美國國家計(jì)算機(jī)安全協(xié)會（NCSA）調(diào)查發(fā)現(xiàn)，幾乎100%美國大公司網(wǎng)絡(luò)都經(jīng)歷過計(jì)算機(jī)病毒危害，如圖10-2所示。10.1網(wǎng)絡(luò)安全背景為保護(hù)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠及正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷等都稱是計(jì)算機(jī)網(wǎng)絡(luò)安全管理的內(nèi)容。10.1網(wǎng)絡(luò)安全背景3.黑客攻擊Internet的開放性和匿名性也給Internet應(yīng)用造成了很多漏洞，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊，都給網(wǎng)絡(luò)造成很大隱患，如圖10-3顯示隨時間發(fā)展，黑客攻擊手段、技術(shù)和工具日新月異變化。10.2防病毒安全計(jì)算機(jī)病毒是一段具有惡意破壞的程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力，通過復(fù)制的方式達(dá)到很快地蔓延，難以根除。病毒程序常常附著在各種文件上，通過感染文件復(fù)制或網(wǎng)絡(luò)傳輸，文件從一個用戶傳送到另一個用戶計(jì)算機(jī)上，病毒隨同感染文件一起蔓延，稱為網(wǎng)絡(luò)病毒，如圖10-4所示在某文件中內(nèi)嵌“火焰病毒”代碼。10.2防病毒安全（1）破壞性強(qiáng)。網(wǎng)絡(luò)病毒破壞性極強(qiáng)。一旦網(wǎng)絡(luò)中的某臺服務(wù)器被病毒感染，就可能造成網(wǎng)絡(luò)服務(wù)器無法啟動，導(dǎo)致整個網(wǎng)絡(luò)癱瘓，造成不可估量的損失。

（2）傳播性強(qiáng)。網(wǎng)絡(luò)病毒普遍具有較強(qiáng)的傳播機(jī)制，通過網(wǎng)絡(luò)擴(kuò)散與傳染。一旦某個程序感染了病毒，那么病毒將很快在整個網(wǎng)絡(luò)上傳播，感染其他程序。根據(jù)有關(guān)資料介紹，在網(wǎng)絡(luò)上病毒傳播的速度是單機(jī)幾十倍。（3）具有潛伏性和可激發(fā)性。網(wǎng)絡(luò)病毒具有潛伏性和可激發(fā)性。在一定的環(huán)境下受到外界因素刺激，便能活躍激活。激活可以是內(nèi)部時鐘、系統(tǒng)日期和用戶名稱。（4）擴(kuò)散面廣。由于病毒通過網(wǎng)絡(luò)傳播，所以擴(kuò)散面大。一臺PC機(jī)病毒通過網(wǎng)絡(luò)可以感染與之相連的眾多機(jī)器，如圖10-5所示殺毒軟件檢測出隱藏在計(jì)算機(jī)中病毒。10.3保護(hù)交換機(jī)控制臺安全交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在企業(yè)網(wǎng)中占有重要地位。在黑客和病毒侵?jǐn)_下，交換機(jī)要能夠保持高效數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受攻擊干擾，這是交換機(jī)最基本安全保障。同時，作為整個網(wǎng)絡(luò)的核心，交換機(jī)應(yīng)該能對訪問和存取信息用戶，進(jìn)行區(qū)分和權(quán)限控制，如圖10-6顯示交換網(wǎng)絡(luò)中交換機(jī)重要性。

交換機(jī)的控制臺在默認(rèn)情況下是沒有口令，如果網(wǎng)絡(luò)中有非法者連接到交換機(jī)的控制口(Console)，就可以像管理員一樣任意竄改交換機(jī)的配置，帶來網(wǎng)絡(luò)的安全帶來隱患。從保護(hù)網(wǎng)絡(luò)安全的角度考慮，所有的交換機(jī)控制臺都應(yīng)當(dāng)根據(jù)用戶管理權(quán)限不同，配置不同特權(quán)訪問權(quán)限。配置網(wǎng)絡(luò)互聯(lián)設(shè)備控制臺安全

交換機(jī)的控制臺在默認(rèn)情況下是沒有口令，如果網(wǎng)絡(luò)中有非法者連接到交換機(jī)的控制口(Console)，就可以像管理員一樣任意竄改交換機(jī)的配置，帶來網(wǎng)絡(luò)的安全帶來隱患。從保護(hù)網(wǎng)絡(luò)安全的角度考慮，所有的交換機(jī)控制臺都應(yīng)當(dāng)根據(jù)用戶管理權(quán)限不同，配置不同特權(quán)訪問權(quán)限。

路由器通常安裝在內(nèi)網(wǎng)和外網(wǎng)的分界處，是網(wǎng)絡(luò)的重要連接關(guān)口。在和外部網(wǎng)絡(luò)的接入方面，由于路由器直接和其它互聯(lián)設(shè)備相連的重要網(wǎng)絡(luò)設(shè)備，控制著其它網(wǎng)絡(luò)設(shè)備的全部活動，因此具有著比交換機(jī)更為重要的安全地位。新安裝的路由器設(shè)備控制臺也沒有任何安全措施。默認(rèn)配置情況下也是沒有口令，在維護(hù)網(wǎng)絡(luò)整體安全的措施出發(fā)，應(yīng)當(dāng)立即為設(shè)備配置控制臺和特權(quán)級口令。如圖

所示，配置登入路由器控制臺特權(quán)密碼。配置路由器設(shè)備登錄安全

配置網(wǎng)絡(luò)互聯(lián)設(shè)備遠(yuǎn)程登錄安全第一次配置交換機(jī)或者路由器設(shè)備，必須通過Comsole口進(jìn)行配置。在對網(wǎng)絡(luò)設(shè)備進(jìn)行了初次配置后，希望以后在出差途中時或在遠(yuǎn)程辦公室中，也可以對企業(yè)網(wǎng)中的網(wǎng)絡(luò)互聯(lián)設(shè)備進(jìn)行遠(yuǎn)程管理，需要在交換機(jī)上進(jìn)行做適當(dāng)配置，用戶就可以使用Telnet方式，遠(yuǎn)程登錄設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)設(shè)備的遠(yuǎn)程管理和訪問。為了實(shí)現(xiàn)遠(yuǎn)程登錄，必須為交換機(jī)設(shè)置一個IP地址才行。在交換機(jī)中，這個IP地址接口是一個虛擬接口，稱為VLAN。而交換機(jī)在工作時，本身就連接著許多的網(wǎng)線，就給遠(yuǎn)程管理提供了條件。通過遠(yuǎn)程方式對網(wǎng)絡(luò)設(shè)備進(jìn)行配置，不僅僅需要知道網(wǎng)絡(luò)設(shè)備遠(yuǎn)程登錄IP地址，還需要通過配置密碼口令，從而實(shí)現(xiàn)對遠(yuǎn)程來訪的用戶進(jìn)行鑒別。

配置網(wǎng)絡(luò)互聯(lián)設(shè)備遠(yuǎn)程登錄安全

10.4保護(hù)交換機(jī)端口安全1.交換機(jī)端口安全交換機(jī)端口是連接終端設(shè)備重要關(guān)口，加強(qiáng)交換機(jī)端口安全是提高整個網(wǎng)絡(luò)安全的關(guān)鍵。默認(rèn)情況下交換機(jī)端口不提供任何安全措施。因此，對交換機(jī)端口增加安全功能，可有效保護(hù)網(wǎng)絡(luò)安全。大部分網(wǎng)絡(luò)攻擊都采用欺騙源IP或源MAC地址方法，對網(wǎng)絡(luò)核心設(shè)備進(jìn)行連續(xù)攻擊，耗盡網(wǎng)絡(luò)核心設(shè)備系統(tǒng)資源，如典型ARP攻擊、MAC攻擊、DHCP攻擊等。

10.4保護(hù)交換機(jī)端口安全這些針對交換機(jī)端口攻擊行為，可以啟用交換機(jī)端口安全功能。在交換機(jī)端口上配置限制訪問MAC地址或IP地址，可以控制該端口上數(shù)據(jù)輸入。如圖10-10顯示交換網(wǎng)絡(luò)中網(wǎng)關(guān)地址欺騙和攻擊的場景。交換機(jī)端口安全功能

利用交換機(jī)的端口安全功能，可以防止局域網(wǎng)內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。

交換機(jī)端口安全的基本功能1、限制交換機(jī)端口的最大連接數(shù)限制端口連接數(shù)，可以控制網(wǎng)絡(luò)的惡意擴(kuò)展和接入例：在學(xué)校宿舍網(wǎng)內(nèi)限制端口最大連接數(shù)為1，可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。2、端口的安全地址綁定端口地址綁定，可以解決局域網(wǎng)中IP地址沖突、ARP欺騙等問題，指定連接網(wǎng)絡(luò)的設(shè)備例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。交換機(jī)端口安全內(nèi)容

如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個數(shù)后;如果該端口收到一個源地址，不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時，可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址的包（不是該端口的安全地址中的任何一個）。RestrictTrap：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。配置安全端口（1）

配置端口安全最大連接數(shù)

switchportport-security！打開該接口的端口安全功能

switchportport-securitymaximumvalue

！設(shè)置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown} ！設(shè)置處理違例的方式注：1、端口安全功能只能在access端口上進(jìn)行配置。

2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。配置安全端口（2）

端口的安全地址綁定

switchportport-security！打開該接口的端口安全功能

switchportport-security[mac-addressmac-address][ip-addressip-address]

！手工配置接口上的安全地址注：1、端口安全功能只能在access端口上進(jìn)行配置。

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP端口安全配置示例（3）

配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個數(shù)為8，違例方式為protect。Switch#configureterminalSwitch(config)#interfacefa1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end端口安全配置示例（4）

配置接口fastethernet0/3端口安全功能，端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為192.168.12.202Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Switch(config-if)#end驗(yàn)證命令（5）

查看接口的安全統(tǒng)計(jì)信息，最大安全地址數(shù)，當(dāng)前安全地址數(shù)，違例處理方式等。Switch#showport-security

SecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction

---------------------------------------------------------------Gi1/381Protect驗(yàn)證命令（6）

查看安全地址信息。Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------

100d0.f800.073c192.168.12.202ConfiguredFa0/381交換機(jī)端口安全概述交換機(jī)的端口安全機(jī)制是工作在交換機(jī)二層端口上的一個安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設(shè)備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。10.5交換機(jī)端口保護(hù)在一個局域網(wǎng)內(nèi)，有些區(qū)域需要保護(hù)，有些區(qū)域需要隔離。要求實(shí)現(xiàn)交換機(jī)端口之間不能通信，通過端口保護(hù)(protected)技術(shù)來實(shí)現(xiàn)。交換機(jī)的端口設(shè)為端口保護(hù)后，保護(hù)口之間無法通信，保護(hù)口與非保護(hù)口之間可以通信。如圖10-13所示交換機(jī)上實(shí)施端口保護(hù)場景。10.5交換機(jī)端口保護(hù)如圖10-13所示交換機(jī)上實(shí)施端口保護(hù)場景。Switch(config)#interfacerangefa0/1-24！開啟交換機(jī)f0/1到f0/24口Switch(config-if-range)#Switchitchportprotected！開啟端口保護(hù)在交換機(jī)上開啟端口保護(hù)后，交換機(jī)保護(hù)端口之間無法通信，但保護(hù)端口與非保護(hù)端口之間可以互訪。10.6交換機(jī)鏡像安全交換機(jī)的鏡像（PortMirroring）安全技術(shù)將交換機(jī)某個端口數(shù)據(jù)流量，拷貝到另一端口(鏡像端口)，實(shí)施監(jiān)測。從而可以診斷交換機(jī)故障，稱之為“mirroring”或“Spanning”，缺省情況下，交換機(jī)上這種功能被屏蔽。通過配置交換機(jī)端口鏡像，允許管理人員設(shè)置監(jiān)視端口，監(jiān)視被監(jiān)視端口流量。然后，通過安裝網(wǎng)絡(luò)分析軟件，對捕獲到數(shù)據(jù)分析，可以實(shí)時查看被監(jiān)視端口情況。10.6交換機(jī)鏡像安全交換機(jī)鏡像端口既可以實(shí)現(xiàn)若干個源端口，向一個監(jiān)控端口鏡像數(shù)據(jù)。值得注意的是，源端口和鏡像端口最好位于同一臺交換機(jī)上：如把交換機(jī)5口上所有數(shù)據(jù)流，均鏡像至監(jiān)控端口10上；端口10作為監(jiān)控端口，能接收所有來自5口數(shù)據(jù)流。如圖10-15所示在交換機(jī)上實(shí)施鏡像流量，實(shí)現(xiàn)數(shù)據(jù)流復(fù)制通信功能。10.6交換機(jī)鏡像安全鏡像端口并不影響源端口上數(shù)據(jù)交換，只是將源端口發(fā)送或接收數(shù)據(jù)副本，發(fā)送到監(jiān)控端口。在交換機(jī)上配置交換機(jī)的端口鏡像如下：Mo