項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理_第1頁(yè)
項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理_第2頁(yè)
項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理_第3頁(yè)
項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理_第4頁(yè)
項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

《網(wǎng)絡(luò)設(shè)備配置與管理項(xiàng)目教程》高等職業(yè)技術(shù)教育計(jì)算機(jī)相關(guān)專(zhuān)業(yè)目錄項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機(jī)端口接入安全配置標(biāo)準(zhǔn)ACL配置擴(kuò)展ACL配置任務(wù)一任務(wù)二教學(xué)目標(biāo)、知識(shí)點(diǎn):1.了解交換機(jī)端口安全功能。2.掌握交換機(jī)端口安全的配置方法。3.了解標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表ACL、擴(kuò)展訪(fǎng)問(wèn)控制列表ACL。項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機(jī)端口接入安全配置5.1任務(wù)陳述5.1知識(shí)點(diǎn)5.1.1交換機(jī)安全端口概述5.1.2安全端口地址綁定5.2任務(wù)實(shí)施任務(wù)一交換機(jī)端口接入安全配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師,隨著公司規(guī)模的不斷擴(kuò)大,公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加,公司網(wǎng)絡(luò)的安全性與可靠性越來(lái)越重要,公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化,對(duì)接入終端要進(jìn)行相應(yīng)的端口安全管理與配置,同時(shí)也要滿(mǎn)足不同用戶(hù)的訪(fǎng)問(wèn)需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案,那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢?5.1知識(shí)點(diǎn)5.1.1交換機(jī)安全端口概述交換機(jī)的端口是連接網(wǎng)絡(luò)終端設(shè)備的重要關(guān)口,加強(qiáng)交換機(jī)的端口安全是提高整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵,默認(rèn)情況下,交換機(jī)的所有端口都是完全開(kāi)放的,不提供任何安全檢查措施,允許所有的數(shù)據(jù)流通過(guò),因此,交換機(jī)安全端口技術(shù)是網(wǎng)絡(luò)安全防范中常用的接入安全技術(shù)之一,為保護(hù)網(wǎng)絡(luò)內(nèi)的用戶(hù)安全,對(duì)交換機(jī)的端口增加安全訪(fǎng)問(wèn)功能,可以有效保護(hù)網(wǎng)絡(luò)安全,通常交換機(jī)的端口安全保護(hù)是工作在交換機(jī)二層端口上的安全特性。5.1.2安全端口地址綁定在網(wǎng)絡(luò)中的不安全因素非常多,大部分網(wǎng)絡(luò)攻擊都采用欺騙源IP地址或源MAC地址的方法,對(duì)網(wǎng)絡(luò)核心設(shè)備進(jìn)行連續(xù)數(shù)據(jù)包的攻擊,從而消耗網(wǎng)絡(luò)核心設(shè)備的資源,常見(jiàn)的的有MAC地址攻擊、RP攻擊、DHCP攻擊等,這些針對(duì)交換機(jī)端口產(chǎn)生的攻擊行為,可以啟用交換機(jī)端口的安全功能來(lái)進(jìn)行防范,為了避免這些攻擊,可以采取如下措施。1.交換機(jī)安全端口地址綁定端口安全功能通過(guò)報(bào)文的源MAC地址或者源MAC+源IP或者僅源IP來(lái)限定報(bào)文是否可以進(jìn)入交換機(jī)的端口,您可以靜態(tài)設(shè)置特定的MAC地址,靜態(tài)IP+MAC綁定或者僅IP綁定,或者動(dòng)態(tài)學(xué)習(xí)限定個(gè)數(shù)的MAC地址來(lái)控制報(bào)文是否可以進(jìn)入端口,使能端口安全功能的端口稱(chēng)為安全端口。只有源MAC地址為端口安全地址表中配置或者配置綁定的IP+MAC地址,或者配置的僅IP綁定地址,或者學(xué)習(xí)到的MAC地址的報(bào)文才可以進(jìn)入交換機(jī)通信,其他報(bào)文將被丟棄,如圖5.1所示。5.1.2安全端口地址綁定2.安全端口連接個(gè)數(shù)交換機(jī)的端口安全功能還表現(xiàn)在可以限制一個(gè)端口上連接安全地址的連接個(gè)數(shù),如果一個(gè)端口被配置為安全端口,并且配置有最大連接數(shù)量,則當(dāng)連接的安全地址的數(shù)目達(dá)到允許的最大個(gè)數(shù)時(shí),或者該端口收到一個(gè)源地址不屬于該端口的安全地址時(shí),交換機(jī)就將產(chǎn)生一個(gè)安全違例通知,交換機(jī)將會(huì)按照事先定義的違例處理方式進(jìn)行操作。安全端口設(shè)置最大連接數(shù)是為了防止過(guò)多的用戶(hù)接入網(wǎng)絡(luò),如果將交換機(jī)上某個(gè)端口只配置一個(gè)安全地址,則連接到這個(gè)端口的計(jì)算機(jī)將獨(dú)享該端口的全部帶寬。3.安全端口違例處理方式當(dāng)產(chǎn)生安全違例時(shí),可以選擇多種方式來(lái)處理違例,針對(duì)不同的網(wǎng)絡(luò)安全需要,采用不同的安全違例處理模式,相關(guān)的含義,如表5.1所示。5.1.2安全端口地址綁定5.2任務(wù)實(shí)施在網(wǎng)絡(luò)中MAC地址是設(shè)備中不變的物理地址,控制了MAC地址接入就控制了交換機(jī)的端口接入,所以,端口安全也就是MAC地址的安全。在交換機(jī)中,內(nèi)容可尋址內(nèi)存(ContentAddressableMemory,CAM)表又叫MAC地址表,其中記錄了與交換機(jī)相連的設(shè)備的MAC地址、端口號(hào)、所屬VLAN等對(duì)應(yīng)關(guān)系。配置交換機(jī)安全端口,交換機(jī)SW2連接主機(jī)PC1和主機(jī)PC2,交換機(jī)SW3連接主機(jī)PC3和主機(jī)PC4,其端口連接狀態(tài)如圖5.2所示。任務(wù)二訪(fǎng)問(wèn)控制列表ACL配置5.1任務(wù)陳述5.1知識(shí)點(diǎn)5.1.1訪(fǎng)問(wèn)控制列表ACL概述5.1.2標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表ACL5.1.3擴(kuò)展訪(fǎng)問(wèn)控制列表ACL5.2任務(wù)實(shí)施5.2.1配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表ACL5.2.2配置擴(kuò)展訪(fǎng)問(wèn)控制列表ACL任務(wù)二訪(fǎng)問(wèn)控制列表ACL配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師,隨著公司規(guī)模的不斷擴(kuò)大,公司網(wǎng)絡(luò)的安全性與可靠性越來(lái)越重要,公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化,針對(duì)不同部門(mén)的業(yè)務(wù)流量,制定相應(yīng)訪(fǎng)問(wèn)策略,同時(shí)也要滿(mǎn)足不同用戶(hù)的訪(fǎng)問(wèn)需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案,那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢?5.1知識(shí)點(diǎn)5.1.1訪(fǎng)問(wèn)控制列表ACL概述訪(fǎng)問(wèn)控制列表ACL(AccessControlList)是由一條或多條規(guī)則組成的集合,所謂規(guī)則,是指描述報(bào)文匹配條件的判斷語(yǔ)句,這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等,ACL本質(zhì)上是一種報(bào)文過(guò)濾器,規(guī)則是過(guò)濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配,可以過(guò)濾出特定的報(bào)文,并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來(lái)允許或阻止該報(bào)文通過(guò)。訪(fǎng)問(wèn)控制列表ACL是一種基于包過(guò)濾的訪(fǎng)問(wèn)控制技術(shù),它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾,允許其通過(guò)或丟棄。訪(fǎng)問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī),借助于訪(fǎng)問(wèn)控制列表,可以有效地控制用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn),用來(lái)告訴路由器哪些數(shù)據(jù)可以接收,哪些數(shù)據(jù)是需要被拒絕并丟棄,從而最大程度地保障網(wǎng)絡(luò)安全。ACL的定義是基于協(xié)議的,它適用于所有的路由協(xié)議,如IP、IPX等。它在路由器上讀取數(shù)據(jù)包頭中的信息,如源地址、目的地址、使用的協(xié)議、源端口、目的端口等,并根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾,從而達(dá)到對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)的精確、靈活控制。5.1.1訪(fǎng)問(wèn)控制列表ACL概述訪(fǎng)問(wèn)控制列表由一系列包過(guò)濾規(guī)則組成,每條規(guī)則明確地定義對(duì)指定類(lèi)型的數(shù)據(jù)進(jìn)行的操作(允許、拒絕等),訪(fǎng)問(wèn)控制列表可關(guān)聯(lián)作用于三層接口、VLAN,并且具有方向性。當(dāng)設(shè)備收到一個(gè)需要進(jìn)行訪(fǎng)問(wèn)控制列表處理的數(shù)據(jù)分組時(shí),會(huì)按照訪(fǎng)問(wèn)控制列表的列表項(xiàng)自頂向下進(jìn)行順序處理。一旦找到匹配項(xiàng),列表中的后續(xù)語(yǔ)句就不再處理,如果列表中沒(méi)有匹配項(xiàng),則此分組將會(huì)被丟棄。ACL可以應(yīng)用于諸多業(yè)務(wù)模塊,其中最基本的ACL應(yīng)用,就是在簡(jiǎn)化流策略/流策略中應(yīng)用ACL,使設(shè)備能夠基于全局、VLAN或接口下發(fā)ACL,實(shí)現(xiàn)對(duì)轉(zhuǎn)發(fā)報(bào)文的過(guò)濾。此外,ACL還可以應(yīng)用在Telnet、FTP、路由等模塊。1.匹配過(guò)程路由器接口的訪(fǎng)問(wèn)控制取決于應(yīng)用在其上的ACL。數(shù)據(jù)在進(jìn)(出)網(wǎng)絡(luò)前,路由器會(huì)根據(jù)ACL對(duì)其進(jìn)行匹配,匹配成功將對(duì)數(shù)據(jù)進(jìn)行過(guò)濾或轉(zhuǎn)發(fā),匹配失敗則丟棄數(shù)據(jù)。ACL實(shí)質(zhì)上是一系列帶有自上而下邏輯順序的判斷語(yǔ)句。當(dāng)數(shù)據(jù)到達(dá)路由器接口時(shí),ACL首先將數(shù)據(jù)與第1條語(yǔ)句進(jìn)行比較,如果條件符合將直接進(jìn)入控制策略,后面的語(yǔ)句將被忽略不再檢查;如果與第一條語(yǔ)句條件不符合,則將數(shù)據(jù)交給第2條語(yǔ)句進(jìn)行比較,符合條件將直接進(jìn)入控制策略,不符合條件則繼續(xù)交給下一條語(yǔ)句。以此類(lèi)推,如果數(shù)據(jù)到達(dá)最后一條語(yǔ)句仍然不匹配,即所有判斷語(yǔ)句條件都不符合,則拒絕并丟棄該數(shù)據(jù),如圖5.4所示。5.1.1訪(fǎng)問(wèn)控制列表ACL概述1.匹配過(guò)程5.1.1訪(fǎng)問(wèn)控制列表ACL概述5.2任務(wù)實(shí)施5.2.1配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表ACL(1)配置標(biāo)準(zhǔn)ACL,相關(guān)端口與IP地址配置如圖5.7所示,進(jìn)行網(wǎng)絡(luò)拓?fù)溥B接。配置網(wǎng)段中的主機(jī),只允許訪(fǎng)問(wèn)FTP服務(wù)器,不可以訪(fǎng)問(wèn)Web服務(wù)器;配置網(wǎng)段中的主機(jī),既可以訪(fǎng)問(wèn)FTP服務(wù)器,也可以訪(fǎng)問(wèn)Web服務(wù)器;全網(wǎng)使

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論