收藏
下载资源 加入VIP免费专享

第9章锐捷园区网安全功能的规划和部署ppt课件.ppt

上传人:小飞机 文档编号:2105602 上传时间:2023-01-11 格式:PPT 页数:56 大小:1.81MB
返回 下载 相关 举报
第9章锐捷园区网安全功能的规划和部署ppt课件.ppt_第1页
第1页 / 共56页
第9章锐捷园区网安全功能的规划和部署ppt课件.ppt_第2页
第2页 / 共56页
第9章锐捷园区网安全功能的规划和部署ppt课件.ppt_第3页
第3页 / 共56页
第9章锐捷园区网安全功能的规划和部署ppt课件.ppt_第4页
第4页 / 共56页
第9章锐捷园区网安全功能的规划和部署ppt课件.ppt_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《第9章锐捷园区网安全功能的规划和部署ppt课件.ppt》由会员分享,可在线阅读,更多相关《第9章锐捷园区网安全功能的规划和部署ppt课件.ppt(56页珍藏版)》请在三一办公上搜索。

1、第1页,第9章 锐捷园区网安全功能的规划和部署,第2页,前 言,本PPT主要介绍了园区网中存在的各种网络安全漏洞,简要地讲解并分析了其原理,有针对性地对基本安全部署和按需安全部署进行了说明,还提供了安全防范的规划和措施。,第3页,课程目标,通过本课程的学习,您可以掌握如下知识点和相关配置:了解网络安全漏洞,以及目前常见的各种网络攻击简要了解各种网络攻击的原理,掌握有针对性的防范措施能够在交换机上进行配置以防范常见的网络攻击,第4页,提 纲,常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例,第5页,常见的网络安全漏洞,物理层线路的安全、物理设备的安全、机房的安全;链路层MAC地址欺骗/

2、泛洪、ARP欺骗、STP攻击、DHCP攻击;网络层IP地址扫描/欺骗/攻击;传输层面向连接和非连接的攻击,也就是端口扫描;应用层Web服务、电子邮件、FTP,病毒对系统的攻击;,第6页,提 纲,常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例,第7页,基本安全部署,在园区网的实施和部署中,根据各自的不同情况和实际需要,可以有多种的安全部署方案。锐捷网络推荐采用的基本安全部署有以下几种:扩展ACL过滤;STP的BPDU报文过滤和防卫;三层设备的IP防扫描;防ARP欺骗;,第8页,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗,第9页,扩展AC

3、L过滤,由于很多的病毒是根据操作系统和软件的漏洞,通过特定TCP/UDP端口进行感染和传播的,比如冲击波、震荡波、SQL蠕虫等就是通过特定的TCP/UDP端口进行传播的。所以,可以通过扩展ACL对常用的病毒端口进行过滤。,病毒,病毒,有漏洞,呵呵!感染他,成了!,再继续!看看还有没有倒霉蛋!,第10页,交换机扩展ACL配置,步骤:创建一条扩展ACL;对常见的病毒端口作deny处理;常见的病毒端口有:TCP:135-139/445/593/4444/5554/9995/9996UDP:135-139/445/593/1434/4444/5554/9995/9996在相关接口的in方向上,应用这条

4、ACL。注意事项:任意一条扩展ACL的最后都默认隐含了一条deny ip any any 的ACE表项。如果您不想让该隐含ACE起作用,则您必须手工设置一条permit ip any any的ACE表项以让不符合其它所有ACE匹配条件的报文通过;在有些应用中可能会用到上述的一些端口,比如TCP/UDP的137、138,此时就要将这些端口从扩展ACL中去掉;,第11页,路由器扩展ACL配置,步骤:直接创建包含对下列常见病毒端口deny的扩展ACL;常见的病毒端口有:TCP:135-139/445/593/4444/5554/9995/9996UDP:135-139/445/593/1434/44

5、44/5554/9995/9996在相关接口的in方向上,应用这条ACL;路由器与交换机的区别:交换机的扩展ACL可用字符串+数字表示,而路由器的扩展ACL只能用100-199的数字表示;交换机是在一个ACL配置模式下进行deny/permit的申明,而路由器是在全局配置模式下对每个端口对deny/permit的申明。,第12页,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗,第13页,生成树的作用和问题,生成树的作用避免链路环路产生的广播风暴;提供链路冗余备份;生成树的问题产生大量的BPDU报文;端口状态的变化可能导致网络拓扑结构的变化;恶意的攻击

6、;,第14页,STP的报文结构,第15页,STP的攻击,通过发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,以获取信息。,我的优先级最高,选我作根桥吧!,VLAN1根桥,VLAN2根桥,VLAN1根桥,VLAN2根桥,第16页,防止STP攻击,防范措施:在接入层交换机直连用户的端口上,启用BPDU Guard、BPDU Filter功能,禁止网络中直连用户的端口收到BPDU报文,从而防范用户发送非法BPDU报文;同时,为了减少端口等待Forwarding的时间,可以在接入层交换机的Access口上启用portfast功能;配置:Switch#configure terminal

7、 Switch(config)#spanning-treeSwitch(config)#interface range fastEthernet 0/1-24Switch(config-if-range)#spanning-tree bpdufilter enabled Switch(config-if-range)#spanning-tree bpduguard enabledSwitch(config-if-range)#spanning-tree portfast,第17页,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗,第18页,IP扫描,众

8、所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用了网络带宽,导致正常的网络通讯无法进行;互联网上扫描的工具软件多如牛毛;,第19页,IP扫描工具,第20页,IP扫描的分类,目的IP地址不断变化的扫描;目的IP地址不存在的扫描;,IP变化的扫描,消耗网络带宽,增加交换机负担,危害最大!,IP不存在的扫描,IP变化的扫描,尝试连接,消耗CPU资源危害较小。,第21页,IP防扫描,防范措施:在全局配置模式下,设置监控攻击主机的最大数目;在三层交换机的端口上,对扫描攻击的报文阀值进行设置;对非法攻击的主机进行隔离时间的设置;配置:Switch#configu

9、re terminal Switch(config)#system-guard detect-maxnum 250Switch(config)#interface fastEthernet 0/1Switch(config-if)#system-guard scan-ip-attack-packets 50Switch(config-if)#system-guard same-ip-attack-packets 100Switch(config-if)#system-guard isolate-time 300,第22页,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP

10、防扫描防ARP欺骗,第23页,ARP协议,按照RFC的规定,PC在发ARP响应时,不需要一定要先收到ARP请求报文,因此,局域网中任何一台PC都可以向网络内其它PC通告:自己就是PC A和MAC A的对应关系,这就给攻击者带来可乘之机!由于ARP协议的缺陷,导致攻击者很容易发送虚假的ARP请求报文和响应报文,来扰乱局域网中被攻击主机的ARP表,从而使得网络中的合法主机无法正常上网或通讯中断。,第24页,ARP欺骗,PC B,攻击者:发送ARP欺骗,192.168.10.1 MAC A,192.168.10.3MAC C,192.168.10.2MAC B,发送ARP响应,告诉:192.168.

11、10.1对应的MAC是MAC X,ARP表刷新,192.168.10.1对应的是MAC X,正常的网络访问数据包,WWW、QQ、FTP,网关,找不到正确的网关,所有访问外网的数据都无法得到回应,第25页,防ARP欺骗,防范措施:使用Anti-ARP-Spoofing命令在端口上检测网关的IP地址,从而 保证交换机下联端口的主机无法进行网关ARP欺骗;配置:Switch#configure terminal Switch(config)#interface range fastEthernet 0/1-24Switch(config-if-range)#Anti-ARP-Spoofing ip

12、192.168.10.1 目前只在RG-S21系列交换机上实现了防ARP欺骗,第26页,提 纲,常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例,第27页,按需安全部署,在某些网络环境中还会用到DHCP服务、组播等应用,这都给那些别有用心的人带来了新的机会,他们可以通过各种方式对网络进行攻击,以扰乱合法用户的正常上网和业务使用,还可能对网络设备进行攻击。下面分别介绍几种防范的方式:防DHCP攻击;端口安全;组播源端口检查;授权IP管理;,第28页,按需安全部署,防DHCP攻击端口安全组播源端口检查授权IP管理,第29页,恶意DHCP请求,DHCP Server,PC Client,攻

13、击者不断变化MAC地址,Denial of ServiceIP Pool被耗尽,DHCP Discover(广播包)X DHCP可以分配的IP数量,DHCP Offer(单播包)X DHCP可以分配的IP数量,DHCP Request(广播包)X DHCP可以分配的IP数量,DHCP ACK(单播包)X DHCP可以分配的IP数量,第30页,伪装DHCP Server,DHCP Server,PC Client,攻击者:伪装为DHCP Server,Client发出的DHCP请求报文,非法DHCP Server响应报文,Client访问某个PC的报文,第31页,防DHCP攻击,防范措施:启用D

14、HCP Relay,指定合法DHCP Server的IP地址;用扩展ACL对DHCP的请求报文和响应报文进行控制;配置:指定DHCP RelaySwitch#configure terminal Switch(config)#service dhcp Switch(config)#ip helper-address 192.168.0.250,第32页,防DHCP攻击,用扩展ACL对DHCP的请求报文和响应报文进行控制;Switch#configure terminal Switch(config)#ip access-list extended dhcp-clientSwitch(confi

15、g-ext-nacl)#deny udp any eq 67 any eq 68 Switch(config-ext-nacl)#permit ip any anySwitch(config-ext-nacl)#exitSwitch(config)#ip access-list extended dhcp-serverSwitch(config-ext-nacl)#permit udp host 192.168.0.250 eq 67 any eq 68Switch(config-ext-nacl)#deny udp any eq 67 any eq 68Switch(config-ext-n

16、acl)#permit ip any anySwitch(config-ext-nacl)#exitSwitch(config)#interface range fastEthernet 0/1-23Switch(config-if-range)#ip access-group dhcp-client inSwitch(config-if-range)#exitSwitch(config)#interface fastEthernet 0/24 Switch(config-if)#ip access-group dhcp-server in,第33页,按需安全部署,防DHCP攻击端口安全组播源

17、端口检查授权IP管理,第34页,MAC攻击,交换机,攻击者MAC A,PC BMAC B,PC CMAC C,MAC Port H 1 X 2 Y 3,交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MAC B,MAC C,流量 CB,HUB,第35页,端口安全,端口安全,是指通过限制允许访问交换机上某个端口的MAC地址以及IP地址(可选)来实现对该端口输入的严格控制;当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的报文外,这个端口将不转发其它任何报文;可以限制一个端口上能包含的安全地址最大个数;,第36页,端口安全,P

18、C BIP:192.168.0.100MAC:00d0.f804.047b,PC AIP:192.168.0.128MAC:00d0.f854.677b,在交换机上绑定IP:192.168.0.128MAC:00d0.f854.677b,交换机,第37页,端口安全的处理模式,违例后的3种处理模式:protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包,这也是缺省配置;restrict:当违例产生时,将发送一个Trap通知;shutdown:当违例产生时,将关闭端口并发送一个Trap通知。,第38页,端口安全的限制,一个安全端口不能是一个aggreg

19、ate port;一个安全端口不能是SPAN的目的端口;一个安全端口只能是一个access port;端口安全和802.1x认证端口是互不兼容的,不能同时启用;安全地址是有优先级的,从低到高的顺序是:单MAC地址;单IP地址/MAC地址+IP地址(谁后设置谁生效);单个端口上的最大安全地址个数为128个;在同一个端口上不能同时应用绑定IP的安全地址和安全ACL,这两种功能是互斥的;支持绑定IP地址的数量是有限制的;,第39页,端口安全的其它作用,其实,在端口上同时绑定IP和MAC地址,也可以防ARP欺骗;在端口上绑定MAC地址,并限定安全地址数 为1,就能防恶意DHCP请求。,第40页,端口安

20、全的配置,Switch#configure terminal Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 10Switch(config-if)#switchport port-security violation protect Switch(config-if)#switchport po

21、rt-security mac-address 00d0.f801.a2b3Switch(config-if)#switchport port-security ip-address 192.168.0.23Switch(config-if)#switchport port-security mac-address 00d0.f80b.1234 ip-address 192.168.0.10,第41页,按需安全部署,防DHCP攻击端口安全组播源端口检查授权IP管理,第42页,组播源端口检查,私设组播服务器的危害由于各种组播的应用会占用较大的网络带宽,对网络的正常通讯及信息安全等造成较大的危害;

22、因此,在大规模的网络中,除了指定的组播服务外,是严格禁止用户私自架设组播服务器的;,交换机,合法组播服务器IP地址:11.0.0.254,非法组播服务器IP地址:11.0.0.250,组播客户端IP地址:11.0.0.20,合法组播流,非法组播流,第43页,组播源端口检查,组播源端口检查的作用当组播源端口检查关闭时,从任何端口进入的视频流都被视为是合法的,交换机都会把它们转发到已注册的端口;当组播源端口检查打开时,只有从指定的路由连接口进入的视频流才被视为是合法的,交换机才会把它们转发到已注册的端口;而其它从非指定的路由连接口进入的视频流均被视为是非法的,将被交换机丢弃。,第44页,防范非法组

23、播源,Switch#configure terminal Switch(config)#ip igmp snooping ivglSwitch(config)#ip igmp snooping vlan 1 mrouter interface fastEthernet 0/24Switch(config)#ip igmp snooping source-check port,第45页,按需安全部署,防DHCP攻击端口安全组播源端口检查授权IP管理,第46页,授权IP管理,网络设备安全管理的漏洞目前实际的网络运行环境中,网络设备的管理可以说是最薄弱的一个环节!其实一旦攻击者成功登录到网络设备上后

24、,此前所作的任何安全防范措施都将化为乌有,因此必须高度重视网络设备的安全管理!授权IP管理通过检查来访者的IP地址来进行更为细致的访问控制。可以为telnet或Web的访问方式配置一个或多个合法的访问IP地址/子网,只有使用这些合法IP地址的用户才能使用telnet或Web方式访问交换机,使用其它IP地址的访问都将被交换机拒绝。,第47页,授权IP管理,交换机,交换机,PC A192.168.0.18,PC B192.168.0.250,交换机上授权IP管理的地址:192.168.0.18,第48页,授权IP管理的配置,Switch#configure terminal Switch(conf

25、ig)#services web host 192.168.0.18Switch(config)#services telnet host 192.168.0.18,第49页,提 纲,常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例,第50页,安全防范应用案例,案例拓扑图案例说明案例配置,第51页,案例拓扑图,主干光纤,备份光纤,双绞线,组播服务器,DHCP服务器,汇聚层,接入层,核心层,SJ1,SJ2,SH1,SH2,SH3,SH4,SC1,SC2,第52页,案例说明,拓扑说明:分布式的三层架构,网络中心采用2台RG-S6810E万兆核心路由交换机作核心交换机,在这2台S6810E

26、上启用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)实现路由备份,以提高整个网络的容错性;2个分中心各采用2台RG-S4909全模块化路由交换机作汇聚交换机,每台S4909通过2条千兆光纤分别与网络中心的2台S6810E连接;各个楼层采用RG-S21系列智能型网管交换机作接入交换机,也通过2条千兆光纤分别与各分中心的2台S4909连接;整个内网启用IEEE 802.1s协议(基于多VLAN的生成树协议:Multiple Spanning Tree Protocol,简称MSTP),以实现链路的冗余备份,确保网络的不间断工作;,第53页,案

27、例说明,全网安全规划:在所有交换机上配置授权IP管理;在所有用户接入端口启用BPDU Filter/Guard,防止用户电脑开关机和网线的插拔对拓扑结构的影响;在所有用户接入端口配置端口安全功能,绑定用户电脑的IP和MAC地址,确保接入用户的唯一性和安全性;在所有用户接入端口配置扩展ACL,以防止伪装DHCP Server的攻击;,第54页,案例安全规划,接入层:采用扩展ACL用于防范各种病毒端口在网络中传播,可以和防DHCP结合起来;启用组播源端口检查,防止私设视频服务器;在上联端口配置扩展ACL,以防止伪装DHCP Server的攻击;汇聚层:由于此处的汇聚设备只起到线路汇聚的作用,并没有启用其三层功能,故未作安全规划;核心层:端口启用IP防扫描,以减轻三层交换机的CPU负担;在下连汇聚设备的端口上启用风暴控制,以减少过量的数据风暴对网络带宽的占用;,第55页,案例配置,案例配置,第56页,参考资料,锐捷网络交换机的配置指南安全功能配置指南防ARP欺骗配置指南防攻击的系统保护配置指南基于端口的安全控制交换机安全功能实现和配置交换机管理配置igmp snooping配置STP、RSTP和MSTP配置安全ACLs锐捷网络路由器RGNOS命令参考和配置指导,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号