收藏
下载资源 加入VIP免费专享

交换机基础安全功能原理与应用.ppt

上传人:牧羊曲112 文档编号:5914235 上传时间:2023-09-03 格式:PPT 页数:45 大小:747KB
返回 下载 相关 举报
交换机基础安全功能原理与应用.ppt_第1页
第1页 / 共45页
交换机基础安全功能原理与应用.ppt_第2页
第2页 / 共45页
交换机基础安全功能原理与应用.ppt_第3页
第3页 / 共45页
交换机基础安全功能原理与应用.ppt_第4页
第4页 / 共45页
交换机基础安全功能原理与应用.ppt_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《交换机基础安全功能原理与应用.ppt》由会员分享,可在线阅读,更多相关《交换机基础安全功能原理与应用.ppt(45页珍藏版)》请在三一办公上搜索。

1、技术培训中心2010-03,交换机基础安全功能应用,修订记录,2,学习目标,理解交换机常用安全功能的应用场合掌握交换机常用安全功能的配置与注意事项,3,课程内容,第一章:设备管理安全第二章:接入安全第三章:防攻击,4,设备管理安全,概述设备易管理性与安全性成反比,必须有效的平衡管理与安全的关系措施使用中/强密码源地址限制使用安全管理协议,5,使用中强密码,概述密码位数尽量保证在6位以上不要使用纯数字不要使用ruijie、admin、star、123456类似的密码密码强度举例弱密码:aabbcc、567890中等强度密码:ruijie345高等强度密码:Ruijie#876,6,源地址限制,概

2、述只有合法的源地址才能管理设备限制远程管理源地址Ruijie(config)#access-list 99 permit host Ruijie(config)#line vty 0 4Ruijie(config-line)#access-class 99 in限制SNMP管理源地址Ruijie(config)#accessRuijie(config)#snmp-server community ruijie rw 99,7,使用安全管理协议,使用加密管理协议禁用Telnet协议,使用SSH管理设备使用SNMPv3禁用Telnet协议方法一:Ruijie(config)#no enable s

3、ervice telnet-server方法二:Ruijie(config-line)#transport input ssh使用SNMPv3Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99,8,课程内容,第一章:设备管理安全第二章:接入安全第三章:防攻击,9,接入安全,概述制定一组安全规则,让网络中的主机以合法的身份接入网络,并得到有效的防护措施ACL保护端口全局地址绑定端口安全802.1x,10,保护端口,概述禁止交换机端口之间的通讯(二层)保护端口角色保护口非保护口保护端口规则保护口

4、之间禁止通讯保护口允许与非保护口通讯,11,protected,protected,保护端口(续),保护端口配置Ruijie(config)#int range fa 0/1-24Ruijie(config-if-range)#switchport protected级联情况下的配置保护端口可以跨交换机使用位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口,12,protected,protected,SW1,SW2,全局地址绑定,概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络应用场景,13,绑定:,1.1.1.1,全局地址绑定配置,配置全局绑定

5、地址Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001 配置全局绑定地址上联口Ruijie(config)#address-bind uplink gi 0/25开启全局绑定地址功能Ruijie(config)#address-bind install查看全局绑定地址Ruijie#show address-bind,14,端口安全,概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN,15,1.1.1.1,VLAN 100,VLAN 10,F0/1,F0/2,F0/3,F0/

6、4,端口安全配置,打开端口安全功能Ruijie(config-FastEthernet 0/1)#switchport port-security配置最大MAC地址数Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3配置MAC地址绑定Ruijie(config-FastEthernet 0/1)#sw po mac-address Ruijie(config-FastEthernet 0/1)#sw po mac vlan 10配置IP地址绑定Ruijie(config-FastEthernet 0/1)#sw

7、po binding 配置IP+MAC绑定Ruijie(config-FastEthernet 0/1)#sw po bi vlan 配置违例处理方式Ruijie(config-FastEthernet 0/1)#sw po violationprotect|restrict|shutdown,16,端口安全缺省配置,17,端口安全规则处理规则,18,端口安全应用场景(例),交换机一个端口最大只能接入1台主机Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1交换机一个端口最大只能接入4台主机,但其中有一台主机是合

8、法保障的Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 4Ruijie(config-FastEthernet 0/1)#sw po mac-address 交换机一个端口只能是合法的IP接入Ruijie(config-FastEthernet 0/1)#sw po binding 交换机一个端口只能是合法的IP且合法的MAC接入Ruijie(config-FastEthernet 0/1)#sw po bi vlan,19,附:理解FFP,概述Fast Filter Processor,快速过滤器交换机种一种高

9、效的硬件过滤引擎,其基本功能就是根据报文的特征筛选出符合一定规则的数据流,并对数据流实施策略,不依赖CPU安全功能的核心FFP资源是有限的依赖FFP的功能ACL端口安全全局地址绑定Dot1x,20,附:FFP功能逻辑示意,21,Permit/Deny,1:安全功能配置2:安全功能下发FFP3:数据报文进入交换机4:匹配FFP内的策略5:决策,FFP,课程内容,第一章:设备管理安全第二章:接入安全第三章:防攻击,22,防攻击,概述制定一组安全策略防止攻击行为的发生措施DHCP SnoopingIP Source GuardARP-checkDAI,23,DHCP Snooping,概述DHCP嗅

10、探功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口:拒绝DHCP回应报文信任口:允许DHCP回应报文默认角色:非信任口,24,24,DHCP discovery,DHCP offer,DHCP offer,trust,untrust,DHCP Snooping功能配置,开启DHCP snooping功能Ruijie(config)#ip dhcp snooping配置信任端口Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trust配置DHCP报文速率限制Ruijie(config-FastEther

11、net 0/1)#ip dhcp snooping suppression,25,DHCP Snooping功能配置(续),查看DHCP Snooping配置Ruijie#show ip dhcp snooping 查看DHCP Snooping数据库Ruijie#show ip dhcp snooping binding,26,理解DHCP Snooping数据库,组成元素MAC、IP、VLAN、Interface等作用为其他功能提供服务IP Source-guardDAIARP-check注:DHCP Snooping数据库不写入FFP,27,IP Source Guard,概述IP源保护

12、功能,依赖于DHCP Snooping作用防止DHCP环境下用户私设IP地址为ARP-check提供服务原理将DHCP Snooping数据库写入FFP用户私设IP无法通过FFP,28,DHCP,Static,IP Source Guard功能配置,开启接口IP Source Guard功能Ruijie(config-FastEthernet 0/1)#ip verify source port-security配置静态 IP 源地址绑定用户Ruijie(config)#ip source binding 001a.a900.0001 vlan 1 192.168.1.100 int fa 0

13、/1查看IP Source Guard表项Ruijie#show ip verify source,29,DHCP Snooping&IP Source Guard,理解关系DHCP Snooping在用户获取地址的过程中形成数据库IP Source Guard将Snooping数据库中的内容写入FFPFFP根据Snooping数据库中的内容进行用户IP+MAC过滤,数据库中没有的内容将被丢弃IP Source Guard在Trust接口不生效,30,IP Source Guard功能配置优化,31,trust,trust,多台交换机级联时,为避免上面一台交换机正对下联交换机上的用户重复FFP

14、过滤,请将下联其他交换机的接口启用ip dhcp snooping trust,ARP协议简介,32,ARP协议过程通过ARP Request和ARP Replay两个报文学习到IP对应的MAC地址,ARP request,ARP reply,PC1,PC2,PC3,PCN,欺骗原理欺骗者伪造Sends IP与Senders MAC受骗主机用的Sender MAC与Sender IP更新自己的ARP表,ARP欺骗,33,网关,PC2,PC1,Cheat(ARP Request),ARP欺骗攻击目的,为什么产生ARP欺骗攻击?表象:网络通讯中断真实目的:截获网络通讯数据,34,PC1,网关,主机

15、型,网关型,欺骗者,ARP-check,概述ARP检查功能,防止ARP欺骗的产生原理利用FFP中IP+MAC过滤表项,生成ARP过滤表项过滤ARP字段Senders IPSenders MAC,35,原FFP逻辑示意,新增FFP逻辑示意,ARP-check的应用场合,场合Port-SecurityIP Source Guard802.1x+授权其他能形成IP+MAC过滤表项的功能,36,ARP-check配置,开启ARP-check功能Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项Ruijie(config)#show int a

16、rp list,37,DAI,38,概述动态ARP监测,用于防止ARP欺骗的发生原理提取DHCP Snooping数据库中的IP+MAC表项利用CPU过滤ARP报文发送者字段(Senders IP/MAC)如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文端口角色非信任口:拒绝不存在于DHCP Snooping数据库ARP报文信任口:允许所有ARP报文通过默认角色:非信任口,DAI配置,指定DAI监测VLANRuijie(config)#ip arp inspection vlan 1设置DAI信任接口Ruijie(config-FastEthernet 0/1)#ip arp in

17、spection trust查看DAI配置Ruijie#show ip arp inspection vlan 1,39,ARP-chek与DAI的区别,IP、MAC来源ARP-check:FFP中IP/MAC过滤表项DAI:DHCP Snooping数据库处理方式ARP-check:FFP硬件处理DAI:CPU软件处理,40,各种防ARP欺骗方案比较,41,注接入交换机中开启ARP-check功能时,S2300系列交换机推荐每端口一个用户,其他系列交换机每端口不超过20个用户,各系列交换机支持情况一览,42,总结,设备安全管理密码源地址限制安全协议接入安全保护端口全局地址绑定端口安全防攻击DHCP SnoopingIP Source Guard防ARP:ARP-check&DAI,43,参考资料,RG-S2600系列智能型增强安全接入交换机主打胶片.pptRG-S2600系列交换机RGOS 10.4(2)版本配置手册.pdfRG-S2100系列交换机1.8(1A2)版本配置手册.pdfFFP使用说明技术白皮书.doc,44,45,THANKS!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号