4-3：網(wǎng)絡(luò)安全技術(shù)軟件與服務(wù)外包學(xué)院李亞方課程議題網(wǎng)絡(luò)安全隱患交換機端口安全復(fù)雜程度Internet技術(shù)的飛速增長InternetEmailWeb瀏覽Intranet站點電子商務(wù)電子政務(wù)電子交易時間網(wǎng)絡(luò)安全風(fēng)險安全需求和實際操作脫離內(nèi)部的安全隱患動態(tài)的網(wǎng)絡(luò)環(huán)境有限的防御策略安全策略和實際執(zhí)行之間的巨大差異針對網(wǎng)絡(luò)通訊層的攻擊通訊&服務(wù)層TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼調(diào)制解調(diào)器DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼針對操作系統(tǒng)的攻擊操作系統(tǒng)

UNIXWindowsLinux

FreebsdMacintoshNovell網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進攻變得容易全球超過26萬個黑客站點提供系統(tǒng)漏洞和攻擊知識越來越多的容易使用的攻擊軟件的出現(xiàn)第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快網(wǎng)絡(luò)安全的演化現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測課程議題網(wǎng)絡(luò)安全隱患交換機端口安全交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定交換機端口安全如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后;如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。配置安全端口

端口安全最大連接數(shù)配置switchportport-security 打開該接口的端口安全功能switchportport-securitymaximumvalue 設(shè)置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設(shè)置處理違例的方式注：1、端口安全功能只能在access端口上進行配置。2、當(dāng)端口因為違例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。配置安全端口端口的安全地址綁定switchportport-security打開該接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address] 手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進行配置。2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP端口安全配置示例下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個數(shù)為8，設(shè)置違例方式為protect。Switch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end端口安全配置示例下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end驗證命令查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等。Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------Gi1/381Protect驗證命令查看安全地址信息。Switch#showport-securityaddressVlanMacAddressIPAddressType