返回
网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt

网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt

ID:51624671

大小:2.18 MB

页数:21页

时间:2020-03-26

网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt_第1页
网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt_第2页
网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt_第3页
网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt_第4页
网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt_第5页
资源描述:

《网络安全技术全套配套课件 模块6:保护网络设备安全2(1).ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、项目6保护网络设备安全(2)项目分解任务3:监控交换机端口通信流量任务描述丰乐公司网络管理员张明发现最近一段时间,公司内部网络中有异常流量,严重影响了办公网传输效率。为了解网络的传输状况,需要对办公网络中的流量进行手动分析。为了提高企业办公网络的安全,需要管理员进行手工分析的异常流量,因此配置办公网接入交换机端口镜像技术,将异常的流量镜像到管理员计算机上,然后抓取数据包,通过数据包分析软件,实现网络的安全防范功能。任务分析在日常进行的网络故障排查、网络数据流量分析的过程中,有时需要对网络中的接入

2、或骨干交换机的某些端口进行数据流量监控分析,以了解网络中某些端口传输的状况,通过在交换机上实施端口镜像安全技术,监视进出交换机端口的所有数据包,供安装了监控软件的管理服务器抓取数据,了解网络安全状况。知识准备6.3.1什么是端口镜像镜像(Mirroring)是将交换机某个端口的流量拷贝到另一端口(镜像端口),进行监测。交换机的镜像技术(PortMirroring)是将交换机某个端口的数据流量,复制到另一个端口(镜像端口)进行监测安全防范技术。大多数交换机都支持镜像技术,称为mirroring或S

3、panning,默认情况下交换机上的这种功能是被屏蔽。知识准备6.3.2镜像端口技术术语端口镜像可以让用户将所有的流量,从一个特定的端口复制到一个镜像端口。如果网络中的交换机提供端口镜像功能,则允许管理人员设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过PC上安装的网络监控软件来查看,解析收到的数据包中的信息内容,通过对数据的分析,可以实时查看被监视端口的通信状况。交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口,其中:PortMirroringMonitoring

4、Port:知识准备6.3.3配置端口镜像技术任务实施【工作过程】按图6-3-4所示网络拓扑,连接网络设备,组建网络场景,注意设备连接的接口编号。任务实施步骤2:IP地址规划步骤3:测试网络连通性步骤4:配置交换机镜像口步骤5:验证交换机镜像口(1)步骤6:取消交换机镜像口步骤7:验证交换机镜像口(2)项目分解任务4:实施办公网络安全访问控制任务描述丰乐公司电子商务公司构建互联互通办公网,为了保护公司内部用户销售数据安全,实施内网安全防范措施。网络核心使用一台三层设备,连接公司几个不同区域子网络:

5、一方面实现办公网互联互通,另一方面把办公网接入Internet网络。之前,由于没有实施部门安全策略,出现非业务部门,登录到销售部网络,查看销售部销售数据。丰乐公司网管员张明从公司内部网络管理的安全考虑,禁止非业务(后勤)部门访问销售部网络,其它业务部门,如财务部门则允许访问。任务分析禁止办公网络中一个部门网络访问另外一个部门的网络,可以在三层核心设备上实施访问控制列表IPACL技术来实现。IPACL是数据包过滤技术,能对网络中通过的数据包实施过滤,实现对网络访问资源进行输入和输出的安全访问控制。

6、按照过滤数据包不同,IPACL技术可分为标准IPACL和扩展IPACL;此外还可按照标识不同,分为基于编号IPACL和基于命名IPACL二种类型。基于名称IPACL在规则编辑上,使用一组字符串标识编制安全规则,方便识别、管理。知识准备6.4.1什么是访问控制列表交换机或者路由器设备按照ACL中的指令顺序执行这些规则,处理每一个进入或输出端口的数据包,实现对进入或者流出网络互联设备中的数据流过滤。通过在网络互联设备中灵活地增加访问控制列表,可以作为一种网络控制的有力工具,过滤流入和流出数据包,确保

7、网络的安全,因此ACL也称为软件防火墙,如图6-4-1所示。知识准备6.4.2访问控制列表分类常见ACL有两类:标准访问控制列表(StandardIPACL)和扩展访问控制列表(ExtendedIPACL),在规则中使用不同的编号区别,其中标准访问控制列表的编号取值范围为1~99;扩展访问控制列表的编号取值范围为100~199。两种编号的ACL区别是,标准的编号ACL只匹配、检查数据包中携带的源地址信息;扩展编号ACL不仅仅匹配数据包中源地址信息,还检查数据包的目的地址,以及数据包的特定协议类型

8、、端口号等。扩展访问控制列表规则大大扩展了网络互联设备对三层数据流的检查细节,为网络的安全访问提供了更多的访问控制功能。知识准备6.4.3基于编号标准访问控制列表标准访问控制列表(StandardIPACL)检查数据包的源地址信息,数据包在通过网络设备时,设备解析IP数据包中的源地址信息,对匹配成功的数据包采取拒绝或允许操作。在编制标准的访问控制列表规则时,使用编号1到99值来区别同一设备上配置的不同标准访问控制列表条数。标准访问控制列表ACL只检查IP数据包中源IP地址信息,以达到控制网络中数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。