返回
第 7 章 网络设备安全ppt课件.ppt

第 7 章 网络设备安全ppt课件.ppt

ID:59194010

大小:243.50 KB

页数:65页

时间:2020-09-26

第 7 章 网络设备安全ppt课件.ppt_第1页
第 7 章 网络设备安全ppt课件.ppt_第2页
第 7 章 网络设备安全ppt课件.ppt_第3页
第 7 章 网络设备安全ppt课件.ppt_第4页
第 7 章 网络设备安全ppt课件.ppt_第5页
资源描述:

《第 7 章 网络设备安全ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章网络设备安全本章以思科公司的系列路由器交换机为例,对常用的网络设备及防火墙产品的安全特性进行了全面的介绍,讨论了常用网络设备的安全防范技术和配置方法,并介绍了网络设备安全审核的一个小工具——网络设备配置剖析器Nipper。7.1网络设备安全概述设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。只有网络中所有结点都安全了,才能说整个网络状况是安全的。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。对网络设备进行安全加固的目的是减少攻

2、击者的攻击机会。如果设备本身存在安全上的脆弱性,往往会成为攻击目标。设备的安全脆弱性包括:(1)提供不必要的网络服务,提高了攻击者的攻击机会(2)存在不安全的配置,带来不必要的安全隐患(3)不适当的访问控制(4)存在系统软件上的安全漏洞(5)物理上没有安全存放,遭受临近攻击(close-inattack)针对上述安全弱点,可提出如下的设备安全加固技术建议:1.禁用不必要的网络服务2.修改不安全的配置3.利用最小权限原则严格对设备的访问控制4.及时对系统进行软件升级5.提供符合IPP要求的物理保护环境7.2交换机安全防

3、范技术交换机作为局域网信息交换的主要设备,特别是核心交换机和汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。利用交换机的流量控制功能,可以把流经端口的异常流量限制在一定的范围内。7.2.1流量控制技术流量控制技术把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现

4、风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。1.广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。广播风暴抑制可以限制广播流量的

5、大小,对超过设定值的广播流量进行丢弃处理。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。(1)广播风暴抑制比在CISCOcatalystswitch以太网端口配置模式下使用以下命令限制端口上允许通过的广播流量的大小:intXXstorm-controlbroadcastlevel20.00switch#shstormInterfaceFilterStateLevelCurrent------------------------------------Fa1/0/1Forwar

6、ding20.00%0.00%(2)为VLAN指定广播风暴抑制比也可以使用上面的命令设置VLAN允许通过的广播流量的大小。默认情况下,系统所有VLAN不做广播风暴抑制,即broadcastlevel值为100%。2.MAC地址控制技术可以通过MAC地址绑定来控制网络的流量,来抑制MAC攻击。网卡的MAC地址通常是唯一确定的,采用IP-MAC地址解析技术来防止IP地址的盗用,建立一个IP地址与MAC地址的对应表,然后查询此表,只有IP-MAC地址对合法注册的机器才能得到正确的ARP应答。(1)MAC地址与端口绑定。Sw

7、itch#conftSwitch(config)#intf0/1Switch(config-if)#switchportmodeaccess!指定端口模式。Switch(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1!配置MAC地址。Switch(config-if)#switchportport-securitymaximum1!限制此端口允许通过的MAC地址数为1。Switch(config-if)#switchportport-sec

8、urityviolationshutdown!当发现与上述配置不符时,端口down掉。(2)通过MAC地址来限制端口流量下面的配置允许某TRUNK口最多通过100个MAC地址。Switch#conftSwitch(config)#intf0/1Switch(config-if)#switchporttrunkencapsulationdot1q

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。