[精选]2网络设备的安全与应用实践buj

第2 2章 网络设备的安全与应用实践物理安全；路由器安全；交换机安全；服务器安全；客户机安全。2.1 2.1 物理安全计算机系统无论是硬件还是软件都不可避免存在发生故障的可能，但并不是发生故障就一定意味着该系统完全失效。计算机系统大多拥有“容错”能力，即允许存在某些错误，尽管系统硬件有故障或程序有错误，仍能正确执行特定算法和提供系统服务。2.1.1 2.1.1 网络的冗余安全采用“冗余技术”是实现计算机容错的主要手段；冗余设计的目的是：系统运行不受局部故障的影响，故障部件的维护对整个系统的功能实现没有影响，并可以实现在线维护，使故障部件得到及时的修复；系统的可用性指标可以用两个参数进行简单的描述：一个是平均无故障时间(MTBF)，MTBF一般指产品在两次故障之间的平均时间间隔，是产品的平均寿命的指标之一；另一个是平均修复时间(MTBR)，MTTR一般指产品的故障维修所需的平均修复时间，是产品可维修性的衡量指标，MTTR越短表示易恢复性越好。网络拓扑设计的冗余链路网络拓扑设计的冗余链路供电系统的冗余供电系统的冗余机房设备属于一级负荷，按一级负荷的供电要求必须保证两个以上独立的电源点供电；对于城市供电而言相对比较稳定，一般不会长时间停电，如果停电也将是区域性停电，因此可考虑使用UPS作为备份电源，采用市电+UPS后备电池相结合的供电方式。电源保护 为计算机信息系统设备的可靠运行提供能源保障，例如使用不间断电源、纹波抑制器、电源调节软件等。可归纳为两个方面：对工作电源的工作连续性的保护（如不间断电源UPS，Uninterruptible Power Supply）；对工作电源的工作稳定性的保护（如纹波抑制器）。2.1.2 2.1.2 网络设备的冗余核心交换机冗余核心交换机冗余核心交换机中电源模块的故障率相对较高，为了保证核心交换机的正常运行，一般考虑在核心交换机上增配一块电源模块，实现该部件的冗余；服务器冗余服务器冗余采用配置两台DHCP服务器来动态地给客户机分配IP地址，为了保证系统的可靠性，还可采用部件冗余技术、RAID技术；存储设备冗余存储设备冗余选择刻录光驱、磁带机、磁盘阵列等设备冗余；网络边界设备冗余网络边界设备冗余8双机容错与集群系统双机容错系统 双机容错系统通过软硬件的紧密配合，将两台独立服务器在网络中表现为单一的系统，提供给客户一套具有单点故障容错能力，且性价比优越的用户应用系统运行平台。双机容错技术能够自动检测应用或服务器故障，并可将其在另一台可用的服务器上快速重新启动；而用户只会觉察到瞬间的服务暂停。91.双机互备援（Dual Active）基本简介 所谓双机热备互援就是两台主机均为工作机，在正常情况下，两台工作机均为信息系统提供支持，并互相监视对方的运行情况。当一台主机出现异常时，不能支持信息系统正常运营，另一主机则主动接管异常机的工作，继续主持信息的运营，从而保证信息系统能够不间断的运行，而达到不停机的功能。102.双机热备份（Hot Standby）基本简介 所谓双机热备份就是一台主机为工作机，另一台主机为备份机，在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况。当工作机出现异常，不能支持信息系统运营时，备份机主动接管工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断的运行。11集群系统 集群，英文名称为Cluster，通俗地说，集群是这样一种技术：它至少将两个系统连接到一起，使多台服务器能够像一台机器那样工作或者看起来好像一台机器。用户从来不会意识到集群系统底层的节点，在他/她们看来，集群是一个系统，而非多个计算机系统。并且集群系统的管理员可以随意增加和删改集群系统的节点。采用集群系统通常是为了提高系统的稳定性和网络中心的数据处理能力及服务能力。12集群系统在集群系统中，所有的计算机拥有一个共同的名称，集群内任一系统上运行的服务可被所有的网络客户所使用。集群必须可以协调管理各分离组件的错误和失败，若其中一台服务器失效，其它的服务器就会接管这台服务器所运行的应用，并将共享磁盘柜上的相应数据区接管过来。其接管过程如下图所示磁盘阵列存储器的编码容错方案 廉价冗余磁盘阵列RAID（Redundent Array of Inexpensive Disks）是由美国加州大学伯克利分校的D.A.Patterson教授在1988年提出的。也简称为“磁盘阵列”。RAID将一组磁盘驱动器用某种逻辑方式联系起来，作为逻辑上的一个磁盘驱动器来使用。一般情况下，组成的逻辑磁盘驱动器的容量要小于各个磁盘驱动器容量的总和。RAID一般是在SCSI或SATA磁盘接口实现的。RAID提供了服务器中接入多个磁盘（专指硬盘）时，以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统。通过对数据分块和交叉存储两项技术的使用，使CPU实现通过硬件方式对数据的分块控制和对磁盘阵列中数据的并行调度等功能。使用RAID可大大加快磁盘的访问速度，缩短磁盘读写的平均排队与等待时间，并以并行方式在多个硬盘驱动器上工作，被系统视作一个单一的硬盘，以冗余技术增加其可靠性，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能，目前工业界公认的标准是RAID0-RAID6。RAID被广泛地应用在服务器体系中。RAID的优点包括以下几点：一是成本低，功耗小，传输速率高。在RAID中，可以让很多磁盘驱动器同时传输数据，而这些磁盘驱动器在逻辑上又是一个磁盘驱动器，所以使用RAID可以达到单个的磁盘驱动器几倍、几十倍甚至上百倍的速率。二是可以提供容错功能。这是使用RAID的第二个原因，因为普通磁盘驱动器无法提供容错功能，RAID的容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的安全性。三是在同样的容量下，RAID比起传统的大直径磁盘驱动器来，价格要低许多。2.2 2.2 路由器安全与应用实践路由器是网络的神经中枢，是众多网络设备的重要一员；广域网就是靠一个个路由器连接起来组成的；路由器对网络的应用和安全具有极重要的地位。2.2.1 2.2.1 路由协议与访问控制路由选择及协议路由选择及协议 路由选择是根据一定的原则和算法在多节点的通信子网中选择一条从源节点到目的节点的最佳路径；路由选择算法可分为静态路由选择算法和动态路由选择算法两大类；在路由器上利用路由选择协议主动交换路由信息，建立路由表并根据路由表转发分组。路由表可分为静态路由表和动态路由表；在现代网络中，广泛采用的是动态路由算法。在动态路由选择算法中，应用分布式路由选择算法。在该类算法中，最常用的是距离向量路由选择算法和链路状态路由选择算法。前者经过改进，成为目前广泛应用的路由信息协议，后者则发展成为开放式最短路径优先协议。路由器访问控制列表路由器访问控制列表(ACL)(ACL)ACL是Cisco IOS所提供的一种访问控制技术；ACL技术是一种基于包过滤的流控制技术。ACL在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先定义好的规则对包进行过滤，从而达到访问控制的目的；ACL有标准ACL和扩展ACL两种。这两种类型的ACL都可以基于序列号和命名进行配置。配置ACL要注意两点，一是ACL只能过滤流经路由器的流量，对路由器自身发出的数据包不起作用；二是一个ACL中至少有一条允许语句。2.2.2 2.2.2 虚拟路由器冗余协议（VRRPVRRP）VRRPVRRP协议协议 VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中；使用VRRP，可以通过手动或DHCP设定一个虚拟IP地址作为默认路由器。虚拟IP地址在路由器间共享，控制虚拟路由器IP地址的VRRP路由器称为主路由器，其它的则为备份路由器。主路由器负责转发数据包到这些虚拟IP地址；VRRP协议中优先级范围是0-255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；为了保证VRRP协议的安全性，提供了明文认证和IP头认证两种安全认证措施。l VRRP是一种容错协议，它为具有多播或广播能力的局域网而设计。VRRP将局域网的一组路由器（包括一个主路由器和若干个备份路由器）组织成一个虚拟路由器，称之为一个备份组；l 虚拟路由器拥有自己的IP地址10.100.10.1，备份组内的路由器也有自己的IP地址（如Master的IP地址为10.100.10.2，Backup的IP地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP地址而并不知道具体的Master路由器的IP地址以及Backup路由器的IP地址，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。LinuxLinux下的下的VRRPVRRP组件组件在Linux操作系统下可以实现非常稳定的VRRP功能，实现该功能的软件是keepalived。Keepalived的VRRP功能是从Linux中VRRPD发展而来的。KeepalivedKeepalived的安装的安装 openssl的安装 popt的安装 popt的安装 安装keepalived安装keepalived2.2.3 2.2.3 路由器安全配置与应用实践路由器的自身安全；路由器访问控制的安全策略；路由协议的安全配置；路由器的网络安全配置；禁止路由器的部分网络服务的安全配置；路由器实现多设备控制端口访问的配置；实现精确控制访问的路由器配置；路由器的其他安全配置。路由器的自身安全路由器的自身安全 用户口令安全用户口令安全全局配置模式下使用命令service password-encryption进行配置，该命令可将明文密码变为密文密码，保证用户口令的安全；配置登录安全配置登录安全路由器的配置一般有控制口（Console）配置、Telnet配置和SNMP配置三种方法，为了保证使用Telnet配置路由器的安全，仅让路由器管理员的工作站登录而不让其他机器登录到路由器，以保证路由器配置的安全。路由器访问控制的安全策略路由器访问控制的安全策略 严格控制可以访问路由器的管理员；对路由器的任何一次维护都需要记录备案，要有完备的路由器的安全访问和维护记录日志；建议不要远程访问路由器；要严格地为IOS（Cisco网际操作系统）作安全备份，及时升级和修补IOS软件，并迅速为IOS安装补丁；要为路由器的配置文件作安全备份；为路由器配备UPS设备，或者至少要有冗余电源。l 为进入特权模式设置强壮的密码，可采用enable secret（不要采用enable password）命令进行设置，并且启用Service password-encryption；l 严格控制CON端口的访问；l 如果不使用AUX端口，则应禁止该端口，使用如下命令即可（默认情况下是未被启用）；l若要对权限进行分级，采用权限分级策略。路由协议的安全配置路由协议的安全配置 RIP路由协议验证OSPF路由协议验证OSPF有三种认证方法，简单口令认证、MD5认证和Null认证。在缺省时OSPF使用Null认证，也就是路由交换不通过认证EIGRP路由协议的验证EIGRP协议仅仅支持MD5认证。认证的配置有三个步骤，一是在端口配置模式使MD5认证模式生效，二是密钥链要一致，三是给密钥链配置密钥。简单网管协议SNMP的安全路由器的网络安全配置路由器的网络安全配置 物理结构的布局物理结构的布局如果路由器有一个以上的局域网端口，或几台路由器并行使用，可以根据访问性质进行分类；路由器的简单防火墙功能路由器的简单防火墙功能常用的路由器一般都有访问控制列表ACL（Access List），即包过滤防火墙功能。访问列表可用于入口（Inbound），也可用于出口（Outbound）。它可对源IP地址和目的IP地址以及协议端口号进行过滤，用它可以控制哪些网络可以访问什么服务器资源。禁止路由器的部分网络服务的安全配置禁止路由器的部分网络服务的安全配置 禁止禁止FingerFinger服务服务Router(config)#no ip finger Router(config)#no service finger 禁止禁止TCPTCP、UDP SmallUDP Small服务服务Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers 建议禁止建议禁止HTTPHTTP服务服务 Router(config)#no ip http server 禁止禁止IP Source Routing IP Source Routing Router(config)#no ip source-route 禁止禁止ARP-ProxyARP-Proxy服务服务 Router(config)#no ip proxy-arp Router(config-if)#no ip proxy-arp 禁止禁止IP Directed BroadcastIP Directed Broadcast Router(config)#no ip directed-broadcast 禁止禁止IP Classless IP Classless Router(config)#no ip classless 禁止禁止ICMPICMP协议的协议的IP UnreachablesIP Unreachables、IP RedirectsIP Redirects和和IP Mask ReplieIP Mask ReplieRouter(config)#no ip unreachables Router(config)#no ip Redirects Router(config)#no ip Mask Replies路由器实现多设备控制端口访问的配置路由器实现多设备控制端口访问的配置开始配置开始配置先用Cisco 2511路由器的一个异步串行端口连接到用户的网络核心交换机、路由器和防火墙的每一个端口（这些设备各自同样需要具备串行控制口）；然后再按照ip host命令对新的Cisco终端服务器进行配置；管理多个连接管理多个连接 在命令行中输入主机名称，即使用一个IP主机Telnet到用户配置过的设备上，这是1号连接。在没有断开连接的情况下回到命令行，按下CtrlShift6，然后按下x，将显示控制台服务器提示符。相同方法进行2号连接；输入show sessions命令，可列出用户当前的会话。假设用户有两个会话：一个到第一台路由器，一个到第二台路由器。如果要取消其中某个会话，可输入disconnect X，X为（“1”或“2”）。若要转到某个会话，输入session number（“1”或“2”）即可。实现精确控制访问的路由器配置实现精确控制访问的路由器配置路由器设置路由器设置(1)(1)在路由器上指定可访问外界的在路由器上指定可访问外界的IPIP地址地址该步骤是通过设置路由器上的IP访问限制实现的，在E0端口（局域网端口）上添加一个访问列表（access-list），只有指定了的IP地址允许进入；(2)(2)禁止外界访问内部的禁止外界访问内部的TelnetTelnet和和FTPFTP端口端口在E0端口上添加一个访问列表，禁止进入20、21和23端口（20和21为FTP端口，23为Telnet端口）；(3)(3)防止授权防止授权IPIP地址的盗用地址的盗用在路由器上建立一个静态ARP；(4)(4)在在EXECEXEC命令态下用命令态下用copy run startcopy run start命令保存所做的修改映命令保存所做的修改映射表射表l工作站配置(1)进入“开始”“设置”“网络连接”“本地连接”，点击“属性”后进入“本地连接属性”。(2)选定“TCP/IP协议”（如图2.3所示），双击之或点击“属性”按钮，出现“TCP/IP属性”窗口，如图2.4所示。(3)选定“使用下面的IP地址”，在“IP地址”和“子网掩码”框中填写IP地址（本例为192.168.1.11）和子网掩码（255.255.255.0）。(4)在“网关”项中，将路由器的E0地址（本例为192.168.9.1）填入，作为默认网关。这一步对于能访问外界机器至关重要，因为在局域网中，路由器是与外界相连的唯一出口。(5)选定“使用下面的DNS服务器地址”项，填写“首选DNS服务器”和“备用DNS服务器”。(6)最后单击“确定”按钮，重新启动计算机路由器的其他安全配置路由器的其他安全配置 IP IP欺骗的简单防护欺骗的简单防护为防止对内部网络的IP欺骗，可过滤这样一些IP地址，如：Router(config)#access-list 100 deny ip 201.120.30.0 0.0.0.255 any log；TCP SYN TCP SYN的防范防护的防范防护通过访问列表防范TCP SYN；通过TCP截获防范TCP SYN；Smurf Smurf进攻的防范进攻的防范Router(config)#access-list 108 deny ip any host 192.168.1.255/0 logDDoSDDoS攻击的防范攻击的防范！The Trinoo DDos systemRouter(config)#access-list 113 deny tcp any any eq 27665 log Router(config)#access-list 113 deny udp any any eq 31335 log Router(config)#access-list 113 deny udp any any eq 27444 log!The Stacheldtraht DDos systemRouter(config)#access-list 113 deny tcp any any eq 16660 log Router(config)#access-list 113 deny tcp any any eq 65000 log!The TrinityV3 systemRouter(config)#access-list 113 deny tcp any any eq 33270 log Router(config)#access-list 113 deny tcp any any eq 39168 log!The Subseven DDos system and some VariantsRouter(config)#access-list 113 deny tcp any any range 6711 6712 log 2.3 2.3 交换机安全与应用实践2.3.1 2.3.1 交换机安全交换机安全 交换机是一种基于MAC(网卡的硬件地址)识别，能完成封装转发数据包功能的网络设备；交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的源发送者和目标接收者之间建立临时的交换路径，使数据帧由源地址到达目的地址；传统交换机主要用于数据包的快速转发，强调转发性能。交换机基础交换机基础 交换机功能；交换机的地址“学习”；交换机的转发与过滤。交换机功能交换机功能交换机可看作是一个具有流量控制的网桥，它是由背板、端口、缓冲区、逻辑控制单元和交叉矩阵等部件组成；传统以太网交换机是第二层交换机，第二层交换机是一个可以将发送端地址与接收端地址连接起来的网络设备。该设备根据数据帧中的头信息，将来自一个或多个输入端口的帧送到一个或多个端口，完成数据交换；l 交换机工作在OSI模型中的数据链路层，因此交换机对数据包的转发是建立在MAC地址基础之上的；l传统以太网交换机的最大优点是数据交换快；l 当交换机收到一个TCP/IP数据包时，会查看该数据包的目的MAC地址，然后核对自己的MAC地址表以确认应该从哪个端口把数据包发出去。l 当交换机收到一个目标地址未知的数据包（即MAC地址不能在其MAC地址表中找到）时，交换机会把IP数据包从它每一个端口中送出去。交换机的地址交换机的地址“学习学习”交换机能够通过读取传送包的源MAC地址和记录帧进入交换机的端口来“学习”网络上每个设备的地址，然后，交换机把该信息加到它的转发数据库(MAC地址表)中；如果在一段时间内都没有被使用过的MAC地址将从MAC列表中删除，通过这个时间标记来保证删除过时的地址和保持最新的地址。CAM维护了一个精确和有用的转发数据库，即MAC地址表。交换机的转发与过滤交换机的转发与过滤 当主机A发一个帧给主机B时，由于目的MAC地址(主机B的MAC地址)己在MAC地址表中存在对应项，故交换机会将此帧直接发到B所在交换机的端口，而不会再将帧发往其他端口，这样就节省了其他端口上的带宽。这就是所谓的转发与过滤；第二层的交换机无法控制广播域。交换机交换机安全安全安全交换机含义安全交换机含义 交换机最重要的作用是转发数据。在黑客攻击和病毒侵扰下，要能够继续保持其高效的数据转发速率，不受到攻击的干扰；能对访问和存取网络信息的用户进行区分和权限控制；配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。安全交换机的新功能安全交换机的新功能 802.1x安全认证；流量控制；防范DDoS攻击；虚拟局域网VLAN；基于ACL的防火墙功能；IDS功能。802.1x802.1x安全认证安全认证 802.1x协议是基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到接受合法用户接入，保护网络安全的目的；802.1x利用了交换式LAN架构的物理特性，实现了LAN端口上的设备认证；在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权：客户端，认证系统和认证服务器。流量控制流量控制 安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制，避免网络堵塞；防范防范DDoSDDoS攻击攻击安全交换机采用专门技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁。虚拟局域网虚拟局域网VLAN VLAN VLAN可以在二层或三层交换机上实现有限的广播域。它可把网络分成一个个独立的区域，控制这些区域是否可以通信。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP地址与MAC地址绑定功能限制用户非授权访问网络；基于基于ACLACL的防火墙功能的防火墙功能ACL通过对网络资源的访问控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)允许或拒绝数据包通过。IDSIDS功能功能安全交换机的入侵检测系统（IDS）功能可以根据上报信息和数据流内容进行检测，在发现网络安全事件时，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机支持认证、端口镜像、强制流分类、进程数控制、端口反向查询等功能。安全交换机的配署安全交换机的配署 安全交换机可以配备在网络的核心位置上，这样就可以在核心交换机上统一配置安全策略，做到集中控制，方便网络管理人员的监控和调整；把安全交换机放在网络的接入层或汇聚层，是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘，在各个边缘就开始实施安全交换机的性能，把入侵和攻击以及可疑流量阻挡在边缘之外，确保全网的安全。2.3.2 2.3.2 交换机的安全配置实践配置交换机使网络对可访问站点进行控制，从而实现对自身的保护；端口安全（port-secure）命令定义了一个最大值，即在MAC地址表中与交换机端口相联系的所允许的最多目的MAC地址。MACMAC地址表及相关信息的设置地址表及相关信息的设置 显示显示MACMAC地址表地址表 MAC地址表中的地址由永久地址、限制性静态地址和动态地址三种地址组成；在Switch#show MAC-address-table命令中即可看到MAC地址表；MAC地址表由地址、源端口表、目的端口和类型组成。设置永久地址设置永久地址若设置了永久地址的目的MAC地址及其转发端口，则该地址永久不会超时，所有的端口均可以转发帧给它。设置命令如下：Switch(config)#MAC-address-table permanentMAC Addresstype slot/port 设置限制性静态地址设置限制性静态地址限制性静态地址不但继承了永久地址的所有特性，更进一步严格限制了源端口，安全性得到进一步增强。设置限制性静态地址的命令如下：Switch(config)#MAC-address-table restricted staticMAC addresstype slot/portsource interface list 删除表项删除表项Switch#clear MAC-address-tabledynamic|permanent|restricted配置交换机端口配置交换机端口 认证端口认证端口Switch(config-if)#description description-string 端口速度端口速度Switch(config-if)#speed10|100|auto 端口模式端口模式Switch(config-if#duplexauto|full|half交换机口令的安全配置交换机口令的安全配置 密码设置密码设置为用户模式设置注册密码，需要在全局配置模式下输入下列命令：Switch(config)#line con 0Switch(config-line)#password passwordSwitch(config-line)#loginSwitch(config-1)#line vty 0 15Switch(config-line)#password passwordSwitch(config-line)#loginl 重配置并验证重配置并验证(config)#enable password level 1 noco(config)#enable password level 15 noko(config)#exit#exit交换机端口安全配置方案与操作交换机端口安全配置方案与操作 激活保护功能：Switch(configif)#switchport port-sercurity 规定被允许访问的MAC地址的最大数目：Switch(config-if)switchport port-sercurity maximum max-address 静态地址配置：Switch(config-if)switchport port-sercurity MAC-address MAC-address 必须确定使用端口保护的接口Switch(config-if)switchpolt port-sercurity violationshutdown|restrict|protect 配置方案配置方案1-1-基于端口的基于端口的MACMAC地址绑定地址绑定 Switch#config terminal 进入配置模式 Switch(config)Interface fastethernet 0/1 进入具体端口配置模式 Switch(config-if)Switchport port-secruity 配置端口安全模式 Switch(config-if)switchport port-security MAC-address MAC-address 配置该端口要绑定的主机的MAC地址 Switch(config-if)no switchport port-security MAC-address MAC-address 删除绑定主机的MAC地址 配置方案配置方案2-2-基于基于MACMAC地址的扩展访问列地址的扩展访问列表表 Switch(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if)interface Fa0/20#进入配置具体端口的模式 Switch(config-if)mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表 Switch(config)no mac access-list extended MAC10清除名为MAC10的访问列表配置方案配置方案3-IP3-IP地址与地址与MACMAC地址绑定地址绑定 Switch(config)mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)ip access-list extended IP10定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)permit 192.168.0.1 0.0.0.0 any定义IP地址为192.168.0.1的主机可以访问任意主机l Switch(config)permit any 192.168.0.1 0.0.0.0定义所有主机可以访问IP地址为192.168.0.1的主机l Switch(config-if)interface Fa0/20 进入配置具体端口的模式l Switch(config-if)mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面定义的访问策略）l Switch(config-if)ip access-group IP10 in 在该端口上应用名为IP10的访问列表（即前面定义的访问策略）l Switch(config)no mac access-list extended MAC10 in清除名为MAC10的访问列表l Switch(config)no ip access-group IP10 in清除名为IP10的访问列表交换机端口与主机地址的安全配置交换机端口与主机地址的安全配置 MAC MAC地址与端口绑定地址与端口绑定3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access/指定端口模式3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址3550-1(config-if)#switchport port-security maximum 1/限制此端口允许通过的MAC地址数为13550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。l 通过通过MACMAC地址来限制端口流量地址来限制端口流量l 3550-1#conf tl 3550-1(config)#int f0/1 l 3550-1(config-if)#switchport trunk encapsulation dot1ql 3550-1(config-if)#switchport mode trunk /配置端口模式为trunkl3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。3550-1(config-if)#switchport port-security violation protect/当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失上述配置可根据MAC地址来允许流量，如下的配置则是根据MAC地址来拒绝流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的VLAN丢弃流量。3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。可靠的可靠的MACMAC地址配置类型地址配置类型 静态可靠的静态可靠的MACMAC地址地址 Switch#config terminal Switch(config)#interface interface-id 进入需要配置的端口 Switch(config-if)#switchport mode Access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation protect|restrict|shutdown l动态可靠的动态可靠的MACMAC地址地址l 交换机默认的类型；l 在这种类型下，交换机会动态学习MAC地址，但是该配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址会被自动清除。黏性可靠的黏性可靠的MACMAC地址地址 Switch#config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode Access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect|restrict|shutdown Switch(config-if)#switchport port-security maximum value Switch(config-if)#switchport port-security mac-address sticky交换机访问控制的安全配置交换机访问控制的安全配置现在通过多层交换机特性来提高网络的安全性和对带宽的控制已经相当的普遍。随着一些安全特性如访问控制列表（ACL）和802.1x标准已经成为许多厂商产品的标准，一些使用者开始把它们作为网络设施安全的一个单独增加的层次；ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。2.4 2.4 服务器安全2.4.1 2.4.1 网络服务器网络服务器文件服务器文件服务器文件服务器已经拥有比较完备的磁盘设备管理和用户安全管理体系；数据库服务器数据库服务器分布式协同信息处理是目前计算机网络应用的核心之一，也是资源共享的延伸；Internet/IntranetInternet/Intranet通用服务器通用服务器用于在异构网络环境下统一简化的客户端平台和广域网互通互联基础上的信息发布、采集、利用和高度资源共享应用服务器应用服务器应用服务器用于在通用服务器硬件平台上安装相应的应用服务软件并实现特定的功能，如数据中间件服务器、流式媒体点播服务器、电视会议服务器和打印服务器等2.4.2 2.4.2 服务器的安全设置服务器的安全设置服务器的安全策略服务器的安全策略对服务器进行安全设置；进行日常的安全检测；加强服务器的日常管理；采取安全的访问控制措施；禁用不必要的服务；修改注册表；正确划分文件系统格式；正确设置磁盘的安全性；服务器的安全设置实践服务器的安全设置实践安装补丁安装防病毒软件禁止建立空连接关闭不必要的端口关闭139端口，通过注册表关闭关闭445端口，关闭3389端口，关闭4899端口，关闭无用的服务，目录和文件权限管理，不使系统显示上次登录的用户名，把敏感文件存放在另外的文件服务器中，NTFS分区安全，服务器日常管理2.5 2.5 客户机安全2.5.1 2.5.1 客户机的安全策略客户机的安全策略客户机实体安全客户机实体安全 设定使用者授权机制 设定访问控制权限 定期执行备份工作客户机系统安全设定客户机系统安全设定 重视软件相关的安全修补程序 安装防毒软件并定期更新病毒码 远程管理的安全性 减少不必要的应用程序 合理使用客户机管理程序 不随意下载或执行来源不明的文档或程序2.5.2 2.5.2 客户机的安全管理与应用客户机的安全管理与应用客户机物理安全客户机物理安全物理安全涉及到对计算机的访问。提到物理安全时要考虑两方面的问题，一是客户机整机被窃；而是未授权人员通过客户机获得对网络的访问权；管理员访问权限管理员访问权限管理员账号，通常是指Windows系统中的Administrator或Unix系统中的root。该账号对于系统中的任何程序和文件具有完全的访问和管理权。管理员可以对系统配置进行全局修改，能够增加和删除其他系统账号；远程登录远程登录用户不应该从网络外部对他们的机器进行远程访问；客户机安全设置客户机安全设置 配合使用服务器的DHCP功能 合理使用代理台式机和笔记本电脑的区别管理台式机和笔记本电脑的区别管理 笔记本电脑也更做备份。管理员要制定有关安全措施，对使用笔记本电脑的用户进行严格管理和要求9、静夜四无邻，荒居旧业贫。22.9.3022.9.30Friday,September 30,202210、雨中黄叶树，灯下白头人。23:05:5523:05:5523:059/30/2022 11:05:55 PM11、以我独沈久，愧君相见频。22.9.3023:05:5523:05Sep-2230-Sep-2212、故人江海别，几度隔山川。23:05:5523:05:5523:05Friday,September 30,202213、乍见翻疑梦，相悲各问年。22.9.3022.9.3023:05:5523:05:55September 30,202214、他乡生白发，旧国见青山。2022年9月30日星期五下午11时5分55秒23:05:5522.9.3015、比不了得就不比，得不到的就不要。2022年9月下午11时5分22.9.3023:05September 30,202216、行动出成果，工作出财富。2022年9月30日星期五23时05分55秒23:05:5530 September 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。下午11时5分55秒下午11时5分23:05:5522.9.309、没有失败，只有暂时停止成功！。22.9.3022.9.30Friday,September 30,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。23:05:5523:05:5523:059/30/2022 11:05:55 PM11、成功就是日复一日那一点点小小努力的积累。22.9.3023:05:5523:05Sep-2230-Sep-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。23:05:5523:05:5523:05Friday,September 30,202213、不知香积寺，数里入云峰。22.9.3022.9.3023:05:5523:05:55September 30,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年9月30日星期五下午11时5分55秒23:05:5522.9.3015、楚塞三湘接，荆门九派通。2022年9月下午11时5分22.9.3023:05September 30,202216、少年十五二十时，步行夺得胡马骑。2022年9月30日星期五23时05分55秒23:05:5530 September 202217、空山新雨后，天气晚来秋。下午11时5分55秒下午11时5分23:05:5522.9.309、杨柳散和风，青山澹吾虑。22.9.3022.9.30Friday,September 30,202210、阅读一切好书如同和过去最杰出的人谈话。23:05:5523:05:5523:059/30/2022 11:05:55 PM11、越是没有本领的就越加自命不凡。22.9.3023:05:5523:05Sep-2230-Sep-2212、越是无能的人，越喜欢挑剔别人的错儿。23:05:5523:05:5523:05Friday,September 30,202213、知人者智，自知者明。胜人者有力，自胜者强。22.9.3022.9.3023:05:5523:05:55September 30,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年9月30日星期五下午11时5分55秒23:05:5522.9.3015、最具挑战性的挑战莫过于提升自我。2022年9月下午11时5分22.9.3023:05September 30,202216、业余生活要有意义，不要越轨。2022年9月30日星期五23时05分55秒23:05:5530 September 202217、一个人即使已登上顶峰，也仍要自强不息。下午11时5分55秒下午11时5分23:05:5522.9.30MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉演讲完毕，谢谢观看！