網(wǎng)絡(luò)交換與路由技術(shù)：第五章 網(wǎng)絡(luò)安全技術(shù)-1

第五章網(wǎng)絡(luò)安全技術(shù)

某大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要進(jìn)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實(shí)施整體規(guī)劃，通過在交換機(jī)設(shè)備上增加訪問控制列表技術(shù)，實(shí)現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。

工程任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺安全組件三：交換機(jī)端口安全技術(shù)組件四：訪問控制列表安全技術(shù)組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全復(fù)雜程度Internet飛速增長InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺計(jì)算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來安全事件對我們的威脅越來越快網(wǎng)絡(luò)安全的演化網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用網(wǎng)絡(luò)開放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時(shí)，進(jìn)行的竊聽、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險(xiǎn)。企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識差等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。網(wǎng)絡(luò)安全隱患一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。常見網(wǎng)絡(luò)管理中存在的安全問題（1）機(jī)房安全。如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。

（2）病毒的侵入（3）黑客的攻擊（4）管理不健全造成的安全漏洞從網(wǎng)絡(luò)安全的廣義角度來看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個(gè)管理問題它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案網(wǎng)絡(luò)攻擊行為常見的攻擊措施主要有：獲取網(wǎng)絡(luò)口令(Sniffer、暴力破解)放置特洛伊木馬程序

WWW欺騙技術(shù)（URL欺騙、釣魚網(wǎng)站）

電子郵件攻擊（郵件轟炸、郵件欺騙、木馬與病毒綁定）

通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)

（IP欺騙、ARP欺騙）

拒絕服務(wù)攻擊

（SMURF攻擊、SYN攻擊）網(wǎng)絡(luò)監(jiān)聽

尋找系統(tǒng)漏洞

（木馬攻擊）

利用賬號進(jìn)行攻擊（默認(rèn)帳戶和密碼攻擊）

偷取特權(quán)（木馬、后門、緩沖區(qū)溢出）

手段多樣的網(wǎng)絡(luò)攻擊：攻擊不可避免攻擊工具體系化網(wǎng)絡(luò)進(jìn)攻簡單化全球超過26萬黑客站點(diǎn),提供系統(tǒng)漏洞和攻擊知識越來越多易使用攻擊軟件出現(xiàn)年輕人對網(wǎng)絡(luò)攻擊好奇心年輕人的叛逆心理大量的攻擊工具隨手拾來攻擊工具更加“人性化”現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測現(xiàn)有網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺安全保護(hù)交換機(jī)控制臺的安全措施

對于大多數(shù)企業(yè)內(nèi)部網(wǎng)來說，連接網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的互聯(lián)設(shè)備，是整個(gè)網(wǎng)絡(luò)規(guī)劃中最需要重要保護(hù)的對象。大多數(shù)網(wǎng)絡(luò)都有一、二個(gè)主要的接入點(diǎn)，對這個(gè)接入點(diǎn)的破壞，直接造成整個(gè)網(wǎng)絡(luò)癱瘓如果網(wǎng)絡(luò)互聯(lián)設(shè)備沒有很好的安全防護(hù)措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，將對網(wǎng)絡(luò)的打擊是最致命的。因此設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備防護(hù)措施是保護(hù)網(wǎng)絡(luò)安全的重要手段之一保護(hù)交換機(jī)控制臺的安全措施

據(jù)國外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個(gè)恰當(dāng)口令，是保護(hù)網(wǎng)絡(luò)不受侵犯最根本保護(hù)交換機(jī)控制臺安全措施配置交換機(jī)的登陸密碼S2126G(config)#enablesecretlevel10star

“0”表示輸入的是明文形式的口令，1為分配等級配置交換機(jī)的特權(quán)密碼S2126G(config)#enablesecretlevel150Star

“0”表示輸入的是明文形式的口令，15為分配等級等級1分配給特權(quán)模式;等級15分配給全局模式，等級2-14分配給不同的命令配置TELNET方式管理交換機(jī)Switch(config)#enablesecretlevel10starSwitch(config)#enablesecretlevel150starSwitch(config)#interface

vlan1Switch(config-if)#noshutdownSwitch(config-if)#ipaddressSwitch(config-if)#end注：兩個(gè)密碼缺一不可路由器控制臺安全措施保護(hù)路由器控制臺的安全措施

配置路由器控制臺密碼Router（config）#lineconcole0Router（config-line）#loginRouter（config-line）#passwordstar

配置路由器的特權(quán)登錄密碼：Router（config）#enablepasswordstarRouter（config）#enablesecretstar

“password”表示輸入的是明文形式的口令“secret”為密文形式的口令，密文有最高優(yōu)先級別保護(hù)路由器遠(yuǎn)程登錄的安全措施Router#configureterminalRouter（config）#Router（config）#lineVTY04Router（config-line）#loginRouter（config-line）#passwordstar保護(hù)園區(qū)網(wǎng)絡(luò)安全組件三：交換機(jī)端口安全技術(shù)FF.FF.FF.FF.FF.FF廣播MAC地址00.d0.f8.00.07.3c前3個(gè)字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的后3個(gè)字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不重復(fù)，生產(chǎn)時(shí)寫入設(shè)備MAC地址：鏈路層唯一標(biāo)識接入交換機(jī)MACPortA1B2C3MAC地址表：空間有限MAC攻擊攻擊：MAC地址表空間是有限，MAC攻擊會(huì)占滿交換機(jī)地址表

使得單播包在交換機(jī)內(nèi)部也變成廣播包,向所有端口轉(zhuǎn)，每個(gè)連在端口上客戶端都可以收到該報(bào)文交換機(jī)變成了一個(gè)Hub，用戶的信息傳輸沒有安全保障MAC攻擊交換機(jī)端口安全功能交換機(jī)的端口安全功能：防止網(wǎng)內(nèi)部攻擊,如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等交換機(jī)端口安全的基本功能1、限制端口最大連接數(shù),控制惡意擴(kuò)展接入例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞2、端口安全地址綁定,解決網(wǎng)中IP地址沖突、ARP欺騙例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙交換機(jī)端口安全內(nèi)容安全端口收到不屬于端口上安全地址包時(shí)，一個(gè)安全違例將產(chǎn)生當(dāng)安全違例產(chǎn)生時(shí)，可以選擇多種方式來處理違例：Protect：安全端口將丟棄未知名地址的包（不是該端口的安全地址中的任何一個(gè)）RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知端口安全配置示例配置fa1/3端口安全功能：

設(shè)置最大地址個(gè)數(shù)為8，違例方式為protectSwitch(config)#interfacefa1/3Switch(config-if)#switchportport-security

Switch(config-if)#switchportport-securitymaximum8

Switch(config-if)#switchportport-securityviolationprotect

端口安全配置示例配置fa1/3端口安全功能：配置fa0/3安全功能，綁定MAC為00d0.f800.073c，IP為02Switch(config)#interfacefa0/3

Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02驗(yàn)證命令查看接口安全信息Switch#showport-security

SecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction

---------------------------------------------------------------fa0/381Protect驗(yàn)證命令查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-----------------------------------------------------------------------------

100d0.f800.073c02ConfiguredFa0/381實(shí)習(xí)項(xiàng)目