(9.12)-《路由器技術》第10章計算機網(wǎng)絡

第10章實施二層交換網(wǎng)絡安全技術【單元背景】第二層交換機技術應用，給用戶帶來良好的網(wǎng)絡環(huán)境。但最初的網(wǎng)絡設計者在設計時，更多地考慮網(wǎng)絡的聯(lián)通，而很少考慮網(wǎng)絡的安全。隨著黑客技術的發(fā)展，二層交換網(wǎng)絡存在潛在漏洞，使網(wǎng)絡面臨被攻擊的風險。如何在二層交換機上過濾用戶，保障數(shù)據(jù)安全有效轉(zhuǎn)發(fā)？如何在二層交換機上阻擋非法用戶，保障網(wǎng)絡安全應用？如何在二層交換機上進行安全網(wǎng)管，及時發(fā)現(xiàn)網(wǎng)絡非法用戶、非法行為及遠程網(wǎng)管信息的安全性……【學習目標】了解網(wǎng)絡病毒安全防范機制配置交換機端口安全配置交換機保護端口配置交換機端口鏡像10.1網(wǎng)絡安全背景人們越來越多地通過各種網(wǎng)絡處理工作、學習和生活，但由于Internet的開放性和匿名性特征，未授權用戶對網(wǎng)絡的入侵變得日益頻繁，存在著各種安全隱患。據(jù)統(tǒng)計，網(wǎng)絡攻擊手段層出不窮，在全球范圍內(nèi)每秒就發(fā)生一起網(wǎng)絡攻擊事件，如圖10-1所示。10.1網(wǎng)絡安全背景為保護網(wǎng)絡系統(tǒng)中的硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡系統(tǒng)連續(xù)、可靠及正常地運行，網(wǎng)絡服務不被中斷等都稱是計算機網(wǎng)絡安全管理的內(nèi)容。常見網(wǎng)絡管理中存在的安全問題主要有：1.機房安全機房是網(wǎng)絡設備運行的控制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災、雷擊、盜賊等）、電氣安全（停電、負載不均等）等情況。2.病毒的侵入據(jù)美國國家計算機安全協(xié)會（NCSA）調(diào)查發(fā)現(xiàn)，幾乎100%美國大公司網(wǎng)絡都經(jīng)歷過計算機病毒危害，如圖10-2所示。10.1網(wǎng)絡安全背景為保護網(wǎng)絡系統(tǒng)中的硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡系統(tǒng)連續(xù)、可靠及正常地運行，網(wǎng)絡服務不被中斷等都稱是計算機網(wǎng)絡安全管理的內(nèi)容。10.1網(wǎng)絡安全背景3.黑客攻擊Internet的開放性和匿名性也給Internet應用造成了很多漏洞，來自企業(yè)網(wǎng)絡內(nèi)部或者外部的黑客攻擊，都給網(wǎng)絡造成很大隱患，如圖10-3顯示隨時間發(fā)展，黑客攻擊手段、技術和工具日新月異變化。10.2防病毒安全計算機病毒是一段具有惡意破壞的程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力，通過復制的方式達到很快地蔓延，難以根除。病毒程序常常附著在各種文件上，通過感染文件復制或網(wǎng)絡傳輸，文件從一個用戶傳送到另一個用戶計算機上，病毒隨同感染文件一起蔓延，稱為網(wǎng)絡病毒，如圖10-4所示在某文件中內(nèi)嵌“火焰病毒”代碼。10.2防病毒安全（1）破壞性強。網(wǎng)絡病毒破壞性極強。一旦網(wǎng)絡中的某臺服務器被病毒感染，就可能造成網(wǎng)絡服務器無法啟動，導致整個網(wǎng)絡癱瘓，造成不可估量的損失。

（2）傳播性強。網(wǎng)絡病毒普遍具有較強的傳播機制，通過網(wǎng)絡擴散與傳染。一旦某個程序感染了病毒，那么病毒將很快在整個網(wǎng)絡上傳播，感染其他程序。根據(jù)有關資料介紹，在網(wǎng)絡上病毒傳播的速度是單機幾十倍。（3）具有潛伏性和可激發(fā)性。網(wǎng)絡病毒具有潛伏性和可激發(fā)性。在一定的環(huán)境下受到外界因素刺激，便能活躍激活。激活可以是內(nèi)部時鐘、系統(tǒng)日期和用戶名稱。（4）擴散面廣。由于病毒通過網(wǎng)絡傳播，所以擴散面大。一臺PC機病毒通過網(wǎng)絡可以感染與之相連的眾多機器，如圖10-5所示殺毒軟件檢測出隱藏在計算機中病毒。10.3保護交換機控制臺安全交換機最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在企業(yè)網(wǎng)中占有重要地位。在黑客和病毒侵擾下，交換機要能夠保持高效數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受攻擊干擾，這是交換機最基本安全保障。同時，作為整個網(wǎng)絡的核心，交換機應該能對訪問和存取信息用戶，進行區(qū)分和權限控制，如圖10-6顯示交換網(wǎng)絡中交換機重要性。

交換機的控制臺在默認情況下是沒有口令，如果網(wǎng)絡中有非法者連接到交換機的控制口(Console)，就可以像管理員一樣任意竄改交換機的配置，帶來網(wǎng)絡的安全帶來隱患。從保護網(wǎng)絡安全的角度考慮，所有的交換機控制臺都應當根據(jù)用戶管理權限不同，配置不同特權訪問權限。配置網(wǎng)絡互聯(lián)設備控制臺安全

交換機的控制臺在默認情況下是沒有口令，如果網(wǎng)絡中有非法者連接到交換機的控制口(Console)，就可以像管理員一樣任意竄改交換機的配置，帶來網(wǎng)絡的安全帶來隱患。從保護網(wǎng)絡安全的角度考慮，所有的交換機控制臺都應當根據(jù)用戶管理權限不同，配置不同特權訪問權限。

路由器通常安裝在內(nèi)網(wǎng)和外網(wǎng)的分界處，是網(wǎng)絡的重要連接關口。在和外部網(wǎng)絡的接入方面，由于路由器直接和其它互聯(lián)設備相連的重要網(wǎng)絡設備，控制著其它網(wǎng)絡設備的全部活動，因此具有著比交換機更為重要的安全地位。新安裝的路由器設備控制臺也沒有任何安全措施。默認配置情況下也是沒有口令，在維護網(wǎng)絡整體安全的措施出發(fā)，應當立即為設備配置控制臺和特權級口令。如圖

所示，配置登入路由器控制臺特權密碼。配置路由器設備登錄安全

配置網(wǎng)絡互聯(lián)設備遠程登錄安全第一次配置交換機或者路由器設備，必須通過Comsole口進行配置。在對網(wǎng)絡設備進行了初次配置后，希望以后在出差途中時或在遠程辦公室中，也可以對企業(yè)網(wǎng)中的網(wǎng)絡互聯(lián)設備進行遠程管理，需要在交換機上進行做適當配置，用戶就可以使用Telnet方式，遠程登錄設備，實現(xiàn)網(wǎng)絡互聯(lián)設備的遠程管理和訪問。為了實現(xiàn)遠程登錄，必須為交換機設置一個IP地址才行。在交換機中，這個IP地址接口是一個虛擬接口，稱為VLAN。而交換機在工作時，本身就連接著許多的網(wǎng)線，就給遠程管理提供了條件。通過遠程方式對網(wǎng)絡設備進行配置，不僅僅需要知道網(wǎng)絡設備遠程登錄IP地址，還需要通過配置密碼口令，從而實現(xiàn)對遠程來訪的用戶進行鑒別。

配置網(wǎng)絡互聯(lián)設備遠程登錄安全

10.4保護交換機端口安全1.交換機端口安全交換機端口是連接終端設備重要關口，加強交換機端口安全是提高整個網(wǎng)絡安全的關鍵。默認情況下交換機端口不提供任何安全措施。因此，對交換機端口增加安全功能，可有效保護網(wǎng)絡安全。大部分網(wǎng)絡攻擊都采用欺騙源IP或源MAC地址方法，對網(wǎng)絡核心設備進行連續(xù)攻擊，耗盡網(wǎng)絡核心設備系統(tǒng)資源，如典型ARP攻擊、MAC攻擊、DHCP攻擊等。

10.4保護交換機端口安全這些針對交換機端口攻擊行為，可以啟用交換機端口安全功能。在交換機端口上配置限制訪問MAC地址或IP地址，可以控制該端口上數(shù)據(jù)輸入。如圖10-10顯示交換網(wǎng)絡中網(wǎng)關地址欺騙和攻擊的場景。交換機端口安全功能

利用交換機的端口安全功能，可以防止局域網(wǎng)內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。

交換機端口安全的基本功能1、限制交換機端口的最大連接數(shù)限制端口連接數(shù)，可以控制網(wǎng)絡的惡意擴展和接入例：在學校宿舍網(wǎng)內(nèi)限制端口最大連接數(shù)為1，可以防止學生隨意購買小型交換機或HUB擴展網(wǎng)絡，對網(wǎng)絡造成破壞。2、端口的安全地址綁定端口地址綁定，可以解決局域網(wǎng)中IP地址沖突、ARP欺騙等問題，指定連接網(wǎng)絡的設備例：在學校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學生隨意更改IP地址，造成IP地址沖突，或者學生利用黑客工具，進行ARP地址欺騙。交換機端口安全內(nèi)容

如果一個端口被配置為一個安全端口，當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后;如果該端口收到一個源地址，不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當安全違例產(chǎn)生時，可以選擇多種方式來處理違例：Protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址的包（不是該端口的安全地址中的任何一個）。RestrictTrap：當違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當違例產(chǎn)生時，將關閉端口并發(fā)送一個Trap通知。配置安全端口（1）

配置端口安全最大連接數(shù)

switchportport-security！打開該接口的端口安全功能

switchportport-securitymaximumvalue

！設置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown} ！設置處理違例的方式注：1、端口安全功能只能在access端口上進行配置。

2、當端口因為違例而被關閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復過來。配置安全端口（2）

端口的安全地址綁定

switchportport-security！打開該接口的端口安全功能

switchportport-security[mac-addressmac-address][ip-addressip-address]

！手工配置接口上的安全地址注：1、端口安全功能只能在access端口上進行配置。

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP端口安全配置示例（3）

配置接口gigabitethernet1/3上的端口安全功能，設置最大地址個數(shù)為8，違例方式為protect。Switch#configureterminalSwitch(config)#interfacefa1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end端口安全配置示例（4）

配置接口fastethernet0/3端口安全功能，端口綁定地址，主機MAC為00d0.f800.073c，IP為192.168.12.202Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Switch(config-if)#end驗證命令（5）

查看接口的安全統(tǒng)計信息，最大安全地址數(shù)，當前安全地址數(shù)，違例處理方式等。Switch#showport-security

SecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction

---------------------------------------------------------------Gi1/381Protect驗證命令（6）

查看安全地址信息。Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------

100d0.f800.073c192.168.12.202ConfiguredFa0/381交換機端口安全概述交換機的端口安全機制是工作在交換機二層端口上的一個安全特性只允許特定MAC地址的設備接入到網(wǎng)絡中，從而防止用戶將非法或未授權的設備接入網(wǎng)絡。限制端口接入的設備數(shù)量，防止用戶將過多的設備接入到網(wǎng)絡中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。10.5交換機端口保護在一個局域網(wǎng)內(nèi)，有些區(qū)域需要保護，有些區(qū)域需要隔離。要求實現(xiàn)交換機端口之間不能通信，通過端口保護(protected)技術來實現(xiàn)。交換機的端口設為端口保護后，保護口之間無法通信，保護口與非保護口之間可以通信。如圖10-13所示交換機上實施端口保護場景。10.5交換機端口保護如圖10-13所示交換機上實施端口保護場景。Switch(config)#interfacerangefa0/1-24！開啟交換機f0/1到f0/24口Switch(config-if-range)#Switchitchportprotected！開啟端口保護在交換機上開啟端口保護后，交換機保護端口之間無法通信，但保護端口與非保護端口之間可以互訪。10.6交換機鏡像安全交換機的鏡像（PortMirroring）安全技術將交換機某個端口數(shù)據(jù)流量，拷貝到另一端口(鏡像端口)，實施監(jiān)測。從而可以診斷交換機故障，稱之為“mirroring”或“Spanning”，缺省情況下，交換機上這種功能被屏蔽。通過配置交換機端口鏡像，允許管理人員設置監(jiān)視端口，監(jiān)視被監(jiān)視端口流量。然后，通過安裝網(wǎng)絡分析軟件，對捕獲到數(shù)據(jù)分析，可以實時查看被監(jiān)視端口情況。10.6交換機鏡像安全交換機鏡像端口既可以實現(xiàn)若干個源端口，向一個監(jiān)控端口鏡像數(shù)據(jù)。值得注意的是，源端口和鏡像端口最好位于同一臺交換機上：如把交換機5口上所有數(shù)據(jù)流，均鏡像至監(jiān)控端口10上；端口10作為監(jiān)控端口，能接收所有來自5口數(shù)據(jù)流。如圖10-15所示在交換機上實施鏡像流量，實現(xiàn)數(shù)據(jù)流復制通信功能。10.6交換機鏡像安全鏡像端口并不影響源端口上數(shù)據(jù)交換，只是將源端口發(fā)送或接收數(shù)據(jù)副本，發(fā)送到監(jiān)控端口。在交換機上配置交換機的端口鏡像如下：Mo