10-园区网安全.ppt

配置扩展ACL示例 验证ACL配置 显示所有协议的所有ACL 查看接口应用的ACL情况 Router# show access-lists Router# show ip access-group 总结 园区网的安全隐患有很多种，有非人为的，也有非人为的，也有来自园区网外部和内部人员的恶意攻击和破坏。， 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。 访问控制列表包括标准的访问控制列表和扩展的访问控制列表。 * * 　　通过本章的学习，您将系统的了解有关路由的一些原理及配置，包括： 路由基础：熟悉路由的概念及分类． 　　　　　路由的各种术语及参数 OSPF路由协议：了解OSPF路由协议的运行原理，OSPF工作流程及配置 BGP路由协议：了解BGP在网络中的应用，原理及配置 单臂路由在企业当中的应用 * * * * * 园区网安全 RCNA_10 学习目标 通过本章的学习，希望您能够： 了解园区网安全隐患 掌握交换机端口安全原理及配置方法 掌握ACL的工作原理及配置方法 本章内容 园区网安全隐患 园区网的常见安全隐患 园区网安全解决方案的整体思路 交换机端口安全 交换机端口安全概述 端口安全的配置 访问控制列表 访问控制列表概述 ACL的种类 配置ACL 课程议题 园区网安全隐患 园区网的常见安全隐患 网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。 园区网络安全隐患包括的范围比较广，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。 园区网安全解决方案的整体思路 制定一个严格的安全策略 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。 宣传教育 课程议题 交换机端口安全 交换机端口安全概述 交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。 限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 配置端口安全存在以下限制： 一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。 一个安全端口不能是一个聚合端口（Aggregate Port）。 一个安全端口不能是SPAN的目的端口。 交换机端口安全概述 当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式： protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMP Trap报文 shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMP Trap报文，而且将端口关闭。 端口安全的配置 打开该接口的端口安全功能 设置接口上安全地址的最大个数 配置处理违例的方式 Switch(conifg-if)# switchport port-security Switch(conifg-if)# switchport port-security maximum number Switch(conifg-if)# switchport port-security violation { protect | restrict | shutdown } 配置安全端口上的安全地址 配置安全端口上的安全地址 当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态： 设置端口从“err-disabled”状态自动恢复所等待的时间 Switch(conifg-if)# switchport port-security [mac-address mac-address [ip-address ip-address] Switch(conifg)# errdisable recovery Switch(conifg)# errdisable recovery interval time 配置安全地址的老化时间 关闭一个接口的安全地址老化功能（老化时间为0） 使老化时间