html5-img
1 / 21

网络安全

网络安全. 主要内容. 3. 3. 交换机端口安全设置. 1. 3. 防火墙技术. 2. VPN 技术. 网络安全概述. 设置 DMZ 区. 对内网的安全保护. 有效地防范病毒. VPN 的部署. 交换机端口安全概述. 常用的攻击. MAC 攻击和 ARP 攻击. 限制交换机端口最大链接数 端口安全地址绑定. 端口安全功能. 安全违例的处理方式. protect restrict shutdown. 配置端口的限制. 不能是一个 aggregate port 不能是 SPAN 的目的端口. 端口安全的配置实例. 交换机端口配置实例.

enrico
Télécharger la présentation

网络安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全

  2. 主要内容 3 3 交换机端口安全设置 1 3 防火墙技术 2 VPN技术

  3. 网络安全概述 设置DMZ区 对内网的安全保护 有效地防范病毒 VPN的部署

  4. 交换机端口安全概述 常用的攻击 MAC攻击和ARP攻击 限制交换机端口最大链接数 端口安全地址绑定 端口安全功能 安全违例的处理方式 protect restrict shutdown 配置端口的限制 不能是一个aggregate port 不能是SPAN的目的端口

  5. 端口安全的配置实例

  6. 交换机端口配置实例 1)交换机的端口安全配置 /*先关闭交换机此端口 S1(config)# int f0/1 S1(config-if)# shut %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down /* f0/1端口安全配置,0060.2FD3.7401是所连路由器f0/0的接口地址 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security max 1 S1(config-if)# switchport port-security violation shutdown S1(config-if)# switchport port-security mac-address 0060.2FD3.7401 /*再开启此端口 S1(config-if)# no shut %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to down /*配置管理VLAN S1(config)# int vlan 1 S1(config-if)# ip addr 192.168.1.11 255.255.255.0 S1(config-if)# no shut

  7. 交换机端口配置实例 2)路由器的配置 R1(config)# int f0/0 R1(config-if)# ip addr 192.168.1.1 255.255.255.0 R1(config-if)# no shut 3)在路由器上模拟对交换机端口的非法接入 在路由器上修改接口f0/0的MAC地址为另一个地址:18.18.18,模拟另一台设备接入到交换机的f0/1口 R1(config)#int f0/0 R1outer(config-if)#mac-address 18.18.18 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down 结果,在交换机上出现: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down 表明其f0/1口接口已关闭。 4)在交换机上验证违例处理情况 S1#show mac-address-table

  8. 防火墙主要技术 包过滤技术 应用代理技术 网络地主转换(NAT)

  9. 锐捷防火墙的配置 安装USB电子钥匙 认证管理员身份 配置网络接口 定义对象 制定安全策略

  10. 防火墙配置实例

  11. 防火墙配置实例 interface Ethernet0 nameif inside /* 定义接口Ethernet0的名称为inside,内网接口 security-level 100 /* 定义安全等级为100 ip address 192.168.10.254 255.255.255.0 /*定义接口地址 interface Ethernet1 nameif outside /* 定义接口Ethernet1的名称为outside,外网接口 security-level 0 /* 定义安全等级为0 ip address 10.0.0.1 255.255.255.0 /* 定义接口地址 interface Ethernet2 nameif DMZ /* 定义接口Ethernet2的名称为dmz,DMZ区的接口 security-level 50 /* 定义安全等级为50 ip address 192.168.20.254 255.255.255.0 /* 定义接口地址

  12. 防火墙配置实例 access-list out extended permit tcp any host 10.0.0.1 eq www /* 定义内网、外网都能对10.0.0.1进行WWW访问 access-list no-nat extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 /*定义内网对DMZ区的访问总是允许 global (outside) 1 interface /* 配置NAT方式为PAT nat (inside) 0 access-list no-nat /*对于192.168.10.0到192.168.20.0的所有流量不起启用NAT nat (inside) 1 0.0.0.0 0.0.0.0 /*因为内网有两个网段,就写对于其他到外网的访问,全部启用PAT static (DMZ,outside) tcp interface www 192.168.20.100 www netmask 255.255.255.255 /*修改静态NAT, 将发送到防火墙外部接口10.0.0.1 TCP 80端口的数据包发送到192.168.20.100 TCP 80端口 access-group out in interface outside //将ACL out应用到outside接口 route outside 0.0.0.0 0.0.0.0 10.0.0.254 1 //配置防火墙默认出口网关

  13. VPN主要技术 VPN功能与应用 隧道技术 PPTP与L2TP IPSec

  14. Cisco VPN配置实例

  15. Cisco VPN配置步骤 路由器R1(VPN Server) 的配置 1)IKE配置 R1(config)# crypto isakmp policy 1 /*定义IKE策略,优先级为1 R1(isakmp)# hash md5 /*定义MD5散列算法 R1(isakmp)# authentication pre-share /*定义为预共享密钥认证方式 2)配置Keys R1(config)# crypto isakmp key test address 100.100.100.10 /* 配置预共享密钥为test,对等端为所有IP 3)IPSec协议配置 R1(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac /* 创建交换集 rtpset

  16. Cisco VPN配置步骤 4)配置IPSEC加密映射 R1(config)# crypto map rtpmap 10 ipsec-isakmp /*创建保密图rtpmap 10 R1(config-crypto-map)# set peer 100.100.100.10 /*标识对端路由器IP地址 R1(config-crypto-map)# set transform-set rtpset /*指定加密图使用的IPSEC交换集rtpset R1(config-crypto-map)# match address 115 /*后面的访问列表115为受保护(加密)的流量 ! R1(config)# access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 R1(config)# access-list 115 deny ip 10.2.2.0 0.0.0.255 any ! R1(config)# interface Ethernet0 R1(config-if)# ip address 10.2.2.3 255.255.255.0 R1(config-if)# ip nat inside

  17. Cisco VPN配置步骤 5)应用加密图到接口s0 R1(config)# interface Serial0 R1(config-if)# ip address 99.99.99.1 255.255.255.0 R1(config-if)# ip nat outside R1(config-if)#crypto map rtpmap /*将保密映射应用到S0接口上 R1(config)# ip nat inside source route-map nonat interface Serial0 overload /* 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译 /* 到其他网络的访问都翻译成SO接口的IP地址 R1(config)# access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 R1(config)# access-list 120 permit ip 10.2.2.0 0.0.0.255 any R1(config)# route-map nonat permit 10 /*使用路由策略 R1(router-map)# match ip address 120 R1(config)# ip classless R1(config)# ip route 0.0.0.0 0.0.0.0 Serial0 /*配置静态路由协议

  18. Cisco VPN配置步骤 路由器R2 (VPN 客户端) 的配置 1)IKE配置 R2(config)# crypto isakmp policy 1 /*定义策略为1 R2(isakmp)# hash md5 /*定义MD5散列算法 R2(isakmp)# authentication pre-share /*定义为预共享密钥认证方式 2)配置Keys R2(config)# crypto isakmp key test address 99.99.99.1 /* 配置预共享密钥为test,对等端为服务器端IP 99.99.99.1 3) IPSec协议配置 R2(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac /* 创建交换集rtpset

  19. Cisco VPN配置步骤 4)配置IPSEC加密映射 R2(config)# crypto map rtp 1 ipsec-isakmp /* 使用IKE创建保密图rtp 1 R2(config-crypto-map)# set peer 99.99.99.1 /*确定远程对等端 R2(config-crypto-map)# set transform-set rtpset /*使用上面的定义的变换集rtpset R2(config-crypto-map)# match address 115 /*援引访问列表确定受保护的流量 R2(config)# access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 R2(config)# access-list 115 deny ip 10.1.1.0 0.0.0.255 any R2(config)# interface Ethernet0 R2(config-if)# ip address 10.1.1.1 255.255.255.0 R2(config-if)# ip nat inside

  20. Cisco VPN配置步骤 R2(config)#interface Serial0 R2(config-if)# ip address 100.100.100.10 255.255.255.0 R2(config-if)# ip nat outside R2(config-if)# encapsulation ppp /*S0接口封装ppp协议 R2(config-if)# crypto map rtp /*将保密映射应用到S0接口上 R2(config)# ip nat inside source route-map nonat interface Serial0 overload /* 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译 /* 到其他网络的访问都翻译成SO接口的IP地址 R2(config)# dialer-list 1 protocol ip permit R2(config)# dialer-list 1 protocol ipx permit R2(config)# route-map nonat permit 10 /*使用路由策略 R2(config)# match ip address 120 R2(config)# access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 R2(config)# access-list 120 permit ip 10.1.1.0 0.0.0.255 any ip classless R2(config)#ip route 0.0.0.0 0.0.0.0 Serial0 /*配置静态路由协议

  21. Thank You !

More Related