《最新cisco交换机端口安全(共15张PPT课件).pptx》由会员分享,可在线阅读,更多相关《最新cisco交换机端口安全(共15张PPT课件).pptx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、交换机端口安全(nqun)第一页,共十五页。案例分析防范方法案例一案例分析防范方法案例二第二页,共十五页。案例一第三页,共十五页。交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表CAM表根本原因CAM表的大小是固定的攻击者利用工具产生大量的MAC,快速填满交换机的CAM表,交换机就像HUB一样工作,非法攻击者可以(ky)利用监听工具监听所有端口的流量案例(n l)分析MAC攻击第四页,共十五页。 配置端口安全功能 静态设置每个端口所允许连接的合法MAC地址,实现(shxin)设备级的安全授权通过配置port security可以控制端口上最大可以通过的MAC地址数量,对于
2、超过规定数量的MAC处理进行违背处理防范防范(fngfn)(fngfn)方法方法第五页,共十五页。设置端口安全(nqun)功能switchport port-security设置端口允许合法MAC地址的数目switchport port-security maximum 防范防范(fngfn)(fngfn)方法方法第六页,共十五页。设置超过(chogu)端口允许的最大MAC地址数后端口行为switchport port-security violation shutdown端口关闭 protect端口不转发数据,不报警 restrict端口不转发数据,报警防范防范(fngfn)(fngfn)方
3、法方法第七页,共十五页。静态设置每个端口所允许(ynx)连接的合法MAC地址,实现设备级的安全授权switchport port-security mac-address防范防范(fngfn)(fngfn)方法方法第八页,共十五页。示例示例(shl)一一#Clear mac-address-table dynamic# interface fa 0/4# switchport mode access# switchport port-security#switchport port-security maximum 3# switchport port-security violation s
4、hutdown# switchport port-security mac-address sticky第九页,共十五页。案例二:案例二: IP地址地址(dzh)欺骗欺骗n常见的欺骗攻击种类有MAC欺骗、IP欺骗、IP/MAC欺骗,伪造(wizo)身份n病毒和木马的攻击也会使用欺骗的源IP地址,掩盖真实的源主机第十页,共十五页。设置 “端口+MAC+IP”绑定设置MAC地址访问控制列表(li bio)设置IP地址访问控制列表最后把两种ACL应用到端口防范防范(fngfn)(fngfn)方法方法第十一页,共十五页。设置MAC地址访问控制列表(li bio)mac access-list exte
5、nded 绑定规则 deny | permit any | source MACaddress | source MAC mask any |destination MAC address | destination MAC address mask type mask | lsap lsap mask | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps |
6、netbios | vines-echo |vines-ip | xns-idp | 0-65535cos cos防范防范(fngfn)(fngfn)方法方法第十二页,共十五页。设置IP 地址访问控制列表ip access-list extended 设置规则(guz)permit/deny protocol eq 应用到端口mac access-group in/outip access-group in/out防范防范(fngfn)(fngfn)方法方法第十三页,共十五页。谢谢(xi xie)观赏第十四页,共十五页。内容(nirng)总结交换机端口安全。静态设置(shzh)每个端口所允许连接的合法MAC地址,实现设备级的安全授权。设置(shzh)超过端口允许的最大MAC地址数后端口行为。protect端口不转发数据,不报警。restrict端口不转发数据,报警。# switchport port-security。常见的欺骗攻击种类有MAC欺骗、IP欺骗、IP/MAC欺骗,伪造身份。谢谢观赏第十五页,共十五页。