模块6保护网络设备安全1.ppt
《模块6保护网络设备安全1.ppt》由会员分享,可在线阅读,更多相关《模块6保护网络设备安全1.ppt(21页珍藏版)》请在冰豆网上搜索。
网络安全技术项目项目项目项目66保护网络设备安全保护网络设备安全保护网络设备安全保护网络设备安全
(1)
(1)项目背景丰乐公司是家电子商务公司,公司网络核心使用一台三层路由设备,连接几个办公区域子网:
一方面实现公司办公网互联互通,另一方面把公司办公网接入Internet网。
为了防止公司内部销售数据安全,需要实施内网安全防范措施。
为防范内部销售数据泄密,避免每一名销售员工业务数据被其他人共享,禁止销售部所有计算机之间互访,但都可以和一台安装有销售数据库计算机通信,可以正常接入Internet网,以保护销售部终端设备的安全,避免信息泄密安全,隐患发生。
任务一:
保障交换机控制台安全任务一:
保障交换机控制台安全任务二:
保护交换机端口安全任务二:
保护交换机端口安全任务三:
监控交换机端口通信流量任务三:
监控交换机端口通信流量任务四:
实施办公网络安全访问控制任务四:
实施办公网络安全访问控制项目组成项目分解任务一:
保障交换机控制台安全任务一:
保障交换机控制台安全任务描述张明是丰乐公司电子商务公司的网络管理员,承担公司办公网络的维护和管理工作,避免办公网中所有网络设备故障发生,优化办公网的传输效率。
张明上班后,发现网络中心管理的网络设备离办公地点很远,就决定给网络中心的设备配置远程登录功能,这样在办公室中就可以远程管理办公网中设备。
通过对本任务的学习、实施,学会配置交换机的登录密码,保护交换机设备安全。
任务分析网络管理人员如果需要配置、管理办公网中的交换机或路由器设备,可以使用计算机,通过专用的配置线缆,连接网络设备Console口,在本地进行配置。
但如果在出差途中时或在远程办公室中,也需要对办公网中设备进行管理和维护,就需要在网络设备上开启远程登录功能。
这样网络管理员就可以使用Telnet方式,远程登录设备,实现网络互联设备的远程管理和访问。
知识准备6.1.1配置交配置交换机控制台登机控制台登陆密密码安装在网络中的交换机设备,在默认情况下是没有口令密码保护。
如果网络中有用户非法连接到交换机控制口(Console),就可以像网络管理员一样,任意修改交换机的配置信息,从而给办公网带来安全隐患。
从保护网络安全的角度考虑,所有安装在办公网中的交换机,都应当根据管理需要,配置登录保护密码,避免网络安全隐患事件发生。
知识准备6.1.1配置交配置交换机控制台登机控制台登陆密密码知识准备6.1.2配置交配置交换机机远程登程登陆密密码远程登录(Telnet)是指一台网络中的计算机根据TCP/IP协议,通过传输线路远程登陆到网络中到另外一台计算机上去,远程控制计算机操作,实行交互性的信息资源共享。
配置网配置网络设备的的远程登程登录功能功能知识准备6.1.2配置交配置交换机机远程登程登陆密密码配置网配置网络设备的的远程登程登录功能功能任务实施【实施过程实施过程】步步骤一、一、组建网建网络场景景如图6-1-7所示场景,为张明办公地点和远程交换机设备连接场景,需要登录交换机设备配置交换机远程登录功能。
按照拓扑结构连接办公中的网络设备,注意接口连接的标识。
任务实施步步骤二、配置交二、配置交换机的机的远程登程登录功能功能1)、配置交换机的管理地址信息Switch#configureterminalSwitch(config)#interfacevlan1Switch(config-if)#ipaddress192.168.1.1255.255.255.0Switch(config-if)#noshutdown2)、配置交换机的远程登录密码Switch(config)#enablesecretlevel10Ruijie3)、配置交换机设备的管理密码Switch(config)#enablesecretlevel150Ruijie4)、配置交换机的远程登录线程密码Switch(config)#linevty04Switch(config-line)#passwordRuijieSwitch(config-line)#login项目分解任务任务22:
保护交换机端口安全:
保护交换机端口安全任务描述为了防止公司内部用户IP地址冲突,防止内部员工随意修改办公网IP地址,接入外来主机。
从网络安全管理角度出发,张明为每一位员工分配固定的IP地址,并且限制只允许公司允许的计算机才可以接入公司内部网络,不得随意连接其他主机。
如为某位员工办公计算机分配的IP地址是172.16.1.5/24,对应其机器MAC地址是0090.210E.55A0。
张明从公司内部网络管理的安全性考虑,捆绑该员工办公用计算机IP地址以及MAC地址,到接入交换机的对应的端口上,保护公司内部网络的安全。
任务分析默认情况下,交换机所有端口都是完全开放,不提供任何安全检查措施,允许所有数据流通过。
因此为保护网络内用户安全,对交换机的端口增加安全访问功能,可以有效保护网络安全。
捆绑计算机IP地址及MAC地址到交换机端口上,需要实施交接端口安全,只允许特定MAC地址设备接入到网络中,防止非法或未授权设备接入网络。
知识准备6.2.1什么是交什么是交换机端口安全机端口安全大部分网络攻击行为都采用欺骗源IP或源MAC地址方法,对网络核心设备进行连续数据包的攻击,从而耗尽网络核心设备系统资源,如典型的ARP攻击、MAC攻击、DHCP攻击等。
这些针对交换机端口产生的攻击行为,可以启用交换机的端口安全功能来防范。
配置端口安全地址配置端口安全地址在交换机某个端口配置限制访问MAC地址以及IP(可选),可以控制该端口上数据安全输入。
当交换机端口配置端口安全功能后,设置包含有某些源地址数据是合法,除了源地址为安全地址的数据包外,这个端口将不转发其他任何包,如图6-2-1所示。
知识准备6.2.2配置端口最大配置端口最大连接数接数常见交换机端口安全是根据交换机端口连接设备MAC地址,实施对网络流量的控制和管理:
如限制端口上MAC地址最多连接数,限制终端用户非法使用集线器设备,随意扩展接入内部网络的连接数量,造成网络中流量的不可控制,增大网络的负载。
要使交换机端口成为一个安全端口,需要在端口模式下,启用端口安全特性:
switchportport-security启用端口安全特性后,使用如下命令为端口配置允许最多安全地址数:
switchportport-securitymaximumnumber默认情况下,端口的最多安全地址个数为128个。
知识准备6.2.3配置端口安全地址配置端口安全地址当需要手工指定静态安全地址时,使用如下命令配置:
switchportport-securitymac-addressmac-address默认情况下,手工配置安全地址将永久存在安全地址表中。
预先知道接入设备的MAC地址,可以手工配置安全地址,以防非法或未授权的设备接入到网络中。
当主机的MAC地址与交换机连接端口绑定后,交换机发现主机MAC地址与交换机上配置MAC地址不同时,交换机相应的端口将执行违例措施:
如连接端口Down掉。
在交换机上配置端口安全地址的绑定操作,通过以下命令和步骤手工配置。
Switchportport-securitymac-addressmac-addressip-addressip-address!
手工配置接口上的安全地址。
Switch(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1!
配置端口的安全MAC地址。
Switchportport-securitymaximum1!
限制端口允许通过MAC地址数为1。
任务实施如图6-2-5所示的网络拓扑,是丰乐公司办公网络场景。
为了防止公司内部员工的IP地址冲突,避免网络安全事时间发生,实施接入计算机IP地址、MAC地址和交换机端口绑定安全,保护公司内部网络接入安全。
任务实施工作工作过程:
程:
步步骤1:
安装网:
安装网络工作工作环境境步步骤2:
IP地址地址规划划步步骤3:
测试网网络连通性通性步步骤4:
配置交:
配置交换机端口安全机端口安全步步骤5:
查看看验证网络安全技术
升级会员 