最新cisco交换机端口安全(共15张PPT课件).pptx

交换机端口安全(nqun)第一页，共十五页。案例分析防范方法案例一案例分析防范方法案例二第二页，共十五页。案例一第三页，共十五页。交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表CAM表根本原因CAM表的大小是固定的攻击者利用工具产生大量的MAC,快速填满交换机的CAM表，交换机就像HUB一样工作，非法攻击者可以(ky)利用监听工具监听所有端口的流量案例(n l)分析MAC攻击第四页，共十五页。 配置端口安全功能 静态设置每个端口所允许连接的合法MAC地址，实现(shxin)设备级的安全授权通过配置port security可以控制端口上最大可以通过的MAC地址数量，对于超过规定数量的MAC处理进行违背处理防范防范(fngfn)(fngfn)方法方法第五页，共十五页。设置端口安全(nqun)功能switchport port-security设置端口允许合法MAC地址的数目switchport port-security maximum 防范防范(fngfn)(fngfn)方法方法第六页，共十五页。设置超过(chogu)端口允许的最大MAC地址数后端口行为switchport port-security violation shutdown端口关闭 protect端口不转发数据，不报警 restrict端口不转发数据，报警防范防范(fngfn)(fngfn)方法方法第七页，共十五页。静态设置每个端口所允许(ynx)连接的合法MAC地址，实现设备级的安全授权switchport port-security mac-address防范防范(fngfn)(fngfn)方法方法第八页，共十五页。示例示例(shl)一一#Clear mac-address-table dynamic# interface fa 0/4# switchport mode access# switchport port-security#switchport port-security maximum 3# switchport port-security violation shutdown# switchport port-security mac-address sticky第九页，共十五页。案例二：案例二： IP地址地址(dzh)欺骗欺骗n常见的欺骗攻击种类有MAC欺骗、IP欺骗、IP/MAC欺骗，伪造(wizo)身份n病毒和木马的攻击也会使用欺骗的源IP地址，掩盖真实的源主机第十页，共十五页。设置 “端口+MAC+IP”绑定设置MAC地址访问控制列表(li bio)设置IP地址访问控制列表最后把两种ACL应用到端口防范防范(fngfn)(fngfn)方法方法第十一页，共十五页。设置MAC地址访问控制列表(li bio)mac access-list extended 绑定规则 deny | permit any | source MACaddress | source MAC mask any |destination MAC address | destination MAC address mask type mask | lsap lsap mask | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535cos cos防范防范(fngfn)(fngfn)方法方法第十二页，共十五页。设置IP 地址访问控制列表ip access-list extended 设置规则(guz)permit/deny protocol eq 应用到端口mac access-group in/outip access-group in/out防范防范(fngfn)(fngfn)方法方法第十三页，共十五页。谢谢(xi xie)观赏第十四页，共十五页。内容(nirng)总结交换机端口安全。静态设置(shzh)每个端口所允许连接的合法MAC地址，实现设备级的安全授权。设置(shzh)超过端口允许的最大MAC地址数后端口行为。protect端口不转发数据，不报警。restrict端口不转发数据，报警。# switchport port-security。常见的欺骗攻击种类有MAC欺骗、IP欺骗、IP/MAC欺骗，伪造身份。谢谢观赏第十五页，共十五页。