多层交换网络安全技术.ppt

《多层交换网络安全技术.ppt》由会员分享，可在线阅读，更多相关《多层交换网络安全技术.ppt（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十章多层交换网络安全技术大纲安全隐患的存在安全技术综述利用多层交换机加强局域网安全设置MAC地址端口验证防止DOS（DenialofService）攻击ACL列表MAC攻击攻击者生成大量数据包，数据包的源MAC地址都不相同，会充满交换机的MAC地址表空间真正的数据流到达交换机时被广播出去导致交换机的查表速度下降生成树攻击用一台PC机模拟生成树协议，不断发布BPDU包会导致一定范围内的生成树拓扑结构定期地发生变化由于生成树不稳定，会导致整个网络不断发生动荡蠕虫病毒攻击网络设备冲击形式主要有两种堵塞带宽，导致服务不可用占用CPU资源，导致宕机蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采

2、用流转发模式的网络设备是致命的Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源安全技术综述流量控制技术访问控制列表(ACL)技术交换机与IDS联动多层交换机局域网安全设置MAC地址端口验证在多层交换机的一个端口上配置有限数量的“安全”MAC地址，这样交换机只转发源地址与安全MAC地址匹配的包防范Smurf攻击防止成为Smurf攻击的中间媒介（Intermediary）DCRS-7500（config）#noipdirected-broadcast避免成为Smurf攻击的

3、被攻击者DCRS-7500（config）#ipicmpburst-normal5000burst-max10000lockup300防范TCPSYN攻击DCRS-7500（config）#iptcpburst-normal10burst-max100lockup300ACL列表标准标准IP访问表访问表access-listlistnumberpermit|denyhost/anysourceaddresswildcard-masklog扩展的扩展的IP访问控制列表访问控制列表Access-listlistnumberpermit/denyprotocolsourceaddresssource

4、-wildcardsourceportdestinationaddressdestination-wildcarddestinationportlogoption注意点需要注意的是：列表的顺序是相当重要的注意列表的相互影响默认每个列表后都由一个“denyall”将访问控制列表应用到接口上指明在接口上是OUT还是IN方向DCRS-5526S/DCRS-7604在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配全局默认动作只对端口入口方向的IP包有效。对入口的非IP数据包以及出口的所有数据包，其默认转发动作均为允许通过(permit)只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作当一条access-list被绑定到一个端口的出方向时，其规则（rule）的动作只能为拒绝通过（deny）。