网络安全
This presentation is the property of its rightful owner.
Sponsored Links
1 / 21

网络安全 PowerPoint PPT Presentation


  • 126 Views
  • Uploaded on
  • Presentation posted in: General

网络安全. 主要内容. 3. 3. 交换机端口安全设置. 1. 3. 防火墙技术. 2. VPN 技术. 网络安全概述. 设置 DMZ 区. 对内网的安全保护. 有效地防范病毒. VPN 的部署. 交换机端口安全概述. 常用的攻击. MAC 攻击和 ARP 攻击. 限制交换机端口最大链接数 端口安全地址绑定. 端口安全功能. 安全违例的处理方式. protect restrict shutdown. 配置端口的限制. 不能是一个 aggregate port 不能是 SPAN 的目的端口. 端口安全的配置实例. 交换机端口配置实例.

Download Presentation

网络安全

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5537833

网络安全


5537833

主要内容

3

3

交换机端口安全设置

1

3

防火墙技术

2

VPN技术


5537833

网络安全概述

设置DMZ区

对内网的安全保护

有效地防范病毒

VPN的部署


5537833

交换机端口安全概述

常用的攻击

MAC攻击和ARP攻击

限制交换机端口最大链接数

端口安全地址绑定

端口安全功能

安全违例的处理方式

protect restrict shutdown

配置端口的限制

不能是一个aggregate port

不能是SPAN的目的端口


5537833

端口安全的配置实例


5537833

交换机端口配置实例

1)交换机的端口安全配置

/*先关闭交换机此端口

S1(config)# int f0/1

S1(config-if)# shut

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

/* f0/1端口安全配置,0060.2FD3.7401是所连路由器f0/0的接口地址

S1(config-if)# switchport mode access

S1(config-if)# switchport port-security

S1(config-if)# switchport port-security max 1

S1(config-if)# switchport port-security violation shutdown

S1(config-if)# switchport port-security mac-address 0060.2FD3.7401

/*再开启此端口

S1(config-if)# no shut

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to down

/*配置管理VLAN

S1(config)# int vlan 1

S1(config-if)# ip addr 192.168.1.11 255.255.255.0

S1(config-if)# no shut


5537833

交换机端口配置实例

2)路由器的配置

R1(config)# int f0/0

R1(config-if)# ip addr 192.168.1.1 255.255.255.0

R1(config-if)# no shut

3)在路由器上模拟对交换机端口的非法接入

在路由器上修改接口f0/0的MAC地址为另一个地址:18.18.18,模拟另一台设备接入到交换机的f0/1口

R1(config)#int f0/0

R1outer(config-if)#mac-address 18.18.18

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down

结果,在交换机上出现:

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down

表明其f0/1口接口已关闭。

4)在交换机上验证违例处理情况

S1#show mac-address-table


5537833

防火墙主要技术

包过滤技术

应用代理技术

网络地主转换(NAT)


5537833

锐捷防火墙的配置

安装USB电子钥匙

认证管理员身份

配置网络接口

定义对象

制定安全策略


5537833

防火墙配置实例


5537833

防火墙配置实例

interface Ethernet0

nameif inside /* 定义接口Ethernet0的名称为inside,内网接口

security-level 100 /* 定义安全等级为100

ip address 192.168.10.254 255.255.255.0 /*定义接口地址

interface Ethernet1

nameif outside /* 定义接口Ethernet1的名称为outside,外网接口

security-level 0 /* 定义安全等级为0

ip address 10.0.0.1 255.255.255.0 /* 定义接口地址

interface Ethernet2

nameif DMZ /* 定义接口Ethernet2的名称为dmz,DMZ区的接口

security-level 50 /* 定义安全等级为50

ip address 192.168.20.254 255.255.255.0 /* 定义接口地址


5537833

防火墙配置实例

access-list out extended permit tcp any host 10.0.0.1 eq www

/* 定义内网、外网都能对10.0.0.1进行WWW访问

access-list no-nat extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

/*定义内网对DMZ区的访问总是允许

global (outside) 1 interface

/* 配置NAT方式为PAT

nat (inside) 0 access-list no-nat

/*对于192.168.10.0到192.168.20.0的所有流量不起启用NAT

nat (inside) 1 0.0.0.0 0.0.0.0

/*因为内网有两个网段,就写对于其他到外网的访问,全部启用PAT

static (DMZ,outside) tcp interface www 192.168.20.100 www netmask 255.255.255.255 /*修改静态NAT, 将发送到防火墙外部接口10.0.0.1 TCP 80端口的数据包发送到192.168.20.100 TCP 80端口

access-group out in interface outside//将ACL out应用到outside接口

route outside 0.0.0.0 0.0.0.0 10.0.0.254 1 //配置防火墙默认出口网关


5537833

VPN主要技术

VPN功能与应用

隧道技术

PPTP与L2TP

IPSec


Cisco vpn

Cisco VPN配置实例


Cisco vpn1

Cisco VPN配置步骤

路由器R1(VPN Server) 的配置

1)IKE配置

R1(config)# crypto isakmp policy 1 /*定义IKE策略,优先级为1

R1(isakmp)# hash md5 /*定义MD5散列算法

R1(isakmp)# authentication pre-share /*定义为预共享密钥认证方式

2)配置Keys

R1(config)# crypto isakmp key test address 100.100.100.10

/* 配置预共享密钥为test,对等端为所有IP

3)IPSec协议配置

R1(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac

/* 创建交换集 rtpset


Cisco vpn2

Cisco VPN配置步骤

4)配置IPSEC加密映射

R1(config)# crypto map rtpmap 10 ipsec-isakmp /*创建保密图rtpmap 10

R1(config-crypto-map)# set peer 100.100.100.10 /*标识对端路由器IP地址

R1(config-crypto-map)# set transform-set rtpset /*指定加密图使用的IPSEC交换集rtpset

R1(config-crypto-map)# match address 115 /*后面的访问列表115为受保护(加密)的流量

!

R1(config)# access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

R1(config)# access-list 115 deny ip 10.2.2.0 0.0.0.255 any

!

R1(config)# interface Ethernet0

R1(config-if)# ip address 10.2.2.3 255.255.255.0

R1(config-if)# ip nat inside


Cisco vpn3

Cisco VPN配置步骤

5)应用加密图到接口s0

R1(config)# interface Serial0

R1(config-if)# ip address 99.99.99.1 255.255.255.0

R1(config-if)# ip nat outside

R1(config-if)#crypto map rtpmap /*将保密映射应用到S0接口上

R1(config)# ip nat inside source route-map nonat interface Serial0 overload

/* 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译

/* 到其他网络的访问都翻译成SO接口的IP地址

R1(config)# access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

R1(config)# access-list 120 permit ip 10.2.2.0 0.0.0.255 any

R1(config)# route-map nonat permit 10 /*使用路由策略

R1(router-map)# match ip address 120

R1(config)# ip classless

R1(config)# ip route 0.0.0.0 0.0.0.0 Serial0 /*配置静态路由协议


Cisco vpn4

Cisco VPN配置步骤

路由器R2 (VPN 客户端) 的配置

1)IKE配置

R2(config)# crypto isakmp policy 1 /*定义策略为1

R2(isakmp)# hash md5 /*定义MD5散列算法

R2(isakmp)# authentication pre-share /*定义为预共享密钥认证方式

2)配置Keys

R2(config)# crypto isakmp key test address 99.99.99.1

/* 配置预共享密钥为test,对等端为服务器端IP 99.99.99.1

3) IPSec协议配置

R2(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac

/* 创建交换集rtpset


Cisco vpn5

Cisco VPN配置步骤

4)配置IPSEC加密映射

R2(config)# crypto map rtp 1 ipsec-isakmp

/* 使用IKE创建保密图rtp 1

R2(config-crypto-map)# set peer 99.99.99.1 /*确定远程对等端

R2(config-crypto-map)# set transform-set rtpset /*使用上面的定义的变换集rtpset

R2(config-crypto-map)# match address 115 /*援引访问列表确定受保护的流量

R2(config)# access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

R2(config)# access-list 115 deny ip 10.1.1.0 0.0.0.255 any

R2(config)# interface Ethernet0

R2(config-if)# ip address 10.1.1.1 255.255.255.0

R2(config-if)# ip nat inside


Cisco vpn6

Cisco VPN配置步骤

R2(config)#interface Serial0

R2(config-if)# ip address 100.100.100.10 255.255.255.0

R2(config-if)# ip nat outside

R2(config-if)# encapsulation ppp /*S0接口封装ppp协议

R2(config-if)# crypto map rtp /*将保密映射应用到S0接口上

R2(config)# ip nat inside source route-map nonat interface Serial0 overload

/* 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译

/* 到其他网络的访问都翻译成SO接口的IP地址

R2(config)# dialer-list 1 protocol ip permit

R2(config)# dialer-list 1 protocol ipx permit

R2(config)# route-map nonat permit 10 /*使用路由策略

R2(config)# match ip address 120

R2(config)# access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

R2(config)# access-list 120 permit ip 10.1.1.0 0.0.0.255 any

ip classless

R2(config)#ip route 0.0.0.0 0.0.0.0 Serial0 /*配置静态路由协议


5537833

Thank You !


  • Login