4.2 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全_第1頁(yè)
4.2 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全_第2頁(yè)
4.2 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全_第3頁(yè)
4.2 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全_第4頁(yè)
4.2 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計(jì)單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計(jì)單元5網(wǎng)絡(luò)工程的實(shí)施與測(cè)試驗(yàn)收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)單元6網(wǎng)絡(luò)系統(tǒng)安全管理

某公司局域網(wǎng)內(nèi)部采用如圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),假定你是該公司的一名網(wǎng)絡(luò)安全管理員,請(qǐng)你規(guī)劃網(wǎng)絡(luò)安全措施,確保公司局域網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備的安全和網(wǎng)絡(luò)訪問(wèn)安?全。

任務(wù)場(chǎng)景

探究安全訪問(wèn)網(wǎng)絡(luò)設(shè)備的主要技術(shù)措施。

探究增強(qiáng)局域網(wǎng)安全的措?施。

任務(wù)布置

配置健壯的系統(tǒng)密碼(1)配置密碼考慮事項(xiàng)(2)配置安全訪問(wèn)端口密碼4.2.1網(wǎng)絡(luò)設(shè)備安全管理

1.端口安全防護(hù)技術(shù)端口安全特性會(huì)通過(guò)MAC地址表記錄連接到交換機(jī)端口的以太網(wǎng)MAC地址,并只允許某個(gè)MAC地址通過(guò)本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過(guò)此端口時(shí),端口安全特性會(huì)阻止它。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問(wèn)網(wǎng)絡(luò),并增強(qiáng)安全性。端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

1.端口安全防護(hù)技術(shù)某企業(yè)采用如圖?所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),交換機(jī)連接集線器來(lái)擴(kuò)展一個(gè)端口上接入用戶終端的數(shù)量。為了解決這些攻擊帶來(lái)的危害,需要在接入層交換機(jī)上啟用端口安全機(jī)制。4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

1.端口安全防護(hù)技術(shù)(1)將交換機(jī)S1?的Fa0/1-3?端口配置為接入端?口(2)端口安全參數(shù)配置(3)配置安全端口的安全地址(4)配置結(jié)果驗(yàn)?證4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

1.端口安全防護(hù)技術(shù)(1)將交換機(jī)S1?的Fa0/1-3?端口配置為接入端?口(2)端口安全參數(shù)配置(3)配置安全端口的安全地址(4)配置結(jié)果驗(yàn)?證4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

2.DHCPSnooping如圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),Router?模擬一臺(tái)合法的DHCP服務(wù)器,向用戶PC動(dòng)態(tài)分配IP地址。在交換機(jī)Switch?上規(guī)劃了VLAN5,將端口Fa0/1、Fa0/2?和Fa0/3?劃分至VLAN5?中。網(wǎng)絡(luò)中模擬了一臺(tái)攻擊服務(wù)器接入Switch?的Fa0/3,將造成合法用戶主機(jī)獲取錯(cuò)誤的IP地?址。4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

2.DHCPSnooping(1)網(wǎng)絡(luò)基本配置(2)DHCP服務(wù)配置(3)驗(yàn)證用戶PC獲取的IP地址(4)配置DHCPSnooping

(5)配置結(jié)果驗(yàn)證4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

2.DHCPSnooping(1)網(wǎng)絡(luò)基本配置(2)DHCP服務(wù)配置(3)驗(yàn)證用戶PC獲取的IP地址(4)配置DHCPSnooping

(5)配置結(jié)果驗(yàn)證4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

3.使用?802.1X實(shí)現(xiàn)安全訪問(wèn)控制如圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),接入層交換機(jī)SW支持?802.1X,RADIUSServer?實(shí)現(xiàn)用戶的集中管理,管理員不必考慮用戶連接到哪個(gè)端口上,因此將與RADIUS服務(wù)器相連的接口配置為非受控端口,以便SW能正常地與RADIUS服務(wù)器進(jìn)行通信,使驗(yàn)證用戶能通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)資源;將與用戶PC相連的端口配置為受控端口,實(shí)現(xiàn)對(duì)用戶的控制,用戶必須通過(guò)驗(yàn)證后才能訪問(wèn)網(wǎng)絡(luò)資?源。4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

3.使用?802.1X實(shí)現(xiàn)安全訪問(wèn)控制(1)配置接口IP地址和主機(jī)IP地址(2)升級(jí)交換機(jī)IOS(3)配置RADIUS服務(wù)器(4)在交換機(jī)上配置?802.1X

(5)驗(yàn)證配置結(jié)果4.2.2內(nèi)部網(wǎng)絡(luò)安全機(jī)制

SW(config)#aaanew-model //啟用AAA功能SW(config)#radius-serverhost1.1.1.1auth-port1645key123456//配置RADIUS服務(wù)器的IP地址、設(shè)置認(rèn)證端口與通信密?鑰SW(config)#aaaauthenticationdot1xdefaultgroupradius //使用默認(rèn)的認(rèn)證方法列表SW(config)#dot1xsystem-auth-control //啟用系統(tǒng)認(rèn)證控制命?令SW(config)#intFa0/2 //選定Fa0/2?端口SW(config-if)#authenticationport-controlauto //啟用?802.1X功能SW(config

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論