資源描述:
《如何在路由器配置訪問控制列表acl》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1�、如何在路由器配置訪問控制列表ACL園區(qū)網(wǎng)常見安全隱患非人為或自然力造成的硬件故障、電源故障����、軟件錯誤����、火災(zāi)�����、水災(zāi)����、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞����;。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞�����。威脅人自然災(zāi)害惡意非惡意不熟練的員工(外部)黑客威脅(內(nèi)部)不滿的員工(外部)戰(zhàn)爭漏洞物理自然硬件軟件媒介通訊人External�attackerCorporateAssetsInternal�attackerIncorrect�permissionsVirus網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混
2���、合威脅(蠕蟲+病毒+特洛伊)廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機周天分鐘秒影響的目標和范圍1980s1990s今天未來安全事件對我們的威脅越來越快現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL71%常見解決安全隱患的方案交換機端口安全配置訪問控制列表ACL在防火墻實現(xiàn)包過濾……交換機端口安全通過限制允許訪問交換機上某個端口的MAC地址以及IP(可選)來實現(xiàn)嚴格控制對該端口的輸入����。當你為安全端口打開了端口安全功能并配置了一些安全地
3、址后��,則除了源地址為這些安全地址的包外�,這個端口將不轉(zhuǎn)發(fā)其它任何包。此外��,你還可以限制一個端口上能包含的安全地址最大個數(shù)����,如果你將最大個數(shù)設(shè)置為1,并且為該端口配置一個安全地址���,則連接到這個口的工作站(其地址為配置的安全地址)將獨享該端口的全部帶寬���。為了增強安全性,你可以將MAC地址和IP地址綁定起來作為安全地址��。交換機端口安全如果一個端口被配置為一個安全端口���,當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后���,如果該端口收到一個源地址不屬于端口上的安全地址的包時,一個安全違例將產(chǎn)生�����。當安全違例產(chǎn)生時�,你可以選擇多種方式來處理違例:Protect:當安全地址個數(shù)滿后,安全端口將丟棄
4�、未知名地址(不是該端口的安全地址中的任何一個)的包。RestrictTrap:當違例產(chǎn)生時���,將發(fā)送一個Trap通知����。Shutdown:當違例產(chǎn)生時�����,將關(guān)閉端口并發(fā)送一個Trap通知�。配置安全端口interfaceinterface-id進入接口配置模式。switchportmodeaccess設(shè)置接口為access模式(如果確定接口已經(jīng)處于access模式�����,則此步驟可以省略)����。switchportport-security打開該接口的端口安全功能switchportport-securitymaximumvalue設(shè)置接口上安全地址的最大個數(shù)�����,范圍是1-128��,缺省值為12
5���、8。switchportport-securityviolation{protect
6�、restrict
7、shutdown}設(shè)置處理違例的方式當端口因為違例而被關(guān)閉后�,你可以在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口上的安全地址�����。ip-address:可選IP為這個安全地址綁定的地址��。端口安全配置示例下面的例子說明了如何使能接口gigabitethernet1/3上的端口安全功能���,設(shè)置
8�����、最大地址個數(shù)為8���,設(shè)置違例方式為protect���。Switch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-i
9����、f)#end驗證命令Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredGi1/38100d0.f800.3cc9192.168.12.5ConfiguredGi1/17驗證命令Switch#sh
