【正文】 ny ingress interface E0/1 egress any ? 定義規(guī)則允許 E0/1去往任意端口 ? [SwitchAacllink200]rule 1 permit ingress 1 000000000001 000000000000 egress any ? 下發(fā) ACL ? [SwitchA]packetfilter linkgroup 200 rule 0 ? [SwitchA]packetfilter ipgroup 1 rule 0 linkgroup 200 rule 1 Inter電子欺騙與防范 Inter連接防火墻與 Windows 防火墻應(yīng)用 1． Inter 連接防火墻 ? Inter 連接防火墻 (Inter Connection Firewall， ICF)建立在客戶機(jī)與 Inter之間 ， 可以使用戶請(qǐng)求的數(shù)據(jù)通過 、 阻礙沒有請(qǐng)求的數(shù)據(jù)包 ， 是一個(gè)基于包的 、 保護(hù)網(wǎng)絡(luò)與外部系統(tǒng)邊界的安全系統(tǒng) 。 Inter電子欺騙與防范 ? Inter電子欺騙防范實(shí)例 1． IP地址綁定設(shè)置 (1) 采用 DHCPSECURITY實(shí)現(xiàn) IP與 MAC綁定 ? 配置端口的靜態(tài) MAC地址 ? [SwitchA]macaddress static 000000000001 interface ether0/1 vlan 1 ? 配置 IP和 MAC對(duì)應(yīng)表 ? [SwitchA]dhcpsecurity 000000000001 static ? 配置 DHCPServer組號(hào) (否則不允許執(zhí)行下一步 ) ? [SwitchAvlaninterface1]dhcpserver 1 ? 啟動(dòng)三層地址檢測(cè) ? [SwitchAvlaninterface1]addresscheck enable Inter電子欺騙與防范 ? Inter電子欺騙防范實(shí)例 1． IP地址綁定設(shè)置 ? (2) 采用 AM命令來(lái)實(shí)現(xiàn) IP與 MAC綁定 ? 啟動(dòng) AM功能 ? [SwitchA]am enable ? 進(jìn)入端口視圖 ? [SwitchA]vlan 10 ? 將 E0/1加入到 vlan10 ? [SwitchAvlan10]port ether 0/1 ? 創(chuàng)建 (進(jìn)入 )vlan10的虛接口 ? [SwitchA]interface vlaninterface 10 Inter電子欺騙與防范 ? Inter電子欺騙防范實(shí)例 1． IP地址綁定設(shè)置 ? (2) 采用 AM命令來(lái)實(shí)現(xiàn) IP與 MAC綁定 ? 為 vlan10的虛接口配置 IP地址 ? [SwitchAvlaninterface10]ip add ? 進(jìn)入 E0/1端口 ? [SwitchA]interface ether 0/1 ? 該端口只允許起始 IP地址為 10個(gè) IP地址上網(wǎng) ? [SwitchAether0/1]am ippool 10 Inter電子欺騙與防范 ? Inter電子欺騙防范實(shí)例 2． IP、 MAC與端口綁定設(shè)置 ? 通過 ACL可實(shí)現(xiàn)靜態(tài) MAC與端口捆綁 (端口 E 0/1僅允許 MAC為 PC1接入、動(dòng)態(tài) MAC與端口捆綁 (端口 E 0/1僅允許一個(gè)任何 MAC地址的主機(jī)接入 )、 IP與端口捆綁 (端口 E 0/1僅允許 IP地址為 )、 IP與 MAC捆綁 (vlan 1下的主機(jī) MAC為 PC1必須使用 IP地址 可以通過交換機(jī) )以及 MAC、 IP與端口捆綁 (端口E0/1僅僅允許 MAC地址為 IP地址為 的主機(jī)接入 )。連接就正式建立。目標(biāo)主機(jī)立刻對(duì)連接請(qǐng)求做出反應(yīng)，發(fā)送 SYN/ACK確認(rèn)數(shù)據(jù)包給被信任主機(jī)。 Inter電子欺騙與防范 ? IP電子欺騙 2． IP電子欺騙過程 (1) 使被信任主機(jī)喪失工作能力 ? 由于攻擊者將要代替真正的被信任主機(jī)，他必須確保真正的被信任主機(jī)不能收到任何有效的網(wǎng)絡(luò)數(shù)據(jù)，否則將會(huì)被揭穿。 ? 由于 IP協(xié)議不是面向鏈接的，所以 IP層不保持任何連接狀態(tài)的信息。 (4) 加密數(shù)據(jù) ? 防止 DNS欺騙攻擊最根本的方法是加密傳輸?shù)臄?shù)據(jù)。 Inter電子欺騙與防范 ? DNS電子欺騙 3． DNS欺騙攻擊的防范 (1) 直接使用 IP地址訪問 ? 對(duì)少數(shù)信息安全級(jí)別要求高的網(wǎng)站應(yīng)直接使用 (輸入 )IP地址進(jìn)行訪問，這樣可以避開 DNS對(duì)域名的解析過程，也就避開了 DNS欺騙攻擊。 (2) 取得 ID和端口號(hào)后，攻擊者立即向攻擊目標(biāo)發(fā)送偽造的DNS應(yīng)答包。 Inter電子欺騙與防范 ? DNS電子欺騙 2． DNS欺騙攻擊原理 ? 攻擊者的欺騙條件只有一個(gè)，那就是發(fā)送的與 ID匹配的 DNS響應(yīng)數(shù)據(jù)報(bào)在 DNS服務(wù)器發(fā)送響應(yīng)數(shù)據(jù)報(bào)之前到達(dá)客戶端。 DNS欺騙攻擊是危害性較大 ， 攻擊難度較小的一種攻擊技術(shù) 。 Inter電子欺騙與防范 DNS電子欺騙 1． DNS欺騙 ? DNS欺騙是攻擊者冒充域名服務(wù)器的一種欺騙行為。當(dāng)進(jìn)行數(shù)據(jù)傳輸時(shí)，客戶端把 ARP數(shù)據(jù)包捕獲發(fā)送給服務(wù)器端，由服務(wù)器端進(jìn)行處理。 (2) 設(shè)置靜態(tài)的 MAC地址到 IP地址的對(duì)應(yīng)表，不要讓主機(jī)刷新設(shè)定好的轉(zhuǎn)換表。 Inter電子欺騙與防范 ARP電子欺騙 2． ARP欺騙攻擊原理 (4) 主機(jī)找到該 IP，然后在 APR表中加入新的 IP地址與 MAC地址的映射關(guān)系。這樣，以后 A要發(fā)送給 C的數(shù)據(jù)包就會(huì)直接發(fā)送到 B的手里。只有具有此 IP地址的主機(jī)收到這份廣播報(bào)文后，向源主機(jī)回送一個(gè)包含其 MAC地址的 ARP應(yīng)答。 Inter電子欺騙與防范 ARP電子欺騙 1． ARP協(xié)議 ? ARP是負(fù)責(zé)將 IP地址轉(zhuǎn)化成對(duì)應(yīng)的 MAC地址的協(xié)議。單擊“工具” →“系統(tǒng)設(shè)置”命令，彈出“設(shè)置”對(duì)話框，選擇“安全”選項(xiàng)卡。單擊“下一步”按鈕，彈出學(xué)習(xí)過程窗口。 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 (1)郵箱訪問口令 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 (2)垃圾郵件設(shè)置 ? Foxmail ，用戶通過單擊“工具” →“反垃圾郵件功能設(shè)置”命令，就會(huì)彈出 “反垃圾郵件設(shè)置”對(duì)話框，它包括常規(guī)、規(guī)則過濾、貝葉斯過濾、黑名單和白名單選項(xiàng)卡。 ? Foxmail使用多種技術(shù)對(duì)郵件進(jìn)行判別，能夠準(zhǔn)確識(shí)別垃圾郵件與非垃圾郵件，最大限度地減少用戶因?yàn)樘幚砝]件而浪費(fèi)的時(shí)間。選擇“郵件收發(fā)設(shè)置” →“來(lái)信分類” →“新建來(lái)信分類”，打開“編輯分類規(guī)則”界面，設(shè)置分類規(guī)則。當(dāng)用戶單擊“登錄”或回車后，會(huì)發(fā)現(xiàn)地址欄中的 瞬間變成 ，之后就又恢復(fù)成 ，這就是 SSL加密登。 (2) 傳輸層的安全電子郵件技術(shù) ? 目前主要有兩種方式實(shí)現(xiàn)電子郵件在傳輸過程中的安全 ， 一種是利用 SSL SMTP和 SSL POP， 另一種是利用VPN或者其他的 IP通道技術(shù) ， 將所有的 TCP/IP傳輸 (包括電子郵件 )封裝起來(lái) 。 ? SMTP是一組用于從源地址到目的地址傳輸郵件的規(guī)范，用來(lái)控制郵件的中轉(zhuǎn)方式。默認(rèn)狀態(tài)下，分別通過 TCP端口 25和 110建立連接。目前，成熟的端到端安全電子郵件標(biāo)準(zhǔn)有 PGP和S/MIME。用戶在輸入用戶名和密碼時(shí)，選擇“ SSL安全登錄”即可實(shí)現(xiàn)該功能。 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 1． Web郵箱安全配置 (2)來(lái)信分類功能 ? 登錄網(wǎng)易郵箱，點(diǎn)擊“設(shè)置”進(jìn)入“郵箱設(shè)置”界面。 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 ? 使用郵件客戶端可以不用登錄 Web頁(yè)就能收發(fā)郵件，如果用戶有多個(gè) Web郵箱，還可集中到同一個(gè)客戶端下，省掉了登錄多個(gè)郵箱的麻煩。單擊菜單欄中的“郵箱” →“設(shè)置郵箱賬戶訪問口令”，彈出 “口令”對(duì)話框。 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 (2)垃圾郵件設(shè)置 ? 單擊“學(xué)習(xí)”按鈕，彈出郵件學(xué)習(xí)向?qū)?，可通過“瀏覽”選擇要學(xué)習(xí)的內(nèi)容，如選擇學(xué)習(xí)的類型是“按垃圾郵件標(biāo)記學(xué)習(xí)”。 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 (3)郵件加密 ? Foxmail全面支持安全電子郵件技術(shù)，兼容多種加密、解密算法，可應(yīng)用于各種重要商務(wù)活動(dòng)中處理機(jī)密信息時(shí)加密郵件、接收和發(fā)送數(shù)字簽名 10． 1 電子郵件安全 電子郵件安全應(yīng)用實(shí)例 2． Foxmail客戶端軟件的安全配置 (3)郵件加密 ? 申請(qǐng)完數(shù)字證書，在發(fā)送加密并且簽名的郵件前，還要進(jìn)行如下設(shè)置。 10． 1 電子郵件安全