【正文】 0 deny ingress interface E0/1 egress any ? 定義規(guī)則允許 E0/1去往任意端口 ? [SwitchAacllink200]rule 1 permit ingress 1 000000000001 000000000000 egress any ? 下發(fā) ACL ? [SwitchA]packetfilter linkgroup 200 rule 0 ? [SwitchA]packetfilter ipgroup 1 rule 0 linkgroup 200 rule 1 Inter電子欺騙與防范 Inter連接防火墻與 Windows 防火墻應用 1． Inter 連接防火墻 ? Inter 連接防火墻 (Inter Connection Firewall， ICF)建立在客戶機與 Inter之間 ， 可以使用戶請求的數(shù)據(jù)通過 、 阻礙沒有請求的數(shù)據(jù)包 ， 是一個基于包的 、 保護網(wǎng)絡與外部系統(tǒng)邊界的安全系統(tǒng) 。 Inter電子欺騙與防范 ? Inter電子欺騙防范實例 1． IP地址綁定設置 (1) 采用 DHCPSECURITY實現(xiàn) IP與 MAC綁定 ? 配置端口的靜態(tài) MAC地址 ? [SwitchA]macaddress static 000000000001 interface ether0/1 vlan 1 ? 配置 IP和 MAC對應表 ? [SwitchA]dhcpsecurity 000000000001 static ? 配置 DHCPServer組號 (否則不允許執(zhí)行下一步 ) ? [SwitchAvlaninterface1]dhcpserver 1 ? 啟動三層地址檢測 ? [SwitchAvlaninterface1]addresscheck enable Inter電子欺騙與防范 ? Inter電子欺騙防范實例 1． IP地址綁定設置 ? (2) 采用 AM命令來實現(xiàn) IP與 MAC綁定 ? 啟動 AM功能 ? [SwitchA]am enable ? 進入端口視圖 ? [SwitchA]vlan 10 ? 將 E0/1加入到 vlan10 ? [SwitchAvlan10]port ether 0/1 ? 創(chuàng)建 (進入 )vlan10的虛接口 ? [SwitchA]interface vlaninterface 10 Inter電子欺騙與防范 ? Inter電子欺騙防范實例 1． IP地址綁定設置 ? (2) 采用 AM命令來實現(xiàn) IP與 MAC綁定 ? 為 vlan10的虛接口配置 IP地址 ? [SwitchAvlaninterface10]ip add ? 進入 E0/1端口 ? [SwitchA]interface ether 0/1 ? 該端口只允許起始 IP地址為 10個 IP地址上網(wǎng) ? [SwitchAether0/1]am ippool 10 Inter電子欺騙與防范 ? Inter電子欺騙防范實例 2． IP、 MAC與端口綁定設置 ? 通過 ACL可實現(xiàn)靜態(tài) MAC與端口捆綁 (端口 E 0/1僅允許 MAC為 PC1接入、動態(tài) MAC與端口捆綁 (端口 E 0/1僅允許一個任何 MAC地址的主機接入 )、 IP與端口捆綁 (端口 E 0/1僅允許 IP地址為 )、 IP與 MAC捆綁 (vlan 1下的主機 MAC為 PC1必須使用 IP地址 可以通過交換機 )以及 MAC、 IP與端口捆綁 (端口E0/1僅僅允許 MAC地址為 IP地址為 的主機接入 )。連接就正式建立。目標主機立刻對連接請求做出反應，發(fā)送 SYN/ACK確認數(shù)據(jù)包給被信任主機。 Inter電子欺騙與防范 ? IP電子欺騙 2． IP電子欺騙過程 (1) 使被信任主機喪失工作能力 ? 由于攻擊者將要代替真正的被信任主機，他必須確保真正的被信任主機不能收到任何有效的網(wǎng)絡數(shù)據(jù)，否則將會被揭穿。 ? 由于 IP協(xié)議不是面向鏈接的，所以 IP層不保持任何連接狀態(tài)的信息。 (4) 加密數(shù)據(jù) ? 防止 DNS欺騙攻擊最根本的方法是加密傳輸?shù)臄?shù)據(jù)。 Inter電子欺騙與防范 ? DNS電子欺騙 3． DNS欺騙攻擊的防范 (1) 直接使用 IP地址訪問 ? 對少數(shù)信息安全級別要求高的網(wǎng)站應直接使用 (輸入 )IP地址進行訪問，這樣可以避開 DNS對域名的解析過程，也就避開了 DNS欺騙攻擊。 (2) 取得 ID和端口號后，攻擊者立即向攻擊目標發(fā)送偽造的DNS應答包。 Inter電子欺騙與防范 ? DNS電子欺騙 2． DNS欺騙攻擊原理 ? 攻擊者的欺騙條件只有一個，那就是發(fā)送的與 ID匹配的 DNS響應數(shù)據(jù)報在 DNS服務器發(fā)送響應數(shù)據(jù)報之前到達客戶端。 DNS欺騙攻擊是危害性較大 ， 攻擊難度較小的一種攻擊技術 。 Inter電子欺騙與防范 DNS電子欺騙 1． DNS欺騙 ? DNS欺騙是攻擊者冒充域名服務器的一種欺騙行為。當進行數(shù)據(jù)傳輸時，客戶端把 ARP數(shù)據(jù)包捕獲發(fā)送給服務器端，由服務器端進行處理。 (2) 設置靜態(tài)的 MAC地址到 IP地址的對應表，不要讓主機刷新設定好的轉換表。 Inter電子欺騙與防范 ARP電子欺騙 2． ARP欺騙攻擊原理 (4) 主機找到該 IP，然后在 APR表中加入新的 IP地址與 MAC地址的映射關系。這樣，以后 A要發(fā)送給 C的數(shù)據(jù)包就會直接發(fā)送到 B的手里。只有具有此 IP地址的主機收到這份廣播報文后，向源主機回送一個包含其 MAC地址的 ARP應答。 Inter電子欺騙與防范 ARP電子欺騙 1． ARP協(xié)議 ? ARP是負責將 IP地址轉化成對應的 MAC地址的協(xié)議。單擊“工具” →“系統(tǒng)設置”命令，彈出“設置”對話框，選擇“安全”選項卡。單擊“下一步”按鈕，彈出學習過程窗口。 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 (1)郵箱訪問口令 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 (2)垃圾郵件設置 ? Foxmail ，用戶通過單擊“工具” →“反垃圾郵件功能設置”命令，就會彈出 “反垃圾郵件設置”對話框，它包括常規(guī)、規(guī)則過濾、貝葉斯過濾、黑名單和白名單選項卡。 ? Foxmail使用多種技術對郵件進行判別，能夠準確識別垃圾郵件與非垃圾郵件，最大限度地減少用戶因為處理垃圾郵件而浪費的時間。選擇“郵件收發(fā)設置” →“來信分類” →“新建來信分類”，打開“編輯分類規(guī)則”界面，設置分類規(guī)則。當用戶單擊“登錄”或回車后，會發(fā)現(xiàn)地址欄中的 瞬間變成 ，之后就又恢復成 ，這就是 SSL加密登。 (2) 傳輸層的安全電子郵件技術 ? 目前主要有兩種方式實現(xiàn)電子郵件在傳輸過程中的安全 ， 一種是利用 SSL SMTP和 SSL POP， 另一種是利用VPN或者其他的 IP通道技術 ， 將所有的 TCP/IP傳輸 (包括電子郵件 )封裝起來 。 ? SMTP是一組用于從源地址到目的地址傳輸郵件的規(guī)范，用來控制郵件的中轉方式。默認狀態(tài)下，分別通過 TCP端口 25和 110建立連接。目前，成熟的端到端安全電子郵件標準有 PGP和S/MIME。用戶在輸入用戶名和密碼時，選擇“ SSL安全登錄”即可實現(xiàn)該功能。 10． 1 電子郵件安全 電子郵件安全應用實例 1． Web郵箱安全配置 (2)來信分類功能 ? 登錄網(wǎng)易郵箱，點擊“設置”進入“郵箱設置”界面。 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 ? 使用郵件客戶端可以不用登錄 Web頁就能收發(fā)郵件，如果用戶有多個 Web郵箱，還可集中到同一個客戶端下，省掉了登錄多個郵箱的麻煩。單擊菜單欄中的“郵箱” →“設置郵箱賬戶訪問口令”，彈出 “口令”對話框。 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 (2)垃圾郵件設置 ? 單擊“學習”按鈕，彈出郵件學習向導，可通過“瀏覽”選擇要學習的內(nèi)容，如選擇學習的類型是“按垃圾郵件標記學習”。 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 (3)郵件加密 ? Foxmail全面支持安全電子郵件技術，兼容多種加密、解密算法，可應用于各種重要商務活動中處理機密信息時加密郵件、接收和發(fā)送數(shù)字簽名 10． 1 電子郵件安全 電子郵件安全應用實例 2． Foxmail客戶端軟件的安全配置 (3)郵件加密 ? 申請完數(shù)字證書，在發(fā)送加密并且簽名的郵件前，還要進行如下設置。 10． 1 電子郵件安全