【正文】 32位都要進(jìn)行匹配，這樣只表示一個 IP地址，可以用 host表示。 MAC地址攻擊 25/54 交換機(jī)端口安全功能 ?交換機(jī)的端口安全功能，可以防止網(wǎng)絡(luò)內(nèi)部攻擊 , 如MAC地址攻擊、 ARP攻擊、 IP/MAC欺騙等。 （ 4）管理不健全造成的安全漏洞。 1/54 第五章 網(wǎng)絡(luò)安全技術(shù) 2/54 中北大學(xué)計算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個管理問題。 ?交換機(jī)端口安全的基本功能 限制端口最大連接數(shù)，控制惡意擴(kuò)展接入 例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。 2）應(yīng)用 ACL到接口 Router(configif)ip accessgroup 199 { in | out } 43/54 accesslist 1 permit accesslist 1 deny interface serial 0 ip accessgroup 1 out F0 S0 F1 Inter IP標(biāo)準(zhǔn)訪問列表配置實例 1 只允許 44/54 IP標(biāo)準(zhǔn)訪問列表配置實例 2 阻止 E0訪問網(wǎng)絡(luò)，而允許其他的機(jī)器訪問 Router（ config） accesslist 1 deny host Router（ config） accesslist 1 permit any Router（ config） interface ether 0 Router（ configif） ip accessgroup 1 in 45/54 實習(xí)項目：配置標(biāo)準(zhǔn)訪問列表控制網(wǎng)絡(luò)流量 【 工作任務(wù) 】 如圖所示的網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場景 ， 要實現(xiàn)學(xué)生網(wǎng) （ ）和行政辦公網(wǎng) （ ） 的隔離 ， 可以在其中 R1路由器上做標(biāo)準(zhǔn) ACL技術(shù)控制 ， 以實現(xiàn)網(wǎng)絡(luò)之間的隔離 【 項目設(shè)備 】 路由器 （ 2臺 ） ；網(wǎng)線 （ 若干 ） ；測試 PC（ 2臺 ） ； 【 實施過程 】 ………… 46/54 擴(kuò)展型訪問控制列表 ? 擴(kuò)展型訪問控制列表（ Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的 ACL更強(qiáng)大的數(shù)據(jù)包檢查功能。 IP地址，全為 1說明所有 32位都不檢查，可以用 any來取代。 交換機(jī)變成了一個 Hub，用戶的信息傳輸也沒有安全保障了。得益于 Inter的開放性和匿名性，也給Inter應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。 端口安全地址綁定 , 解決網(wǎng)中 IP地址沖突、 ARP欺騙 例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改 IP地址，造成 IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行 ARP地址欺騙。 ? 擴(kuò)展 ACL不僅檢查數(shù)據(jù)包源 IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口，目的端口、建立連接和 IP優(yōu)先級等特征信息。其中 0表示“檢查相應(yīng)的位”， 1表示“不檢查相應(yīng)的位”。 使得單播包在交換機(jī)內(nèi)部也變成廣播包 , 向所有端口轉(zhuǎn)發(fā)，每個連在端口上的客戶端都可以收到該報文 。 （ 3）黑客的攻擊。 新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實施整體規(guī)劃，通過在交換機(jī)設(shè)備上增加訪問控制列表技術(shù)，實現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。網(wǎng)絡(luò)安全技術(shù)只是實現(xiàn)網(wǎng)絡(luò)安全的工具。 26/54 交換機(jī)端口安全內(nèi)容 ? 安全端口收到不屬于端口上安全地址包時， 一個安全違例將產(chǎn)生。利用這些選項對數(shù)據(jù)包特征信息進(jìn)行匹配 。 學(xué)生網(wǎng)段 校領(lǐng)導(dǎo)網(wǎng)段 教研網(wǎng)段 標(biāo)準(zhǔn)列表規(guī)則定義 42/54 1）定義標(biāo)準(zhǔn) ACL Router(config) accesslist 199 { permit |deny } 源地址 [反掩碼 ] Switch(config) Ip accesslist 199 { permit |deny } 源地址 [反掩碼 ] ? 反掩碼是一個 32比特位。 21/54 ? 保護(hù)路由器遠(yuǎn)程登陸 登錄 的安全措施 Router configure terminal Router （ config） Router （ config） line VTY 0 4 Router