【文章內(nèi)容簡介】 SYN； ? Smurf進(jìn)攻的防范 Router(config) accesslist 108 deny ip any host ? DDoS攻擊的防范 ！ The Trinoo DDos system Router(config) accesslist 113 deny tcp any any eq 27665 log Router(config) accesslist 113 deny udp any any eq 31335 log Router(config) accesslist 113 deny udp any any eq 27444 log !The Stacheldtraht DDos system Router(config) accesslist 113 deny tcp any any eq 16660 log Router(config) accesslist 113 deny tcp any any eq 65000 log ! The TrinityV3 system Router(config) accesslist 113 deny tcp any any eq 33270 log Router(config) accesslist 113 deny tcp any any eq 39168 log ! The Subseven DDos system and some Variants Router(config) accesslist 113 deny tcp any any range 6711 6712 log 交換機(jī)安全與應(yīng)用實踐 ? 交換機(jī)安全 ? 交換機(jī)是一種基于 MAC(網(wǎng)卡的硬件地址 )識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備 ； ? 交換機(jī)可以 “ 學(xué)習(xí) ”MAC 地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的源發(fā)送者和目標(biāo)接收者之間建立臨時的交換路徑，使數(shù)據(jù)幀由源地址到達(dá)目的地址 ； ? 傳統(tǒng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強(qiáng)調(diào)轉(zhuǎn)發(fā)性能 。 ? 交換機(jī)基礎(chǔ) ? 交換機(jī)功能 ； ? 交換機(jī)的地址 “ 學(xué)習(xí) ” ； ? 交換機(jī)的轉(zhuǎn)發(fā)與過濾 。 ? 交換機(jī)功能 ?交換機(jī)可看作是一個具有流量控制的網(wǎng)橋，它是由背板、端口、緩沖區(qū)、邏輯控制單元和交叉矩陣等部件組成 ； ?傳統(tǒng)以太網(wǎng)交換機(jī)是第二層交換機(jī)，第二層交換機(jī)是一個可以將發(fā)送端地址與接收端地址連接起來的網(wǎng)絡(luò)設(shè)備。該設(shè)備根據(jù)數(shù)據(jù)幀中的頭信息，將來自一個或多個輸入端口的幀送到一個或多個端口，完成數(shù)據(jù)交換 ； ? 交換機(jī)工作在 OSI模型中的數(shù)據(jù)鏈路層，因此交換機(jī)對數(shù)據(jù)包的轉(zhuǎn)發(fā)是建立在 MAC地址基礎(chǔ)之 上 的； ?傳統(tǒng)以太網(wǎng)交換機(jī)的最大優(yōu)點是數(shù)據(jù)交換快 ； ? 當(dāng)交換機(jī)收到一個 TCP/IP數(shù)據(jù)包時，會查看該數(shù)據(jù)包的目的 MAC地址，然后核對自己的 MAC地址表以確認(rèn)應(yīng)該從哪個端口把數(shù)據(jù)包發(fā)出去。 ? 當(dāng)交換機(jī)收到一個目標(biāo)地址未知的數(shù)據(jù)包（即MAC地址不能在其 MAC地址表中找到）時，交換機(jī)會把 IP數(shù)據(jù)包從它每一個端口中送出去。 ? 交換機(jī)的地址 “ 學(xué)習(xí) ” ?交換機(jī)能夠通過讀取傳送包的源 MAC地址和記錄幀進(jìn)入交換機(jī)的端口來 “ 學(xué)習(xí) ” 網(wǎng)絡(luò)上每個設(shè)備的地址 ， 然后，交換機(jī)把該信息加到它的轉(zhuǎn)發(fā)數(shù)據(jù)庫 (MAC地址表 )中 ； ? 如果在一段時間內(nèi)都沒有被使用過的 MAC地址將從 MAC列表中刪除 ， 通過這個時間標(biāo)記來保證刪除過時的地址和保持最新的地址。 CAM維護(hù)了一個精確和有用的轉(zhuǎn)發(fā)數(shù)據(jù)庫，即 MAC地址表 。 ? 交換機(jī)的轉(zhuǎn)發(fā)與過濾 ? 當(dāng)主機(jī) A發(fā)一個幀給主機(jī) B時，由于目的 MAC地址 (主機(jī) B的 MAC地址 )己在 MAC地址表中存在對應(yīng)項，故交換機(jī)會將此幀直接發(fā)到 B所在交換機(jī)的端口，而不會再將幀發(fā)往其他端口，這樣就節(jié)省了其他端口上的帶寬。這就是所謂的轉(zhuǎn)發(fā)與過濾 ； ? 第二層的交換機(jī)無法控制廣播域 。 ? 交換機(jī) 安全 ?安全交換機(jī)含義 ? 交換機(jī)最重要的作用是轉(zhuǎn)發(fā)數(shù)據(jù) 。 在黑客攻擊和病毒侵?jǐn)_下，要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾； ? 能對訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制 ； ? 配合其他網(wǎng)絡(luò)安全設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止 。 ? 安全交換機(jī)的新功能 ? ； ? 流量控制 ； ? 防范 DDoS攻擊 ； ? 虛擬局域網(wǎng) VLAN； ? 基于 ACL的防火墻功能 ； ? IDS功能 。 ? ? 。它能夠在利用 IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的 ； ? LAN架構(gòu)的物理特性，實現(xiàn)了 LAN端口上的設(shè)備認(rèn)證 ； ? 在 ，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)： 客戶端 ， 認(rèn)證系統(tǒng) 和 認(rèn)證服務(wù)器 。 ? 流量控制 安全交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機(jī)的帶寬被無限制濫用。安全交換機(jī)的流量控制功能能夠?qū)崿F(xiàn)對異常流量的控制，避免網(wǎng)絡(luò)堵塞 ； ? 防范 DDoS攻擊 安全交換機(jī)采用專門技術(shù)來防范 DDoS攻擊，它可以在不影響正常業(yè)務(wù)的情況下，智能地檢測和阻止惡意流量，從而防止網(wǎng)絡(luò)受到 DDoS攻擊的威脅 。 ? 虛擬局域網(wǎng) VLAN VLAN可以在二層或三層交換機(jī)上實現(xiàn)有限的廣播域。它可把網(wǎng)絡(luò)分成一個個獨立的區(qū)域，控制這些區(qū)域是否可以通信 。 VLAN限制了各個不同 VLAN之間的非授權(quán)訪問，而且可以設(shè)置 IP地址與 MAC地址綁定功能限制用戶非授權(quán)訪問網(wǎng)絡(luò) ； ? 基于 ACL的防火墻功能 ACL通過對網(wǎng)絡(luò)資源的訪問控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。 ACL是一張規(guī)則表，交換機(jī)按照順序執(zhí)行這些規(guī)則，并且處理每一個進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性 (如源地址、目的地址和協(xié)議 )允許或拒絕數(shù)據(jù)包通過 。 ? IDS功能 安全交換機(jī)的入侵檢測系統(tǒng)（ IDS）功能可以根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時，進(jìn)行有針對性的操作，并將這些對安全事件反應(yīng)的動作發(fā)送到交換機(jī)上，由交換機(jī)來實現(xiàn)精確的端口斷開操作。實現(xiàn)這種聯(lián)動，需要交換機(jī)支持認(rèn)證、端口鏡像、強(qiáng)制流分類、進(jìn)程數(shù)控制、端口反向查詢等功能。 ? 安全交換機(jī)的配署 ? 安全交換機(jī)可以配備在網(wǎng)絡(luò)的核心位置上 ， 這樣就可以在核心交換機(jī)上統(tǒng)一配置安全策略，做到集中控制，方便網(wǎng)絡(luò)管理人員的監(jiān)控和調(diào)整 ； ? 把安全交換機(jī)放在網(wǎng)絡(luò)的接入層或匯聚層，是另外一個選擇。這樣配備安全交換機(jī)的方式就是核心把權(quán)力下放到邊緣，在各個邊緣就開始實施安全交換機(jī)的性能，把入侵和攻擊以及可疑流量阻擋在邊緣之外，確保全網(wǎng)的安全 。 交換機(jī)的安全配置實踐 ? 配置交換機(jī)使網(wǎng)絡(luò)對可訪問站點進(jìn)行控制，從而實現(xiàn)對自身的保護(hù)； ? 端口安全（ portsecure）命令定義了一個最大值，即在 MAC地址表中與交換機(jī)端口相聯(lián)系的所允許的最多目的 MAC地址。 ? MAC地址表及相關(guān)信息的設(shè)置 ? 顯示 MAC地址表 ? MAC地址表中的地址由永久地址、限制性靜態(tài)地址和動態(tài)地址三種地址組成 ； ? 在 Switch show MACaddresstable命令中即可看到 MAC地址表 ； ? MAC地址表由地址、源端口表、目的端口和類型組成 。 ? 設(shè)置永久地址 若設(shè)置了永久地址的目的 MAC地址及其轉(zhuǎn)發(fā)端口，則該地址永久不會超時，所有的端口均可以轉(zhuǎn)發(fā)幀給它。設(shè)置命令如下： Switch(config)MACaddresstable permanent[MAC Address][type slot/port] ? 設(shè)置限制性靜態(tài)地址 限制性靜態(tài)地址不但繼承了永久地址的所有特性，更進(jìn)一步嚴(yán)格限制了源端口，安全性得到進(jìn)一步增強(qiáng)。設(shè)置限制性靜態(tài)地址的命令如下： Switch(config)MACaddresstable restricted static[MAC address][type slot/port][source interface list] ? 刪除表項 Switchclear MACaddresstable[dynamic|p