【正文】 N個地址以外的 MAC幀。 以太網(wǎng)接入控制 00 46 78 11 22 33 訪問控制列表 00 46 78 11 22 33 終端 A 安全端口 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? ，一旦完成認(rèn)證過程，端口就處于正常轉(zhuǎn)發(fā)狀態(tài)，這種方式適用于交換機(jī) B的認(rèn)證端口，不適用交換機(jī) A的認(rèn)證端口； ? MAC地址認(rèn)證機(jī)制是認(rèn)證和訪問控制列表的有機(jī)結(jié)合，一旦交換機(jī)通過對某個用戶的身份認(rèn)證，將該用戶終端的 MAC地址記錄在訪問控制列表的中，這種方式下，訪問控制列表的中的 MAC地址是動態(tài)的，隨著用戶接入增加，隨著用戶退出減少。 以太網(wǎng)接入控制 IP 網(wǎng)絡(luò) 終端 B 認(rèn)證服務(wù)器 交換機(jī) A 交換機(jī) B 用戶名 認(rèn)證機(jī)制 口令 用戶 A E A P C H A P P A S SA 用戶 B E A P C H A P P A S SB 認(rèn)證數(shù)據(jù)庫 認(rèn)證端口 認(rèn)證端口 認(rèn)證端口 實(shí)現(xiàn) 網(wǎng)絡(luò)結(jié)構(gòu) 終端 A 00 46 78 11 22 33 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 認(rèn)證數(shù)據(jù)庫表明：允許用戶名為用戶 A，具有口令 PASSA的用戶接入以太網(wǎng)； ? 交換機(jī) A將端口 7設(shè)置為認(rèn)證端口，意味著必須根據(jù)認(rèn)證數(shù)據(jù)庫指定的認(rèn)證機(jī)制：EAPCHAP完成用戶身份認(rèn)證的用戶終端的 MAC地址才能記錄在端口 7的訪問控制列表的中。 以太網(wǎng)接入控制 挑戰(zhàn)接入（ E A P 請求 （ C H A P ） ） 請求接入（ E A P 響應(yīng) （ C H A P ） ） 用戶 A 交換機(jī) A （ 認(rèn)證者 ） E A P 請求（身份） E A P 響應(yīng)（身份） E A P 請求 （ C H A P ） E A P 響應(yīng) （ C H A P ） 認(rèn)證服務(wù)器 E A P 成功 請求接入（ E A P 響應(yīng)（身份）） 允許接入 用戶名 認(rèn)證機(jī)制 口令 用戶 A E A P C H A P P A S SA 用戶 B E A P C H A P P A S SB 認(rèn)證數(shù)據(jù)庫 00 46 78 11 22 33 訪問控制列表 用戶 A向認(rèn)證服務(wù)器證明自己身份：用戶名為用戶 A，具有口令 PASSA。 用戶 A終端的 MAC地址記錄在訪問控制列表中。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 以太網(wǎng)其他安全功能 ? 由于站表容量是有限的，當(dāng)某個黑客終端大量發(fā)送源 MAC地址偽造的 MAC幀時(shí)，很容易使站表溢出； ? 一旦站表溢出，正常終端的 MAC地址無法進(jìn)入站表，導(dǎo)致正常終端之間傳輸?shù)?MAC幀以廣播方式傳輸。 G H E 終端 A MA C A 終端 B MA C B 終端 C MA C C F A → B B → A 8 MA C D 8 MA C E 8 MA C F 8 MA C G 8 MA C H 8 M A C I D I 端口 MA C 地址 站表 站表溢出攻擊 解決方法 限制交換機(jī)從每 一個端口學(xué)習(xí)到 的地址數(shù)。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 偽造的 DHCP服務(wù)器為終端配置錯誤的網(wǎng)絡(luò)信息，導(dǎo)致終端發(fā)送的數(shù)據(jù)都被轉(zhuǎn)發(fā)到冒充默認(rèn)網(wǎng)關(guān)的黑客終端。 以太網(wǎng)其他安全功能 終端 A 終端 B D H C P 服務(wù)器 交換機(jī) A 交換機(jī) B 偽造的 D H C P 服務(wù)器 以太網(wǎng) ① D H C P 服務(wù)器 終端 A 偽造的 D H C P 服務(wù)器 ① ① ② ③ ④ ⑤ ①：終端 A 發(fā)送的發(fā)現(xiàn)報(bào)文 ②：偽造的 DHCP 服務(wù)器發(fā)送的應(yīng)答報(bào)文 ③： D H C P 服務(wù)器發(fā)送的應(yīng)答報(bào)文 ④：終端 A 發(fā)送的請求報(bào)文 ⑤：偽造的 DHCP 服務(wù)器發(fā)送的確認(rèn)報(bào)文 信任端口 非信任端口 將連接授權(quán) DHCP服務(wù)器的端口和互連交換機(jī)的端口設(shè)置為信任端口，其他端口為非信任端口，只允許轉(zhuǎn)發(fā)從信任端口接收到的 DHCP響應(yīng)報(bào)文。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 終端 B通過發(fā)送將終端 A的 IP地址和自己 MAC地址綁定的 ARP報(bào)文，在其他終端和路由器的 ARP緩沖器中增添一項(xiàng) IP A MAC B，導(dǎo)致其他終端和路由器將目的 IP地址為 IP A的 IP分組，全部封裝成以 MAC B為目的地址的 MAC幀。 以太網(wǎng)其他安全功能 交換機(jī) A 交換機(jī) B 終端 A MA C A IP A 終端 B MA C B IP B D H C P 服務(wù)器 終端 C MA C C IP C A R P 報(bào)文 終端 C IP A MA C B A R P C ac he IP A M A C B 終端 A 終端 B 以太網(wǎng) A R P C ac he IP A M A C B ARP欺騙攻擊過程 信任端口 端口 M A C 地址 IP 地址 F0/1 M A C C IP C F0/7 M A C A IP A F 0/ 7 M A C B IP B D H C P 配置表 端口 M A C 地址 IP 地址 F0/ 1 M A C A I P A F0/ 4 M A C B I P B F0/ 7 M A C C I P C D H C P 配置表 ?解決方法基于終端配置通過DHCP服務(wù)器獲得； ?交換機(jī)偵聽通過信任端口接收到的 DHCP響應(yīng)報(bào)文，并將響應(yīng)報(bào)文中作為終端標(biāo)識符的 MAC地址和 DHCP分配給終端的 IP地址記錄在 DHCP配置表中； ?一旦交換機(jī)接收到 ARP報(bào)文，根據(jù) ARP報(bào)文中給出的 IP地址和 MAC地址對匹配 DHCP配置表，如果找到匹配項(xiàng)，繼續(xù)轉(zhuǎn)發(fā) ARP報(bào)文，否則，丟棄 ARP報(bào)文。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 安全路由 ?路由器和路由項(xiàng)認(rèn)證； ?路由項(xiàng)過濾； ?單播反向路徑驗(yàn)證。 這些功能一是確保只有授權(quán)路由器之間才能傳輸路由消息，且路由器只處理傳輸過程中未被篡改的路由消息；二是防止內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)外泄；三是拒絕黑客終端的源 IP地址欺騙攻擊。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 路由器和路由項(xiàng)認(rèn)證 ? 黑客終端偽造和 LAN4直接相連的路由項(xiàng)，并通過路由消息將該路由項(xiàng)組播給路由器 R R2； ? 路由器 R1將通往 LAN4傳輸路徑的下一跳改為黑客終端； ? 所有 LAN1中終端發(fā)送給 LAN4中終端的 IP分組都被錯誤地轉(zhuǎn)發(fā)給黑客終端。 R2 L A N 1 LA N 2 LA N 3 LA N 4 R1 R3 I P R I P H 黑客終端 終端 A I P A 終端 B I P B 子網(wǎng) 距離 下一跳 LA N 1 1 直接 LA N 2 1 直接 LA N 3 2 I P R LA N 4 3 I P R 路由器 R1 正確路由表 LAN4 1 子網(wǎng) 距離 下一跳 LA N 1 1 直接 LA N 2 1 直接 LA N 3 2 I P R LA N 4 2 I P H 路由器 R1 錯誤路由表 黑客終端偽造路由項(xiàng)過程 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 路由器和路由項(xiàng)認(rèn)證的基本思路是認(rèn)證發(fā)送者和檢測路由消息的完整性； ? 相鄰路由器配置共享密鑰 K，路由消息附帶消息認(rèn)證碼（ MAC），由于計(jì)算MAC需要共享密鑰 K，因此，一旦接收路由器根據(jù)密鑰 K和路由消息計(jì)算 MAC的結(jié)果和路由消息附帶的 MAC相同，可以保證發(fā)送者具有和自己相同的密鑰 K（授權(quán)路由器），路由消息傳輸過程中未被篡改。 發(fā)送路由器 接收路由器 路由 消息 H MA C ( P) Y 路由 消息 H MA C MD 5 K 相等， 處理路由消息 不相等， 丟棄路由消息 H MA C MD 5 H MA C ( P) Y 路由 消息 K 路由器和路由項(xiàng)認(rèn)證 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 路由項(xiàng)過濾 路由項(xiàng)過濾技術(shù)就是在公告的路由消息中屏蔽掉和過濾器中目的網(wǎng)絡(luò)匹配的路由項(xiàng)，這樣做的目的是為了保證一些內(nèi)部網(wǎng)絡(luò)的對外部路由器的透明性。 .0/ 24 Int er R1 R2 目的網(wǎng)絡(luò) 距離 下一跳 .0/ 24 1 直接 R1 路由表 目的網(wǎng)絡(luò) 距離 下一跳 193 . .0/ 24 2 R 1 R2 路由表 R1 224 . .9 193 . .0/ 24 1 三個網(wǎng)絡(luò)，其中兩個是內(nèi)部網(wǎng)絡(luò)。 過濾器中的目的網(wǎng)絡(luò)包含兩個內(nèi)部網(wǎng)絡(luò)。 路由消息中不包含被過濾器屏蔽掉的兩個內(nèi)部網(wǎng)絡(luò)。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 單播反向路徑驗(yàn)證 ? 單播反向路徑驗(yàn)證的目的是丟棄偽造源 IP地址的 IP分組； ? 路由器通過檢測接收 IP分組的端口和通往源終端的端口是否相同確定源 IP地址是否偽造。 R3 .0/ 24 .0/ 24 .0/ 24 R1 R2 1 2 3 目的網(wǎng)絡(luò) 距離 輸出端口 .0/ 24 2 1 .0/ 24 2 2 . 3 .0/ 24 1 3 R3 路由表 黑客終端 .7 終端 A .5 服務(wù)器 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬網(wǎng)絡(luò) ?虛擬局域網(wǎng)； ?虛擬路由器； ?虛擬專用網(wǎng)絡(luò)。 這里的虛擬是指邏輯上等同于獨(dú)立局域網(wǎng)、獨(dú)立路由器或者專用網(wǎng)絡(luò)，物理上且和其他虛擬局域網(wǎng)、虛擬路由器或者虛擬專用網(wǎng)絡(luò)共享同一物理網(wǎng)絡(luò)或物理路由器的一種技術(shù)。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬局域網(wǎng) ? 同一個以太網(wǎng)是一個廣播域，以太網(wǎng)內(nèi)廣播是不可避免的，但廣播一是浪費(fèi)帶寬，二是產(chǎn)生安全問題； ? 同一以太網(wǎng)兩個終端之間通信不需要經(jīng)過路由器，而路由器具有比交換機(jī)更強(qiáng)的信息傳輸控制能力； ? 一些黑客攻擊手段，如偽造 DHCP服務(wù)器， ARP欺騙攻擊等，都是針對同一以太網(wǎng)的終端的。 V LA N 1 V LA N 2 V LA N 3 同一物理以太網(wǎng) 三個功能上完全獨(dú)立的以太網(wǎng) 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 一般用戶終端和服務(wù)器不在同一個 VLAN，用戶終端訪問服務(wù)器必須經(jīng)過路由器，可以用路由器的信息傳輸控制功能對用戶終端訪問服務(wù)器過程進(jìn)行控制； ? 配置網(wǎng)絡(luò)設(shè)備的終端 A和網(wǎng)絡(luò)設(shè)備內(nèi)嵌的 Web服務(wù)器處于同一個 VLAN，且和其他 VLAN沒有任何邏輯聯(lián)系，是一個孤立的網(wǎng)絡(luò)，避免其他網(wǎng)絡(luò)終端配置網(wǎng)絡(luò)設(shè)備。 虛擬局域網(wǎng) 4 終端 A 終端 B 終端 C 終端 D 服務(wù)器 A 服務(wù)器 B S3 S4 S5 S6 S7 1 2 1 2 3 2 2 1 2 1 3 4 1 2 SiS1 S2 1 1 2 .0/ 24 .0/ 24 .0/ 24 終端 B 終端 C 終端 D 服務(wù)器 A 服務(wù)器 B .254 .254 目的網(wǎng)絡(luò) 距離 IP 接口 .0/ 24 1 V L A N 2 .0/ 24 1 V L A N 3 路由表 W eb 接口 終端 A 物理網(wǎng)絡(luò) 由物理網(wǎng)絡(luò)劃分成的三個虛擬局域網(wǎng) 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬路由器 ? 基于安全的原因，有些單位要求連接內(nèi)部網(wǎng)絡(luò)資源的辦公網(wǎng)絡(luò)和用于訪問外部網(wǎng)絡(luò)資源的網(wǎng)絡(luò)相互獨(dú)立； ? 但辦公終端和用于訪問外部網(wǎng)絡(luò)資源的終端不是一成不變的，需要經(jīng)常調(diào)整，當(dāng)然，這種調(diào)整最好不要改變網(wǎng)絡(luò)的物理結(jié)構(gòu)。虛擬路由器就用于實(shí)現(xiàn)將單一物理網(wǎng)絡(luò)劃分為多個獨(dú)立的邏輯網(wǎng)絡(luò)的功能。 V LA N 1 V LA N 2 VR VR V LA N 3 V LA N 4 VR VR