ImageVerifierCode 换一换
格式:DOCX , 页数:8 ,大小:128.81KB ,
资源ID:8758210      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8758210.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(基于校园网络的核心交换机安全配置.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

基于校园网络的核心交换机安全配置.docx

1、 基于校园网络的核心交换机的防攻击策略 ★姓名: 沈斌良 班级: 计算机083 学号: 08011187 姓名: 陈显锚 班级: 计算机083 学号: 08011216 (★为本方案的主要负责同学) 计算机与信息学院 二〇一一年六月 一、方案背景 随着高校信息化建设的发展,高校校园网普及程度越来越高,校园网在教学、科研、校内政务管理方面起到了积极

2、地作用。校园计算机网络的建设已成为学校建设中,上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网,一些学校已开始将网络节点延伸至学生寝室,即将校园网面向学生全面开放,使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会,校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内,在一定的教育思想和理论指导下,为学校教学,科研和管理等教育提供资源共享,信息交流和协同工作的计算机网络。由于校园网的特殊性和高校学生群体的特殊性,校园网络受到了更多的攻击,包括黑客恶意攻击和无意识攻击。在核心交换机配置防攻击

3、策略,可以达到保护校园骨干网的正常运行,提高校园网的完全性。 二、方案设计任务分工 沈斌良:方案撰写 陈显锚:资料搜集 三、需求分析 该方案主要致力于在校园网络中对于核心交换机的安全配置,随着校园网的普及和迅速发展,校园网的安全性成为当前备受关注的问题。核心交换机较高的可靠性和性能,不仅保障了骨干网高速转发通信和性能优化,而且通过防防攻击策略,可以提高校园网的安全性。在核心交换机中,我们主要需要解决一下几个问题: 1.MAC/CAM攻击防范; 2.DHCP攻击防范; 3.ARP攻击防范; 这3个安全防范对于校园网络来说是非常重要的: 1.MAC/CAM攻击防范:交换机主动学

4、习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。 2.DHCP攻击防范:采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,随之存在

5、的隐患有DHCP server的冒充、DHCP server的Dos攻击、用户随便指定地址而造成网络地址冲突。 3.ARP攻击防范:ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目,造成网络中断或中间人攻击。 四、网络安全设计方案 1. 网络拓扑结构图 图表 1 网络拓扑图 2. 设备选型 鉴于本方案主要是实施在核心交换机上,因此其他设备不做介绍,主要介绍核心交换机的选择。核心交换设备应当采用高性能模块化三层交换机,支持交换引擎冗余和

6、关键部件的热插拔。建议选择Cisco Catalyst 6500-E系列(如图2所示)或锐捷RG―S8600系列产品。较小规模的学院级校园网络,也可以选择Cisco Catalyst 6500-E系列或锐捷RG―S6800-E系列产品作为核心交换机。 图表 2 Cisco Catalyst 6500-E 3. 安全架构分析 本设计的安全架构分析主要基于在需求分析中所提出的三种攻击防范,通过在核心交换机中的命令输入来实现对其的配置。 1.MAC/CAM攻击防范: 通过Port Security feature可以防止MAC和MAC/CAM攻击.。通过配置PortSecu

7、rity可以控制端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址、对于超过规定数量的MAC处理进行违背处理。例如,端口上最大可通过的MAC地址为10,通过端口的MAC地址为000b.dbld.6ccd。对于超过数量的MAC的非法流量丢弃并报警,具体配置如下: Switch(config-if)#switchport port—security maximum 10 Switch(Config—if)#switchportport—security mac-address sticky 010c.dbld.6ccd Switch(config—if)#switchport

8、 port—security violation restrict 2.DHCP攻击防范; 通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自小信任区域的DHCP信息。例如:对VLANl00使用DHCP嗅探过滤信息;设置信任端口正常转发DHCP Offer报文,不记录ip和mac地址的绑定,其余端口默认为不信任端口:绑定静态ip和mac。具体配置如下: Switch(config)#ip dhcp snooping vlanl00 Switch(config)#int e1 Switch(Config—if)#iP dhcp snoopin

9、g trust Switch#ip dhcp snooping binding 0lOc.dbld.6ccd vlan 7 192.168.10.5 interface e1 3.ARP攻击防范: Dynamic ARP Inspect Inspection( (DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snoopi ng绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access一1ist实现⋯。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量

10、 定义arp inspection作用的vlan,它是根据dhcp snooping binding表做判断的:侦测满足src-mac dst-mac ip有效客户端: Switch(config)#ip dhcp snooping vlan 100 Switch(config)#ip arp inspection vlan 100 Switch(config)#ip arp inspection validate src—mac dst-mac ip 定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等;定义接口每秒ARP报文数量: Switch(config)#int

11、 e1 Switch(config—if)#ip arp inspection trust /* ip arp inspection 1imit rate 20 对于没有使用DHCP设备可以采用下面办法: Switch(config)#arp access一1ist static—arp Switch(config)#permit ip host 192.168.55.11 mac host 0016.9bcc.d154 Switch(config)#ip arp inspection filter static—arp vlan lOO 五、总结 本文主要介绍了校园网常见的

12、攻击方法,以及在核心交换机针对这些攻击采取的防攻击策略的具体实施,实践证明,整个网络提高了抗攻击性,网络运行状态更为稳定。大学校园网安全是一项系统工程,在实施时要充分考虑各种情况,针对各种不同情况采取相应的措施。基于核心交换机的安全只是其中比较重要的一项,但只要长期有效的坚持,河里地配置好网络设备,再将防火墙、入侵检测系统、网络杀毒等系统纳入,就可以构筑立体的、动态的、安全灵便的网络空间,为学生和教师提供安全的上网环境。 当然除了这些,还有包括一些比如vlan的划分、建立访问控制列表控制权限、IP与MAC地址绑定、一些危险端口的关闭等,由于比较简单在,就不一一举例了。核心交换机中除了设置安全策略之外,还需要设置其他许多的东西,这也是我们以后需要深入学习的,不过通过这次的资料搜集和仔细研究,我们也收获了很多,这3种安全防范就是我们通过查阅资料总结出来的,虽然没有实践过,但是通过这些代码我们也学到了如何对交换机进行安全方面的设置。

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服