單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,交換機(jī)端口安全,案例一,交換機(jī)主動(dòng)學(xué)習(xí)客戶端的,MAC,地址，并建立和維護(hù)端口和,MAC,地址的對(duì)應(yīng)表,CAM,表,根本原因,CAM,表的大小是固定的,攻擊者利用工具產(chǎn)生大量的,MAC,快速填滿交換機(jī)的,CAM,表，交換機(jī)就像,HUB,一樣工作，非法攻擊者可以利用監(jiān)聽(tīng)工具監(jiān)聽(tīng)所有端口的流量,案例分析,MAC,攻擊,設(shè)置端口安全功能,switchport port-security,設(shè)置端口允許合法,MAC,地址的數(shù)目,switchport port-security maximum,num,防范方法,設(shè)置超過(guò)端口允許的最大,MAC,地址數(shù)后端口行為,switchport port-security violation,act,shutdown,端口關(guān)閉,protect,端口不轉(zhuǎn)發(fā)數(shù)據(jù)，不報(bào)警,restrict,端口不轉(zhuǎn)發(fā)數(shù)據(jù)，報(bào)警,防范方法,靜態(tài)設(shè)置每個(gè)端口所允許連接的合法,MAC,地址，實(shí)現(xiàn)設(shè)備級(jí)的安全授權(quán),switchport port-security mac-address,X.X.X,防范方法,案例二：,IP,地址欺騙,常見(jiàn)的欺騙攻擊種類有,MAC,欺騙、,IP,欺騙、,IP/MAC,欺騙，偽造身份,病毒和木馬的攻擊也會(huì)使用欺騙的源,IP,地址，掩蓋真實(shí)的源主機(jī),設(shè)置“端口,+MAC+IP,”綁定,設(shè)置,MAC,地址訪問(wèn)控制列表,設(shè)置,IP,地址訪問(wèn)控制列表,最后把兩種,ACL,應(yīng)用到端口,防范方法,設(shè)置,IP,地址訪問(wèn)控制列表,ip access-list extended,mac-acl-name,設(shè)置規(guī)則,permit/deny protocol,source-ip,des-ip,eq,port,應(yīng)用到端口,mac access-group,mac-acl-name,in/out,ip access-group,ip-acl-name,in/out,防范方法,。