亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        交換機(jī)的安全配置

        2018-03-03 18:36:09
        網(wǎng)絡(luò)安全和信息化 2018年1期
        關(guān)鍵詞:按鈕策略設(shè)備

        作為交換機(jī)可謂網(wǎng)絡(luò)結(jié)構(gòu)的骨干關(guān)節(jié),強(qiáng)化交換機(jī)的安全,對于保證網(wǎng)絡(luò)安全運(yùn)行是極為重要的。因為各種網(wǎng)絡(luò)設(shè)備都是連接到交換機(jī)上的,網(wǎng)絡(luò)流量必須通過交換機(jī)才可以發(fā)送和接收。

        對網(wǎng)管員來說,對交換機(jī)進(jìn)行各種安全配置可以有效保護(hù)其正常運(yùn)行。要想實現(xiàn)對交換機(jī)的安全管理,還必須與其他安全控制設(shè)備緊密配合。例如,使用ISE設(shè)備就可以很好的保護(hù)交換機(jī)接入的安全性等。這里就以思科Catalyst 3560系列交換機(jī)為例,來說明具體的配置方法。

        認(rèn)證、授權(quán)、訪問權(quán)限配置

        全局啟用Dot1x認(rèn)證

        在該系列某交換機(jī)上進(jìn)入全局配置模式,執(zhí)行“aaa new-model”,“aaa authentication login noacs line none”,“aaa session-id common”,“aaa authentication dot1x default group radius”,“aaa authorization network default group radius”,“aaa acconut dot1x default start-stop group radius”,“dot1x system-auth-control”等命令,來全局啟用Dot1x認(rèn)證,授權(quán)和審計功能,并啟用了3A線下保護(hù)功能。

        執(zhí) 行“aaa server radius dynamic-auther”,“client xxx.xxx.xxx.xxx server-key cisco1”命令,啟用COA功能,其中的“xxx.xxx.xxx.xxx”為AAA服務(wù)器的IP。其中的“cisco1”為密碼,注意其必須與Radius的密碼一致。

        COA授權(quán)更改功能

        COA指的是授權(quán)改變功能,COA主要用于設(shè)備識別和準(zhǔn)入控制之用。當(dāng)PC等設(shè)備接入交換機(jī)后,會將其信息提交給AAA服務(wù)器。

        如果AAA服務(wù)器檢測到其安全性無法滿足要求(例如系統(tǒng)版本過低,沒有安裝補(bǔ)丁和安全軟件等),就將其規(guī)劃到特殊的VLAN中,該VLAN會受到嚴(yán)格的權(quán)限控制。當(dāng)該機(jī)經(jīng)過升級等操作后,滿足了安全性要求,AAA服務(wù)器就可以將其指派到合法的VLAN中。

        于是,通過Radius主要推送相關(guān)的授權(quán)信息給交換機(jī),來實現(xiàn)上述要求,讓該機(jī)獲得合適的網(wǎng)絡(luò)訪問權(quán)限。在這種情況下,AAA服務(wù)就成為了交換機(jī)的Client端,即交換機(jī)要對AAA服務(wù)器進(jìn)行認(rèn)證。

        配置最小網(wǎng)絡(luò)訪問權(quán)限

        在交換機(jī)上執(zhí)行“radius-server attribute 6 on-for-login-auth”命令,表示進(jìn)行認(rèn)證時,交換機(jī)會在Radius的第一個請求包中不僅會將用戶名和密碼發(fā)送給AAA服務(wù)器,還會將標(biāo)號為6的服務(wù)類型信息也發(fā)送過去,AAA服務(wù)器會根據(jù)該信息來匹配對應(yīng)的策略。 執(zhí) 行“radius-server attribute 8 include-inaccess-req”命令,可以在Radius的第一個請求包中將設(shè)備的IP地址一并發(fā)送過去。這樣,AAA服務(wù)器可以根據(jù)其IP進(jìn)行相應(yīng)的控制。

        執(zhí) 行“radius-server dead-criteria time 5 tries 3”命令,表示在間隔五秒的情況下連續(xù)三次發(fā)送信息給AAA服務(wù)器,如果其沒有應(yīng)答說明AAA服務(wù)器已經(jīng)宕機(jī)。執(zhí)行“radiusserver host xxx.xxx.xxx.xxx”,“radius-server key cisco”命令,指定AAA服務(wù)器的IP和 密碼。為了合理控制設(shè)備的網(wǎng)絡(luò)權(quán)限,需要配置基本的ACL列表,在交換機(jī)上執(zhí)行“ip access-list extended ACL-DEFAULT”,“permit usp any eq bootpc any eq bootps”,“permit udp any any eq domain”,“permit icmp any any”,“permit udp any any eq tftp”,“deny ip any any log”,“exit”命令。配置名為“ACL-DEFAULT”的擴(kuò)展ACL列表,僅僅放行DHCP、DNS、Ping、TFTP的流量。這樣,如果設(shè)備沒有經(jīng)過認(rèn)證,那么其只能擁有這些網(wǎng)絡(luò)訪問權(quán)限。

        配置MAB

        配置MAB認(rèn)證策略

        例如在上述Fa 0/2上連接了一臺路由器R1,其不支持DotX認(rèn)證,所有可以使用MAB認(rèn)證模式。這樣,交換機(jī)就會將其MAC地址作為賬戶名和密碼,將其提交給AAA設(shè)備進(jìn)行認(rèn)證。要想讓其通過MAB認(rèn)證,必須在AAA服務(wù)器上為其配置對應(yīng)測策略。這里以ISE設(shè)備作為AAA服務(wù)器,登錄到ISE設(shè)備上,在其管理界面依次點擊菜單“Operation”、“Authentications” 項 可查看認(rèn)證信息。點擊菜單“Policy” 、“Authenti catuins”項,在默認(rèn)策略中可看到其可以匹配默認(rèn)的MAB策略。并可以將其發(fā)送到內(nèi)部終端數(shù)據(jù)庫上進(jìn)行認(rèn)證,但默認(rèn)的數(shù)據(jù)庫中并沒有其認(rèn)證信息。

        點擊“Administration”、“Groups”項,在打開窗口左側(cè)選擇“Endpoint Identity Group”項,在右側(cè)工具欄上點擊“Add”按鈕,依次輸入組名(例如“group1”),描述信息等內(nèi)容,點擊“Submit”提交。之后需創(chuàng)建一個終端用戶,點擊“Administration”、“Identities”項,在 左 側(cè)點擊“Endpoints”項,在右側(cè)點擊“Add”按鈕,依次輸入該設(shè)備(例如路由器R1)的MAC地址,注意格式必須為“xx:xx:xx:xx:xx:xx”。在“I d e n t i t y G r o u p Assignment”列表中顯示所有的組信息,選擇上述“group1”組。

        在“Policy Assignment”列表中選擇對應(yīng)的設(shè)備類型,如“Cisco-Router”。點擊“Submit”提交。在R1路由器的全局配置模式下執(zhí)行“show authentication sessions interface fa0/2”,在返回信息中“mab”欄中顯示“Authc Success”信息,說明其已經(jīng)通過了MAB認(rèn)證。也可以在ISE管理界面中點擊菜單“Operations”、“Authentications”項,在日志信息中顯示該設(shè)備的MAC地址信息,并提示已經(jīng)通過安全認(rèn)證。

        配置MAB授權(quán)策略

        當(dāng)然,該設(shè)備雖然進(jìn)過了認(rèn)證,但是卻沒有對其進(jìn)行任何授權(quán)。點擊菜單“Policy”、“Authorization”項,顯示默認(rèn)的授權(quán)策略,對應(yīng)該設(shè)備的是“Wired_MAB”策略,其擁有的只能是“PermitAccess” 授 權(quán)策略,幾乎不具備任何網(wǎng)絡(luò)訪問權(quán)限,因為其會受到 上 述“ACL-DEFAULT”ACL列表的管控。這里以簡單的例子,來說明如何對該設(shè)備進(jìn)行授權(quán)。點擊菜單“Policy”、“Results”項,在左側(cè)選擇“Authorization”、“Downloadable Profiles”項,在右側(cè)工具欄上點擊“Add”按鈕,輸入妨礙DACL的名稱(例如“dacl1”),描述信息等內(nèi)容,在“*DACL Content”欄中輸入具體的控制內(nèi)容,例如“permit ip any any”,表示放行該設(shè)備的所有流量。注意,源必須為“any”。可是在該控制語句生效時,利用設(shè)備地址追蹤功能,可以使用目標(biāo)設(shè)備的實際IP對其進(jìn)行替換。

        當(dāng)然,在實際的管理中,管理員可以靈活的設(shè)計各種ACL語句,對設(shè)備進(jìn)行合理的控制。點擊“Submit”按鈕提交修改。在左側(cè)點 擊“Authorization”、“Authorization Profiles”項,在右側(cè)點擊“Add”按鈕,輸 入 其 名 稱(例 如“profile1”)和描述信息,在“Common Tasks”欄中選擇“DACL Name”項,并選擇上述“dacl1”項目。選擇“VLAN”項,在右側(cè)的“Tag ID”欄中設(shè)置合適的VLAN號,這樣當(dāng)該設(shè)備通過授權(quán)后,可以被規(guī)劃到該VLAN中。其余設(shè)置默認(rèn),點擊“Submit”按鈕提交修改。點擊“Policy”、“Authorization”項,在 授權(quán)管理列表最上一行右側(cè)點擊“Edit”旁的倒三角按鈕,在彈出菜單中點擊“Insert New Rule Above”項,在列表頂部添加一條規(guī)則。

        在“Rule Name”列中輸入 其名 稱(例 如“rule1”),在“Conditions”列中選擇對應(yīng)的組(如上述“group1”組),并設(shè)置合適的條件(例如“Wired_MAB”),可 以 添加多個條件(例如地點1的設(shè)備等),彼此間是AND關(guān)系等。在授權(quán)列中選擇上 述“profile1”授 權(quán) 項目。點擊“Done”保存該規(guī)則。 點擊“Save”保存 修改。在ISE管理界面中點擊“Operations”、“Authenti cations”項,在日志信息中顯示該設(shè)備已獲取了上述授權(quán)規(guī)則。在該路由器上執(zhí)行“show authentication sessions interface fa0/2”命令,在返回信息中的“ACS ACL”欄中顯示獲取的授權(quán)ACL信息。執(zhí)行“sh ip device tracking interface fa 0/2”命令,顯示該接口獲取的IP地址信息。執(zhí)行“show ip access-lists interface fa 0/2”命令,顯示其實際獲取的ACL控制規(guī)則。這樣,該設(shè)備就可以自由的訪問各種網(wǎng)絡(luò)資源了。

        更 正

        2017年第12期信息安全欄目第121頁《高校宿舍網(wǎng)絡(luò)安全問題》一文署名更正為“北京 池新杰”,特此說明,并在此對作者表示歉意。

        猜你喜歡
        按鈕策略設(shè)備
        哪個是門鈴真正的按鈕
        當(dāng)你面前有個按鈕
        諧響應(yīng)分析在設(shè)備減振中的應(yīng)用
        例談未知角三角函數(shù)值的求解策略
        我說你做講策略
        基于MPU6050簡單控制設(shè)備
        電子制作(2018年11期)2018-08-04 03:26:08
        高中數(shù)學(xué)復(fù)習(xí)的具體策略
        500kV輸變電設(shè)備運(yùn)行維護(hù)探討
        內(nèi)心不能碰的按鈕
        Passage Four
        福利一区二区三区视频午夜观看| 日韩视频在线观看| 又黄又硬又湿又刺激视频免费| 国产精品一区二区久久| 色窝综合网| 成人大片免费在线观看视频| 亚洲亚洲人成综合丝袜图片| 天天做天天躁天天躁| 国产精品女同久久免费观看| 亚洲av乱码国产精品观| 亚洲人成欧美中文字幕| 欧美xxxx黑人又粗又长精品| 日本韩国三级aⅴ在线观看 | av天堂中文亚洲官网| 在线视频夫妻内射| 无码手机线免费观看| 日韩av中出在线免费播放网站| 射进去av一区二区三区| 人人妻人人澡人人爽国产一区| 中文无码制服丝袜人妻av| 91综合久久婷婷久久| 亚洲乱码一区二区av高潮偷拍的 | 99热久久精里都是精品6| 久久99精品久久久久九色| 日韩一本之道一区中文字幕| 精品久久久无码人妻中文字幕豆芽 | 人人澡人人妻人人爽人人蜜桃麻豆 | 中文字幕一区二区三区在线视频| 免费看黄色亚洲一区久久| 久激情内射婷内射蜜桃| 国产日韩A∨无码免费播放| 日本一道本加勒比东京热| 加勒比一本heyzo高清视频| 熟妇人妻中文av无码| 亚洲精品中文字幕乱码二区 | av网页在线免费观看| 国产一区二区视频免费在| 熟女人妻在线视频| 亚洲欧洲日产国码无码| 国产精品一区av在线| 无码国产伦一区二区三区视频|