亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        交換機(jī)的安全配置

        2018-03-03 18:36:09
        網(wǎng)絡(luò)安全和信息化 2018年1期
        關(guān)鍵詞:按鈕策略設(shè)備

        作為交換機(jī)可謂網(wǎng)絡(luò)結(jié)構(gòu)的骨干關(guān)節(jié),強(qiáng)化交換機(jī)的安全,對于保證網(wǎng)絡(luò)安全運(yùn)行是極為重要的。因為各種網(wǎng)絡(luò)設(shè)備都是連接到交換機(jī)上的,網(wǎng)絡(luò)流量必須通過交換機(jī)才可以發(fā)送和接收。

        對網(wǎng)管員來說,對交換機(jī)進(jìn)行各種安全配置可以有效保護(hù)其正常運(yùn)行。要想實現(xiàn)對交換機(jī)的安全管理,還必須與其他安全控制設(shè)備緊密配合。例如,使用ISE設(shè)備就可以很好的保護(hù)交換機(jī)接入的安全性等。這里就以思科Catalyst 3560系列交換機(jī)為例,來說明具體的配置方法。

        認(rèn)證、授權(quán)、訪問權(quán)限配置

        全局啟用Dot1x認(rèn)證

        在該系列某交換機(jī)上進(jìn)入全局配置模式,執(zhí)行“aaa new-model”,“aaa authentication login noacs line none”,“aaa session-id common”,“aaa authentication dot1x default group radius”,“aaa authorization network default group radius”,“aaa acconut dot1x default start-stop group radius”,“dot1x system-auth-control”等命令,來全局啟用Dot1x認(rèn)證,授權(quán)和審計功能,并啟用了3A線下保護(hù)功能。

        執(zhí) 行“aaa server radius dynamic-auther”,“client xxx.xxx.xxx.xxx server-key cisco1”命令,啟用COA功能,其中的“xxx.xxx.xxx.xxx”為AAA服務(wù)器的IP。其中的“cisco1”為密碼,注意其必須與Radius的密碼一致。

        COA授權(quán)更改功能

        COA指的是授權(quán)改變功能,COA主要用于設(shè)備識別和準(zhǔn)入控制之用。當(dāng)PC等設(shè)備接入交換機(jī)后,會將其信息提交給AAA服務(wù)器。

        如果AAA服務(wù)器檢測到其安全性無法滿足要求(例如系統(tǒng)版本過低,沒有安裝補(bǔ)丁和安全軟件等),就將其規(guī)劃到特殊的VLAN中,該VLAN會受到嚴(yán)格的權(quán)限控制。當(dāng)該機(jī)經(jīng)過升級等操作后,滿足了安全性要求,AAA服務(wù)器就可以將其指派到合法的VLAN中。

        于是,通過Radius主要推送相關(guān)的授權(quán)信息給交換機(jī),來實現(xiàn)上述要求,讓該機(jī)獲得合適的網(wǎng)絡(luò)訪問權(quán)限。在這種情況下,AAA服務(wù)就成為了交換機(jī)的Client端,即交換機(jī)要對AAA服務(wù)器進(jìn)行認(rèn)證。

        配置最小網(wǎng)絡(luò)訪問權(quán)限

        在交換機(jī)上執(zhí)行“radius-server attribute 6 on-for-login-auth”命令,表示進(jìn)行認(rèn)證時,交換機(jī)會在Radius的第一個請求包中不僅會將用戶名和密碼發(fā)送給AAA服務(wù)器,還會將標(biāo)號為6的服務(wù)類型信息也發(fā)送過去,AAA服務(wù)器會根據(jù)該信息來匹配對應(yīng)的策略。 執(zhí) 行“radius-server attribute 8 include-inaccess-req”命令,可以在Radius的第一個請求包中將設(shè)備的IP地址一并發(fā)送過去。這樣,AAA服務(wù)器可以根據(jù)其IP進(jìn)行相應(yīng)的控制。

        執(zhí) 行“radius-server dead-criteria time 5 tries 3”命令,表示在間隔五秒的情況下連續(xù)三次發(fā)送信息給AAA服務(wù)器,如果其沒有應(yīng)答說明AAA服務(wù)器已經(jīng)宕機(jī)。執(zhí)行“radiusserver host xxx.xxx.xxx.xxx”,“radius-server key cisco”命令,指定AAA服務(wù)器的IP和 密碼。為了合理控制設(shè)備的網(wǎng)絡(luò)權(quán)限,需要配置基本的ACL列表,在交換機(jī)上執(zhí)行“ip access-list extended ACL-DEFAULT”,“permit usp any eq bootpc any eq bootps”,“permit udp any any eq domain”,“permit icmp any any”,“permit udp any any eq tftp”,“deny ip any any log”,“exit”命令。配置名為“ACL-DEFAULT”的擴(kuò)展ACL列表,僅僅放行DHCP、DNS、Ping、TFTP的流量。這樣,如果設(shè)備沒有經(jīng)過認(rèn)證,那么其只能擁有這些網(wǎng)絡(luò)訪問權(quán)限。

        配置MAB

        配置MAB認(rèn)證策略

        例如在上述Fa 0/2上連接了一臺路由器R1,其不支持DotX認(rèn)證,所有可以使用MAB認(rèn)證模式。這樣,交換機(jī)就會將其MAC地址作為賬戶名和密碼,將其提交給AAA設(shè)備進(jìn)行認(rèn)證。要想讓其通過MAB認(rèn)證,必須在AAA服務(wù)器上為其配置對應(yīng)測策略。這里以ISE設(shè)備作為AAA服務(wù)器,登錄到ISE設(shè)備上,在其管理界面依次點擊菜單“Operation”、“Authentications” 項 可查看認(rèn)證信息。點擊菜單“Policy” 、“Authenti catuins”項,在默認(rèn)策略中可看到其可以匹配默認(rèn)的MAB策略。并可以將其發(fā)送到內(nèi)部終端數(shù)據(jù)庫上進(jìn)行認(rèn)證,但默認(rèn)的數(shù)據(jù)庫中并沒有其認(rèn)證信息。

        點擊“Administration”、“Groups”項,在打開窗口左側(cè)選擇“Endpoint Identity Group”項,在右側(cè)工具欄上點擊“Add”按鈕,依次輸入組名(例如“group1”),描述信息等內(nèi)容,點擊“Submit”提交。之后需創(chuàng)建一個終端用戶,點擊“Administration”、“Identities”項,在 左 側(cè)點擊“Endpoints”項,在右側(cè)點擊“Add”按鈕,依次輸入該設(shè)備(例如路由器R1)的MAC地址,注意格式必須為“xx:xx:xx:xx:xx:xx”。在“I d e n t i t y G r o u p Assignment”列表中顯示所有的組信息,選擇上述“group1”組。

        在“Policy Assignment”列表中選擇對應(yīng)的設(shè)備類型,如“Cisco-Router”。點擊“Submit”提交。在R1路由器的全局配置模式下執(zhí)行“show authentication sessions interface fa0/2”,在返回信息中“mab”欄中顯示“Authc Success”信息,說明其已經(jīng)通過了MAB認(rèn)證。也可以在ISE管理界面中點擊菜單“Operations”、“Authentications”項,在日志信息中顯示該設(shè)備的MAC地址信息,并提示已經(jīng)通過安全認(rèn)證。

        配置MAB授權(quán)策略

        當(dāng)然,該設(shè)備雖然進(jìn)過了認(rèn)證,但是卻沒有對其進(jìn)行任何授權(quán)。點擊菜單“Policy”、“Authorization”項,顯示默認(rèn)的授權(quán)策略,對應(yīng)該設(shè)備的是“Wired_MAB”策略,其擁有的只能是“PermitAccess” 授 權(quán)策略,幾乎不具備任何網(wǎng)絡(luò)訪問權(quán)限,因為其會受到 上 述“ACL-DEFAULT”ACL列表的管控。這里以簡單的例子,來說明如何對該設(shè)備進(jìn)行授權(quán)。點擊菜單“Policy”、“Results”項,在左側(cè)選擇“Authorization”、“Downloadable Profiles”項,在右側(cè)工具欄上點擊“Add”按鈕,輸入妨礙DACL的名稱(例如“dacl1”),描述信息等內(nèi)容,在“*DACL Content”欄中輸入具體的控制內(nèi)容,例如“permit ip any any”,表示放行該設(shè)備的所有流量。注意,源必須為“any”。可是在該控制語句生效時,利用設(shè)備地址追蹤功能,可以使用目標(biāo)設(shè)備的實際IP對其進(jìn)行替換。

        當(dāng)然,在實際的管理中,管理員可以靈活的設(shè)計各種ACL語句,對設(shè)備進(jìn)行合理的控制。點擊“Submit”按鈕提交修改。在左側(cè)點 擊“Authorization”、“Authorization Profiles”項,在右側(cè)點擊“Add”按鈕,輸 入 其 名 稱(例 如“profile1”)和描述信息,在“Common Tasks”欄中選擇“DACL Name”項,并選擇上述“dacl1”項目。選擇“VLAN”項,在右側(cè)的“Tag ID”欄中設(shè)置合適的VLAN號,這樣當(dāng)該設(shè)備通過授權(quán)后,可以被規(guī)劃到該VLAN中。其余設(shè)置默認(rèn),點擊“Submit”按鈕提交修改。點擊“Policy”、“Authorization”項,在 授權(quán)管理列表最上一行右側(cè)點擊“Edit”旁的倒三角按鈕,在彈出菜單中點擊“Insert New Rule Above”項,在列表頂部添加一條規(guī)則。

        在“Rule Name”列中輸入 其名 稱(例 如“rule1”),在“Conditions”列中選擇對應(yīng)的組(如上述“group1”組),并設(shè)置合適的條件(例如“Wired_MAB”),可 以 添加多個條件(例如地點1的設(shè)備等),彼此間是AND關(guān)系等。在授權(quán)列中選擇上 述“profile1”授 權(quán) 項目。點擊“Done”保存該規(guī)則。 點擊“Save”保存 修改。在ISE管理界面中點擊“Operations”、“Authenti cations”項,在日志信息中顯示該設(shè)備已獲取了上述授權(quán)規(guī)則。在該路由器上執(zhí)行“show authentication sessions interface fa0/2”命令,在返回信息中的“ACS ACL”欄中顯示獲取的授權(quán)ACL信息。執(zhí)行“sh ip device tracking interface fa 0/2”命令,顯示該接口獲取的IP地址信息。執(zhí)行“show ip access-lists interface fa 0/2”命令,顯示其實際獲取的ACL控制規(guī)則。這樣,該設(shè)備就可以自由的訪問各種網(wǎng)絡(luò)資源了。

        更 正

        2017年第12期信息安全欄目第121頁《高校宿舍網(wǎng)絡(luò)安全問題》一文署名更正為“北京 池新杰”,特此說明,并在此對作者表示歉意。

        猜你喜歡
        按鈕策略設(shè)備
        哪個是門鈴真正的按鈕
        當(dāng)你面前有個按鈕
        諧響應(yīng)分析在設(shè)備減振中的應(yīng)用
        例談未知角三角函數(shù)值的求解策略
        我說你做講策略
        基于MPU6050簡單控制設(shè)備
        電子制作(2018年11期)2018-08-04 03:26:08
        高中數(shù)學(xué)復(fù)習(xí)的具體策略
        500kV輸變電設(shè)備運(yùn)行維護(hù)探討
        內(nèi)心不能碰的按鈕
        Passage Four
        亚洲一区二区三区一站| 婷婷开心五月亚洲综合| 欧洲综合色| 国产成人亚洲精品电影| 日韩精品高清不卡一区二区三区| 国产成人精品人人做人人爽97| 三年中文在线观看免费大全| 免费一区二区三区久久| 国产小车还是日产的好| 精品女厕偷拍视频一区二区| 久久精品国产亚洲av网站| 亚洲男人av香蕉爽爽爽爽| 2020最新国产激情| 国产主播性色av福利精品一区| 熟女少妇精品一区二区| 亚洲日本va中文字幕久久| 夫妻一起自拍内射小视频 | 那有一级内射黄片可以免费看| 毛片无码国产| 亚洲男人天堂2017| 免费av在线视频播放| 久久久久免费精品国产| 伊人久久五月丁香综合中文亚洲| 国产av一区二区三区区别| 色婷婷在线一区二区三区| 男人的天堂av网站| 97久久久久人妻精品专区| 青青草针对华人超碰在线| 亚洲国产精品久久又爽av| 骚片av蜜桃精品一区| ZZIJZZIJ亚洲日本少妇| 亚洲永久精品日韩成人av| 日本少妇浓毛bbwbbwbbw| 亚洲 都市 校园 激情 另类| 麻美由真中文字幕人妻| 亚洲一区二区三区乱码在线中国| 国产精品18久久久久久麻辣| 在线观看亚洲你懂得| 不卡免费在线亚洲av| 青青国产揄拍视频| 国产精品自产拍在线观看免费|