一、什么是端口安全
端口安全是指保护计算机端口免受未经授权的访问、攻击或滥用的一种措施。计算机上的每个服务或应用程序都依靠特定的端口进行通信。端口安全的目的是限制对计算机端口的访问,确保只有经过授权的用户或服务可以使用这些端口。通过配置防火墙、访问控制列表和其他安全措施,可以实施端口安全。这样可以减少攻击者利用未保护的端口进行入侵或滥用服务的可能性。
二、为什么要做端口安全,有什么用
防止非授权访问:通过限制端口的访问权限,可以防止未经授权的用户或攻击者访问计算机或网络系统。
防止端口扫描:端口扫描是黑客常用的侦察技术,用于发现系统中开放的端口和服务。通过实施端口安全措施,可以减少黑客对端口扫描的成功率,从而提高系统的安全性。
防止服务滥用:计算机或网络中的某些服务可能存在安全漏洞,黑客可以通过利用这些漏洞来入侵系统。通过关闭或限制对敏感服务端口的访问,可以减少系统被黑客滥用的风险。
提高系统的可用性:一些恶意软件和网络攻击可能会利用系统的开放端口进行拒绝服务(Denial of Service)攻击,导致系统不可用。通过对端口进行安全管理,可以减少这类攻击的影响,并提高系统的可用性。
合规要求:一些行业或组织可能对端口的安全性有特定的合规要求,例如金融、医疗和政府部门。通过进行端口安全,可以确保满足这些合规要求,避免可能的法律风险和处罚。
三、拓扑图与配置命令及步骤
<Huawei>sy
[Huawei]un in e
[Huawei]sys s1
[s1]int g0/0/1
[s1-GigabitEthernet0/0/1]port-security enable //开启端口安全功能
[s1-GigabitEthernet0/0/1]port-security max-mac-num 2 //配置最大的MAC地址学习数量为2
[s1-GigabitEthernet0/0/1]port-security protect-action shutdown //配置安全保护动作为将端口shutdown
pc1、pc2 访问 pc4
查看s1的MAC地址表
[s1-GigabitEthernet0/0/1]int g0/0/2
[s1-GigabitEthernet0/0/2]port-security enable //使能端口安全功能
[s1-GigabitEthernet0/0/2]port-security mac-add sticky //使能Sticky MAC功能
[s1-GigabitEthernet0/0/2]port-security mac-add sticky 5489-9809-5783 vlan 1 //配置VLAN 1的安全静态MAC地址
[s1-GigabitEthernet0/0/2]port-security max-mac-num 1 //配置该接口的最大学习数量为1
继续查看S1的MAC地址表
[s1-GigabitEthernet0/0/2]int g0/0/3
[s1-GigabitEthernet0/0/3]port-security enable //使能端口安全功能
[s1-GigabitEthernet0/0/3]port-security mac-add sticky //使能Sticky MAC功能
[s1-GigabitEthernet0/0/3]port-security max-mac-num 1 //配置该接口的最大学习数量为1
查看配置完后的S1的MAC地址表
用PC4访问PC3
在查看S1的MAC地址表