精华内容
下载资源
问答
  • 华为网络设备上常用的安全技术 安全技术1:am 说明: am 访问管理简介 用户通过以太网交换机接入外部网络是一种典型的以太网接入组网方案――外部网络与以太网交换机相连,以太网交换机与HUB相连,HUB汇集数量...

     华为网络设备上常用的安全技术

     

    安全技术1am

    说明:

    am 访问管理简介

    用户通过以太网交换机接入外部网络是一种典型的以太网接入组网方案――外部网络与以太网交换机相连,以太网交换机与HUB相连,HUB汇集数量不等的PC。组网示意图如下:

     

     

    当以太网交换机接入的用户数量不多时,从成本方面考虑,分配给不同企业的端口要求属于同一个 VLAN。同时为每个企业分配固定的 IP 地址范围,只有 IP 地址在该地址范围内的用户才能通过该端口接入外部网络。另外出于安全的考虑, 不同企业之间不能互通,利用以太网交换机提供的访问管理功能(端口和 IP 地址的绑定、端口间的二层隔离)可以实现这些需求下面将结合上图用一个实例来具体说明。

    机构1 和机构 2 同处一个 VLAN,通过同一台以太网交换机与外部网络相连。分配给机构 1 IP 地址范围为 202.10.20.1-202.10.20.20,只有IP 地址在该地址范围内的PC才能通过端口 1 接入外部网络,也就是将端口 1 IP 地址 202.10.20.1-202.10.20.20 ,进行了绑定。同样,分配给机构 2 IP 地址范围为202.10.20.21-202.10.20.50 ,只有IP 地址在该范围内的 PC才能通过端口 2 接入外部网络,也就是将端口 2 IP 地址 202.10.20.21-202.10.20.50 进行了绑定,由于两个机构的网络设备处在同一个 VLAN 中,如果不采用有效的隔离措施,机构1 内的PC将有可能和机构 2 中的 PC实现互通,通过在以太网交换机的端口上配置二层隔离功能,可以控制从端口 1 发出的报文不被端口 2 接收,端口2 发出的报文不被端口 1 接收,从而将端口 1 与端口 2 隔离开来保证了各机构的 PC只能与机构内的其他 PC正常通信。

     

    访问管理的主要配置包括

    使能访问管理功能

    在全局配置模式下进行下列配置

    使能访问管理功能   am enable

    关闭访问管理功能   undo am enable

    配置基于端口的访问管理 IP地址池

    在以太网端口模式下进行下列配置

    设置端口的访问控制IP地址池   am ip-pool { address-list }

    取消端口访问控制IP地址池的部分或全部IP地址   undo am ip-pool { all | address-list }

    3  配置端口间的二层隔离 S3526/S3526 FM/S3526 FS/S3526E/S3526E FM/S3526E FS/S3526C以太网交换机支持 

    设置端口的二层隔离,以使该端口与某个(或某组)端口间不能进行二层转发。在以太网端口模式下进行下列配置

    设置端口的二层隔离   am isolate interface-list

    取消对全部/部分端口的二层隔离   undo am  isolate interface-list

    4  基于 VLAN 方式配置端口隔离 S3552G/S3552P/S3528G/S3528P/ S3552F支持 

    VLAN视图下进行下列配置

    使能 VLAN内的端口二层隔离   port-isolate enable

    取消 VLAN内的端口二层隔离   undo port-isolate enable

    5  配置端口 /IP 地址 /MAC 地址的绑定 S3526E/S3526E FS/S3526E FM/S3526C以太网交换机支持 

    在系统视图下进行下列配置

    将端口 IP地址和 MAC地址绑定在一起  am user-bind { interface { interface-name | interface-type  interface-number } { mac-addr mac | ip-addr ip }* | mac-addr mac  { interface { interface-name | interface-type interface-number } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-number } | mac-addr mac }* }

    6  开启/关闭访问管理告警开关

    在全局配置模式下进行下列配置 

    开启访问管理告警功能   am trap enable

    关闭访问管理告警功能   undo am trap enable

    7 显示当前的访问控制配置信息

    显示当前的端口访问控制配置信息  display am [ interface-list ]

    显示端口 IP地址 MAC地址的绑定情况 display am user-bind [ interface { interface-name | interface-type interface-number } | mac-addr mac | ip-addr ip ]

     

    案例:

    组网需求

    机构1连接到以太网交换机的端口 1 机构 2连接到以太网交换机的端口 2 。端口 1和端口 2 属于同一个 VLAN。端口 1 下可以接入的 IP 地址范围为 202.10.20.1-202.10.20.20 ,端口 2下可以接入的 IP地址范围为202.10.20.21 -202.10.20.50

    机构1和机构 2的设备不能互通

     

    拓扑图为上图

     

    配置步骤

    # 全局开启访问管理功能 

    [Quidway] am enable

    # 配置端口 1上的访问管理 IP地址池 

    [Quidway-Ethernet0/1] am ip-pool 202.10.20.1 20

    # 设置端口1与端口 2二层隔离 

    [Quidway-Ethernet0/1] am isolate ethernet0/2

    # 配置端口 2上的访问管理 IP地址池 

    [Quidway-Ethernet0/2] am ip-pool 202.10.20.21 30

     

     

    安全技术2arp绑定

    说明: 

     ARP简介

    ARPAddress Resolution Protocol,地址解析协议)用于将网络层的 IP地址解析为数据链路层的物理地址(MAC地址)。

    ARP地址解析的必要性

    网络设备进行网络寻址时只能识别数据链路层的 MAC 地址,不能直接识别来自网络层的 IP地址。如果要将网络层中传送的数据报交给目的主机,必须知道该主机的MAC 地址。因此网络设备在发送报文之前必须将目的主机的 IP 地址解析为它可以识别的 MAC地址。

    ARP

    以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表,称为ARP映射表, ARP表的形式如图 1-2所示。 ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射关系。需要注意的是,这里仅仅对ARP映射表的基本实现进行介绍。不同公司的产品可能会在此基础上提供更多的信息。S2000-HI系列以太网交换机可以使用display arp命令查看ARP映射项信息。

    配置ARP

    S2000-HI系列以太网交换机的ARP表项分为:静态表项和动态表项

    静态ARP表项  用户手工配置的IP地址到MAC地址的映射

    进入系统视图  arp static ip-address mac-address [ vlan-id interface-type  interface-number ]

    动态ARP表项  交换机动态生成的IP地址到 MAC地址的映射 

    配置动态ARP老化定时器的时间  arp timer aging aging-time 

    使能ARP表项的检查功能(即不学习MAC地址为组播MAC的ARP表项)arp check enable  

    查看ARP映射表  display arp [ static | dynamic | ip-address ]

    清除ARP映射项  reset arp [ dynamic | static | interface  interface-type interface-number ]

    reset命令可以在用户视图下执行

     

    安全技术3mac地址绑定
    说明:
    MAC地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。
     
    MAC地址绑定的意义

        由于每个网络适配卡具有唯一的MAC地址,为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。以进行网络物理层面的安全保护。

    MAC地址绑定的运用

        由于MAC地址绑定的安全性能,所以被大多数的终端用户所运用,以保证网络非法用户从非法途径进入网络,盗用网络资源。这个技术被广泛运用电信,一些OA办公的网络系统。
     
    【命令】  am user-bind { interface { interface-name | interface-type  interface-number } { mac-addr mac | ip-addr ip }* | mac-addr mac  {interface interface-name | interface-type interface-number } | ip-addr ip }* | ip-addr ip {interface { interface-name | interface-type interface-number } | mac-addr mac }* } 
    【视图】
    系统视图
    【参数】
    interface { interface-name | interface-type interface-num }:以太网端口。
    mac-addr mac:MAC地址。
    ip-addr ip:IP地址。
    【描述】
    am user-bind用来将端口、IP和MAC地址绑定在一起。
    系统支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式:
    Port+IP绑定:将报文的接收端口和源IP地址绑定。指定端口将只允许指定IP地址的报文通过,不允许其它IP地址的报文通过,同时指定IP地址的报文只能从指定端口上通过,不能从其它端口上通过。
    PORT+MAC绑定:将报文的接收端口和源MAC绑定。指定端口将只允许指定MAC地址的报文通过,不允许其它MAC地址的报文通过,同时指定MAC地址的报文只能从指定端口上通过,不能从其它端口上通过。
    PORT+IP+MAC绑定:将报文的接收端口、源IP和源MAC绑定。指定端口将只允许指定IP地址和指定MAC地址的报文通过,不允许其它IP地址和MAC地址的报文通过。指定IP地址的报文只能从指定端口上通过,不能从其它端口上通过。指定MAC地址的报文只能从指定端口上通过,不能从其它端口上通过。
    IP+MAC绑定:将报文的源IP和源MAC绑定。如果报文的源IP地址与指定IP相同,则只有源MAC地址是指定的MAC地址时,该报文才被交换机转发,否则该报文不能被转发。同理,如果报文的MAC地址与指定的MAC地址相同,则只有源IP地址与指定的IP地址相同,该报文才被交换机转发,否则该报文不能被转发。
    注:不支持同时对一个端口做“PORT+IP+MAC”和“PORT+IP”绑定。
     
    假设IP地址10.1.1.2,MAC地址0000-0000-0001

    1、IP+MAC+端口绑定流程

    三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。

    2、采用DHCP-SECURITY来实现

    1.配置端口的静态MAC地址
    [SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
    2.配置IP和MAC对应表
    [SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
    3.配置dhcp-server组号(否则不允许执行下一步,此dhcp-server组不用在交换机上创建也可)
    [SwitchA-Vlan-interface1]dhcp-server 1
    4. 使能三层地址检测
    [SwitchA-Vlan-interface1]address-check enable

    3、采用AM命令来实现

    1.使能AM功能
    [SwitchA]am enable
    2.进入端口视图
    [SwitchA]vlan 10
    3. 将E0/1加入到vlan10
    [SwitchA-vlan10]port Ethernet 0/1
    4.创建(进入)vlan10的虚接口
    [SwitchA]interface Vlan-interface 10
    5.给vlan10的虚接口配置IP地址
    [SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
    6.进入E0/1端口
    [SwitchA]interface Ethernet 0/1
    7. 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网
    [SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10
     
     
    安全技术4acl
    说明:
    ACL简介

    ACLAccess Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

    ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。 ACL 定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。

    根据应用目的,可将 ACL分为下面几种:

    基本 ACL:只根据三层源 IP地址制定规则。

    高级 ACL:根据数据包的源 IP地址信息、目的 IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

    二层 ACL:根据源 MAC 地址、目的 MAC 地址、VLAN 优先级、二层协议类型等二层信息制定规则。

     

    ACL在交换机上的应用方式

    1. ACL直接下发到硬件中的情况

    交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流分类。此时一条 ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使在定义 ACL时配置了匹配顺序,该匹配顺序也不起作用。 ACL直接下发到硬件的情况包括:交换机实现 QoS功能时引用 ACL、通过 ACL过滤转发数据等。

    2. ACL被上层模块引用的情况

    交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时 ACL 规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和 auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条 ACL中多个规则的匹配顺序。用户一旦指定某一条 ACL的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。

    ACL被软件引用的情况包括:对登录用户进行控制时引用 ACL等。

     

    ACL 匹配顺序

    ACL 可能会包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。

    ACL 支持两种匹配顺序:

       配置顺序:根据配置顺序匹配ACL 规则。

       自动排序:根据“深度优先”规则匹配ACL 规则。

    “深度优先”规则说明如下:

    IP ACL(基本和高级 ACL )的深度优先以源IP 地址掩码和目的 IP 地址掩码长度排序,掩码越长的规则位置越靠前。排序时先比较源IP 地址掩码长度,若源 IP 地址掩码长度相等,则比较目的IP 地址掩码长度。例如,源IP 地址掩码为 255.255.255.0的规则比源IP 地址掩码为 255.255.0.0的规则匹配位置靠前。

     

    工作原理:
    通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。
     

    ACL 原则

    每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。   每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。 
     
    二层ACL
    . 组网需求:
    通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。
    .配置步骤:
    (1)定义时间段
    # 定义8:00至18:00的周期时间段。
    [Quidway] time-range huawei 8:00 to 18:00 daily
    (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
    # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
    [Quidway] acl name traffic-of-link link
    # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
    [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei
    (3)激活ACL。
    # 将traffic-of-link的ACL激活。
    [Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
     
    三层ACL
    a)基本访问控制列表配置案例
    . 组网需求:
    通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。
    .配置步骤:
    (1)定义时间段
    # 定义8:00至18:00的周期时间段。
    [Quidway] time-range huawei 8:00 to 18:00 daily
    (2)定义源IP为10.1.1.1的ACL
    # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
    [Quidway] acl name traffic-of-host basic
    # 定义源IP为10.1.1.1的访问规则。
    [Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei
    (3)激活ACL。
    # 将traffic-of-host的ACL激活。
    [Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host

    b)高级访问控制列表配置案例
    .组网需求:
    公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。
    .配置步骤:
    (1)定义时间段
    # 定义8:00至18:00的周期时间段。
    [Quidway] time-range huawei 8:00 to 18:00 working-day
    (2)定义到工资服务器的ACL
    # 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
    [Quidway] acl name traffic-of-payserver advanced
    # 定义研发部门到工资服务器的访问规则。
    [Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
    (3)激活ACL。
    # 将traffic-of-payserver的ACL激活。
    [Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver
     

    转载于:https://blog.51cto.com/lulu1101/822656

    展开全文
  • 为了保障网络用户权益性,这就得应用到网络设备的安全技术。常见设备安全技术包括acl访问控制列表、aaa认证、dot1x网络接入控制协议、mac地址认证、arp地址绑定、am端口隔离。下面就分别对几种安全技术展开叙述...

    概述:

    随着互联网的发展,网络的普及,网络用户也在日益增长。无论普通用户,还是企业,或其他行业,网络也就日显其重要性。为了保障网络用户的权益性,这就得应用到网络设备的安全技术。常见的设备安全技术包括acl访问控制列表、aaa认证、dot1x网络接入控制协议、mac地址认证、arp地址绑定、am端口隔离。下面就分别对几种安全技术展开叙述。

     安全技术(一):acl访问控制列表

    ACL简介:

    ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

    ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。

    由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。

    根据应用目的,可将ACL分为下面几种:

    1.基本ACL:只根据三层源IP地址制定规则。
    2.高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
    3.二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

    ACL 匹配顺序:

    一条 ACL 中可以包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。
    ACL 支持两种匹配顺序:
    (1)配置顺序:根据用户配置规则的先后顺序进行规则匹配。
    (2)自动排序:根据“深度优先”的顺序进行规则匹配。
    1. 基本ACL 的“深度优先”顺序判断原则
    (1) 先比较源IP 地址范围,源IP 地址范围小(反掩码中“0”位的数量多)的规则优先;
    (2) 如果源IP 地址范围相同,则比较是否带有fragment 参数,带有fragment 参数的规则优先;
    (3) 如果源IP 地址范围、是否带有fragment 参数这两个判断条件也相同,则先配置的规则优先。
    2. 高级ACL 的“深度优先”顺序判断原则
    (1) 首先比较协议范围,指定了IP 协议承载的协议类型的规则优先;
    (2) 如果协议范围相同,则比较源IP 地址范围,源IP 地址范围小(反掩码中“0”位的数量多)的规则优先;

    (3) 如果协议范围、源IP 地址范围相同,则比较目的IP 地址范围,目的IP 地址范围小(反掩码中“0”位的数量多)的规则优先;
    (4) 如果协议范围、源IP 地址范围、目的IP 地址范围相同,则比较四层端口号(TCP/UDP 端口号)范围,四层端口号范围小的规则优先;
    (5) 如果协议范围、源IP 地址范围、目的IP 地址范围、四层端口号范围相同,则比较规则中参数的个数,参数个数多的规则优先。

    如果规则A 与规则B 的协议范围、源IP 地址范围、目的IP 地址范围、四层端口号范围完全相同,并且其它的参数个数也相同,将按照加权规则进行排序。设备为每个参数设定一个固定的权值,最终的匹配顺序由各个参数的权值和参数的取值来决定。各个参数自身的权值从大到小排列为icmp-type、established、dscp、tos、precedence、fragment。比较规则如下:
    1.设备以一个固定权值依次减去规则中所配置的各个参数自身的权值,所得结果小的规则优先;
    2.如果各个规则中参数种类完全相同,则这些参数取值的累加和小的规则优先。
    ACL 在交换机上的应用方式:

    1. ACL 直接下发到硬件的情况:
    ACL 可以直接下发到交换机的硬件,用于数据转发过程中的报文过滤和流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,对于S3100 系列以太网交换机,匹配顺序为先下发的规则先匹配。(ACL 直接下发到硬件的情况包括:通过ACL 过滤转发数据、配置QoS 功能时引用ACL 等。)

    2. ACL 被上层软件引用的情况:
    ACL 也可以用来对由软件处理的报文进行过滤和流分类。此时ACL 规则的匹配顺序有两种:
    config:按用户配置的先后顺序。
    auto:按“深度优先”的顺序。
    用户可以在定义ACL 的时候指定一条ACL 中多个规则的匹配顺序。用户一旦指定某一条ACL 的匹配顺序,就不能再更改该顺序。只有把该ACL 中所有的规则全部删除后,才能重新指定其匹配顺序。(ACL 被上层软件引用的情况包括:路由策略引用ACL、对Telnet、SNMP 和WEB 登录用户进行控制时引用ACL 等。)

    说明:

    当 ACL 直接下发到硬件对报文进行过滤时,如果报文没有与ACL 中的规则匹配,此时设备对此类报文采取的动作为permit,即允许报文通过。

    当 ACL 被上层软件引用,对Telnet、SNMP 和WEB 登录用户进行控制时,如果报文没有与ACL 中的规则匹配,此时设备对此类报文采取的动作为deny,即拒绝报文过。

    ACL 配置:

    配置时间段:

    用户可以根据时间段对报文进行控制。ACL 中的每条规则都可以选择一个时间段。如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功。但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内才能生效。

    对时间段的配置有如下两种情况:

    配置周期时间段:采用每个星期固定时间段的形式,例如从星期一至星期五的8:00 至18:00。
    配置绝对时间段:采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式,例如从2000 年1 月28 日15:00 起至2004 年1 月28 日15:00 结束。

    需要注意的是:

    如果一个时间段只定义了周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个周期时间段,则这些周期时间段之间是“或”的关系。

    如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个绝对时间段,则这些绝对时间段之间是“或”的关系。

    如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:从2004年1 月1 日0 点0 分到2004 年12 月31 日23 点59 分,同时定义了周期时间段:每周三的12:00 到14:00。该时间段只有在2004 年内每周三的12:00 到14:00 才进入激活状态。
    配置绝对时间段时,如果不配置开始日期,时间段就是从1970/1/1 00:00 起到配置的结束日期为止。如果不配置结束日期,时间段就是从配置的开始日期起2100/12/31 23:59 为止。

    配置举例:

    # 配置周期时间段,时间范围为周一到周五每天8:00 到18:00。
    <Sysname> system-view
    [Sysname] time-range test 8:00 to 18:00 working-day
    [Sysname] display time-range test
    Current time is 13:27:32 Apr/16/2005 Saturday
    Time-range : test ( Inactive )
    08:00 to 18:00 working-day

    # 配置绝对时间段,时间范围为2006 年1 月28 日15:00 起至2008 年1 月28 日15:00 结束。
    <Sysname> system-view
    [Sysname] time-range test from 15:00 1/28/2006 to 15:00 1/28/2008
    [Sysname] display time-range test
    Current time is 13:30:32 Apr/16/2005 Saturday
    Time-range : test ( Inactive )
    From 15:00 Jan/28/2006 to 15:00 Jan/28/2008

    定义基本ACL:

    基本ACL 只根据源IP 地址制定规则,对数据包进行相应的分析处理。
    基本 ACL 的序号取值范围为2000~2999。

    配置过程:

    p_w_picpath

    需要注意的是:

    1.当基本ACL 的匹配顺序为config 时,用户可以修改该ACL 中的任何一条已经存在的规则,在修改ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当基本ACL的匹配顺序为auto 时,用户不能修改该ACL 中的任何一条已经存在的规则,否则系统会提示错误信息。
    2.在创建一条ACL 规则的时候,用户可以不指定规则的编号,设备将自动为这个规则分配一个编号:如果此ACL 中没有规则,编号为0;如果此ACL 中已有规则,编号为现有规则的最大编号+1;如果此ACL 中现有规则的最大编号为65534,则系统会提示错误信息,此时用户必须指定规则的编号才能创建成功。
    3.新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
    4.当基本ACL 的匹配顺序为auto 时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
    配置举例:
    # 配置基本ACL 2000,禁止源IP 地址为192.168.0.1 的报文通过。
    <Sysname> system-view
    [Sysname] acl number 2000
    [Sysname-acl-basic-2000] rule deny source 192.168.0.1 0
    # 显示基本ACL 2000 的配置信息。
    [Sysname-acl-basic-2000] display acl 2000
    Basic ACL 2000, 1 rule
    Acl's step is 1
    rule 0 deny source 192.168.0.1 0

    定义高级ACL:

    高级ACL 可以使用数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、针对协议的特性(例如TCP 或UDP 的源端口、目的端口,ICMP 协议的消息类型、消息码等)内容定义规则。高级 ACL 序号取值范围3000~3999(3998 与3999 是系统为集群管理预留的编号,用户无法配置)。
    高级 ACL 支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP优先级和DSCP(Differentiated Services CodePoint,差分服务编码点)优先级。用户可以利用高级ACL 定义比基本ACL 更准确、更丰富、更灵活的规则。

    配置过程:

    p_w_picpath

    需要注意的是:

    1.当高级ACL 的匹配顺序为config 时,用户可以修改该ACL 中的任何一条已经存在的规则,在修改ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当高级ACL的匹配顺序为auto 时,用户不能修改该ACL 中的任何一条已经存在的规则,否则系统会提示错误信息。
    2.在创建一条ACL 规则的时候,用户可以不指定规则的编号,设备将自动为这个规则分配一个编号:如果此ACL 中没有规则,编号为0;如果此ACL 中已有规则,编号为现有规则的最大编号+1;如果此ACL 中现有规则的最大编号为65534,则系统会提示错误信息,此时用户必须指定规则的编号才能创建成功。
    3.新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
    4.当高级ACL 的匹配顺序为auto 时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
    配置举例:
    # 配置高级ACL 3000,允许从129.9.0.0/16 网段的主机向202.38.160.0/24 网段的主机发送的端口号为80 的TCP 报文通过。
    <Sysname> system-view
    [Sysname] acl number 3000
    [Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
    202.38.160.0 0.0.0.255 destination-port eq 80
    # 显示高级ACL 3000 的配置信息。

     

    [Sysname-acl-adv-3000] display acl 3000
    Advanced ACL 3000, 1 rule
    Acl's step is 1
    rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
    destination-port eq www

    定义二层ACL:

    二层ACL 根据源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则,对数据进行相应处理。
    二层 ACL 的序号取值范围为4000~4999。

    配置过程:

    p_w_picpath

    需要注意的是:

    1.用户可以修改二层ACL 中的任何一条已经存在的规则,在修改ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态。
    2.在创建一条ACL 规则的时候,用户可以不指定规则的编号,设备将自动为这个规则分配一个编号:如果此ACL 中没有规则,编号为0;如果此ACL 中已有规则,编号为现有规则的最大编号+1;如果此ACL 中现有规则的最大编号为65534,则系统会提示错误信息,此时用户必须指定规则的编号才能创建成功。
    3.新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
    配置举例:
    # 配置二层ACL 4000,禁止从MAC 地址000d-88f5-97ed 发送到MAC 地址0011-4301-991e
    且802.1p 优先级为3 的报文通过。

    <Sysname> system-view
    [Sysname] acl number 4000
    [Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff
    dest 0011-4301-991e ffff-ffff-ffff
    # 显示二层ACL 4000 的配置信息。
    [Sysname-acl-ethernetframe-4000] display acl 4000
    Ethernet frame ACL 4000, 1 rule
    Acl's step is 1
    rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest
    0011-4301-991e ffff-ffff-ffff

    应用实例:

    组网需求(一):

    PC 1、PC 2 和PC 3 分别通过端口Ethernet 1/0/1、Ethernet 1/0/2 和Ethernet 1/0/3 接入交换机。其中端口Ethernet 1/0/1、Ethernet 1/0/2 和Ethernet 1/0/3 属于端口组1,数据库服务器的IP 地址为192.168.1.2。要求配置高级ACL 3000,禁止端口组1 内的PC 在工作日8:00~18:00 的时间段内访问数据库服务器。

    组网图:

    p_w_picpath

    配置步骤:

    # 定义周期时间段test,时间范围为工作日的8:00~18:00。
    <Sysname> system-view
    [Sysname] time-range test 8:00 to 18:00 working-day
    # 定义高级ACL 3000,配置目的IP 地址为数据库服务器的访问规则。
    [Sysname] acl number 3000
    [Sysname-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
    [Sysname-acl-adv-3000] quit
    # 创建端口组1,将端口Ethernet 1/0/1、Ethernet 1/0/2 和Ethernet 1/0/3 加入到端口组1 中。
    [Sysname] port-group 1
    [Sysname-port-group-1] port Ethernet 1/0/1 to Ethernet 1/0/3
    # 在端口组1 上应用ACL 3000。
    [Sysname-port-group-1] packet-filter inbound ip-group 3000

     

    组网需求(二):

    如图7-1 所示,三个本地网用户通过路由器Router 访问Internet。限制网段1.1.1.0 的用户的接入速率为10Mbit/s,网段1.1.2.0 的用户的接入速率为5Mbit/s,网段1.1.3.0 的用户的接入速率为2Mbit/s,并分别标记不同的DSCP 值。

    p_w_picpath

    配置步骤:

    配置路由器Router:
    # 定义ACL 规则,配置类,定义基于ACL 的流分类规则。
    <Router> system view
    [Router] acl number 10001

    [Router-acl-simple-10001] rule ip source 1.1.1.0 0.0.0.255
    [Router-acl-simple-10001] quit
    [Router] acl number 10002
    [Router-acl-simple-10002] rule ip source 1.1.2.0 0.0.0.255
    [Router-acl-simple-10002] quit
    [Router] acl number 10003
    [Router-acl-simple-10003] rule ip source 1.1.3.0 0.0.0.255
    [Router-acl-simple-10003] quit
    [Router] traffic classifier a
    [Router-classifier-a] if-match acl 10001
    [Router-classifier-a] quit
    [Router] traffic classifier b
    [Router-classifier-b] if-match acl 10002
    [Router-classifier-b] quit
    [Router] traffic classifier c
    [Router-classifier-c] if-match acl 10003
    [Router-classifier-c] quit

    # 定义行为,并重新设置DSCP:

    [Router] traffic behavior e
    [Router-behavior-e] car cir 10000 cbs 150000
    [Router-behavior-e] remark dscp 40
    [Router-behavior-e] quit
    [Router] traffic behavior f
    [Router-behavior-f] car cir 5000 cbs 100000
    [Router-behavior-f] remark dscp 26
    [Router-behavior-f] quit
    [Router] traffic behavior g
    [Router-behavior-g] car cir 2000 cbs 100000
    [Router-behavior-g] remark dscp 0
    [Router-behavior-g] quit

    # 定义策略,将类与行为关联:

    [Router] traffic policy 1
    [Router-trafficpolicy-1] classifier a behavior e
    [Router-trafficpolicy-1] quit
    [Router] traffic policy 2
    [Router-trafficpolicy-2] classifier b behavior f
    [Router-trafficpolicy-2] quit
    [Router] traffic policy 3
    [Router-trafficpolicy-3] classifier c behavior g

    [Router-trafficpolicy-3] quit
    # 将策略应用到接口上:
    [Router] interface ethernet 1/0/0
    [Router-Ethernet1/0/0] traffic-policy 1 inbound
    [Router] interface ethernet 1/0/1
    [Router-Ethernet1/0/1] traffic-policy 2 inbound
    [Router] interface ethernet 1/0/2
    [Router-Ethernet1/0/2] traffic-policy 3 inbound

    # 启用流量策略:
    [Router] commit traffic policy

     

    安全技术(二):am端口隔离

    端口隔离简介:

    通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。

    目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。

    说明:

    端口隔离特性与以太网端口所属的VLAN无关。

    端口隔离与端口聚合的关系

    当聚合组中的某个端口加入到隔离组后,同一聚合组内的其它端口,均会自动加入隔离组中。

    配置端口隔离

    通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二层数据的隔离。

    p_w_picpath

    端口隔离配置显示:

    在完成上述配置后,在任意视图下执行display命令,可以显示已经加入到隔离组中的以太网端口信息。

    显示已经加入到隔离组中的以太网端口信息

    display isolate port

    端口隔离配置举例

    组网需求:

    小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连,交换机通过Ethernet1/0/1端口与外部网络相连,

    小区用户PC2、PC3和PC4之间不能互通。

    组网图

    p_w_picpath

    配置步骤:

    # 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。

    <H3C> system-view

    System View: return to User View with Ctrl+Z.

    [H3C] interface ethernet1/0/2

    [H3C-Ethernet1/0/2] port isolate

    [H3C-Ethernet1/0/2] quit

    [H3C] interface ethernet1/0/3

    [H3C-Ethernet1/0/3] port isolate

    [H3C-Ethernet1/0/3] quit

    [H3C] interface ethernet1/0/4

    [H3C-Ethernet1/0/4] port isolate

    [H3C-Ethernet1/0/4] quit

    转载于:https://blog.51cto.com/4459021/822716

    展开全文
  • Nmap: Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断...尽管非技术性高管人员偶尔会抱怨在端口扫描企业,但nmap本身是完全合法的,就像是敲附近每个人的

    Nmap:

    Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一,以及用以评估网络系统安全。

    正如大多数被用于网络安全的工具,nmap也是不少黑客及骇客(又称脚本小子)爱用的工具。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。尽管非技术性高管人员偶尔会抱怨在端口扫描企业,但nmap本身是完全合法的,就像是敲附近每个人的家门来查看是否有人在家。

    Nmap下载地址:http://www.onlinedown.net/soft/2685.htm

    十种扫描方式解释:http://www.cnblogs.com/c4isr/archive/2012/12/07/2807491.html

    功能介绍:http://blog.sina.com.cn/s/blog_811d9fdd0101ey07.html

    命令详解:https://www.cnblogs.com/LyShark/p/10637507.html

    Nmap的功能:

    1.探测一组主机是否在线

    2.扫描主机端口,嗅探所提供的网络服务

    3.推断其主机所用的操作系统

    4.简单的漏洞扫描及防火墙规避

    Nmap常用命令:

    最常用的命令:

    1.探测主机:-sn 192.168.0.1-100#表示使用SYN半开放扫描192.168.0.1-192.168.0.100之间哪些主机在线。
    
    2.探测端口:-sS#表示使用SYN半开放方式,扫描TCP端口-sU#表示扫描开放了UDP端口的设备
    
    3.版本侦测:-sV#指定让Nmap进行探测主机服务号版本
    
    4.OS侦测:-O#探测目标主机操作系统类型
    

    端口的状态提示:

    open:端口是开放的。
    
    closed:端口是关闭的。
    
    filtered:端口被防火墙IDS/IPS屏蔽,无法确定其状态。
    
    unfiltered:端口没有被屏蔽,但是否开放需要进一步确定。
    
    open|filtered:端口是开放的或被屏蔽。
    
    closed|filtered:端口是关闭的或被屏蔽。
    

    其他常见Nmap扫描:

    -sP主机IP地址#通过ping的方式探测主机存活数
    
    -PD主机IP地址#跳过ping的方式探测,加快扫描速度
    
    -sL主机IP地址#仅列出指定网段上的每台主机,不发送任何报文给到目标主机
    
    -PS22,80,443主机IP地址#用SYN方式,探测目标主机开放的端口,可以用“,”分隔端口列表
    
    -PU主机IP地址#用UDP方式,探测目标主机开放的端口,可以用“,”分隔端口列表
    
    -sT主机IP地址#扫描开放了TCP端口的设备
    
    -sO主机IP地址#探测目标主机支持哪些IP协议
    
    -iL文件名#从一个文件导入IP地址,并进行扫描。#cat文件名(查看文件包含哪些IP)
    
    localhost主机IP地址#查看主机当前开放的端口
    
    -p 1024-65535 localhost主机IP地址#查看主机端口(1024-65535)中开放的端口
    
    -PS主机IP地址#探测目标主机开放的端口
    
    -PS22,80,3306主机IP地址#探测所列出的目标主机端口
    
    -A主机IP地址#探测目标主机操作系统类型
    

    Namp命令行大全:

    Namp主机发现:

    -sP#Ping扫描
    
    -P0#无Ping扫描
    
    -PS#TCP SYN Ping扫描
    
    -PA#TCP ACK Ping扫描
    
    -PU#UDPPing扫描
    
    -PE;-PP;-PM#ICMP Ping Types扫描
    
    -PR#ARP Ping扫描
    
    -n#禁止DNS反向解析
    
    -R#反向解析域名
    
    --system-dns#使用系统域名解析器
    
    -sL#扫描列表
    
    -6#扫描IPv6地址
    
    --traceroute#路由跟踪
    
    -PY#SCTP INIT Ping扫描
    

    Namp端口发现:

    -T#时序选项
    
    -p#端口扫描顺序
    
    -sS#TCP SYN扫描
    
    -ST#TCP连接扫描
    
    -sU#UDP扫描
    
    -SN;-SF;-sX#隐蔽扫描
    
    -SA#TCPACK扫描
    
    -sW#TCP窗口扫描
    
    -sM#TCPMaimon扫描
    
    --scanflags#自定义TCP扫描
    
    -sI#空闲扫描
    
    -sO#IP协议扫描
    
    -b#FTPBounce扫描
    

    Namp操作系统探测:

    -sV#版本探测
    
    --allports#全端口版本探测
    
    --version-intensity#设置扫描强度
    
    --version-light#轻量级扫描
    
    --version-all#重量级扫描
    
    --version-trace#获取详细版本信息
    
    -sR#RPC扫描
    
    -O#启用操作系统探测
    
    --osscan-limit#对指定的目标进行操作系统检测
    
    --oscan-guess;--fuzzy#推测系统识别
    

    Namp信息收集:

    --script ip-geolocation-*#IP信息搜集
    
    whois#WHOIS查询
    
    http-email-harvest#搜集E-mail信息
    
    hostmap-ip2hosts#IP反查
    
    dns-brute#DNS信息搜集
    
    membase-http-info#检索系统信息
    
    smb-security-mode.nse#后台打印机服务漏洞
    
    smb-check-vulns.nse#系统漏洞扫描
    
    http-stored-xss.nse#扫描Web漏洞
    
    snmp-win32-services#通过Snmp列举indows服务账户
    
    dns-brute#枚举DNS服务器的主机名
    
    http-headers/http-sitemap-generator#HTTP信息搜集
    
    ssl-enum-ciphers#枚举SSL密钥
    
    ssh-hostkey#SSH服务密钥信息探测
    

    Namp防火墙绕过:

    -f#报文分段
    
    --mtu#指定偏移大小
    
    -D#IP欺骗
    
    -sl#源地址欺骗
    
    --source-port#源端口欺骗
    
    --data-length#指定发包长度
    
    --randomize-hosts#目标主机随机排序
    
    --spoof-mac#MAC地址欺骗
    

    Namp伺机而动:

    --min-hostgroup#调整并行扫描组的大小
    
    --min-parallelism#调整探测报文的并行度
    
    --max-parallelism
    
    --min-rtt-timeout#调整探测报文超时
    
    --max-rt-timeout
    
    --initial-rtt-timeout
    
    --host-timeout#放弃低速目标主机
    
    --scan-delay#调整探测报文的时间间隔
    
    --max-scan-delay
    

    Namp保存:

    -oN#标准保存
    
    -oX#XML保存
    
    -oS#133t保存
    
    -oG#Grep保存
    
    -oA#保存到所有格式
    
    --append-output#补充保存文件
    
    -oX#转换XML保存
    
    -oX#忽略XML声明的XSL样式表
    

    Namp技巧:

    --send-eth#发送以太网数据包
    
    --send-ip#网络层发送
    
    --privileged#假定拥有所有权
    
    --interactive#在交互模式中启动
    
    -V#查看Nmap版本号
    
    -d#设置调试级别
    
    --packet-trace#跟踪发送接受的报文
    
    --iflist#列举接口和路由
    
    -e#指定网络接口
    
    -oG#继续中断扫描
    
    firewalk#探测防火墙
    
    vmauthd-brute#VWare认证破解
    
    展开全文
  • 网络安全复习题 网络基础知识重点 1、在网络通信中,纠检错功能是由OSI参考模型那一层实现? 数据链路层(七层从下到上依次为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层) 2、IPv4地址是...
  • 通过学习,能够独立完成整个企业网里面所涉及到所有的常用技术。 1.1.2 学习要求 掌握:配置网络设备的安全管理。 掌握:配置访问控制列表。 掌握:配置安全路由协议。 掌握:身份认证和准入机制。 掌握:配置...
    提高企业网络互联系统安全运行与管理维护
    1.1场景描述
    1.1.1 学习目的
    通过学习,能够独立完成整个企业网里面所涉及到的所有的常用技术。
    1.1.2 学习要求
    掌握:配置网络设备的安全管理。
    掌握:配置访问控制列表。
    掌握:配置安全路由协议。
    掌握:身份认证和准入机制。
    掌握:配置虚拟专用网。
    1.1.3 学习重点和难点
    1.学习重点
    配置安全管理路由器和路由器:重点讲解登录的密码不是特权密码。网络设备的登录认证是如何实现的。
    配置访问控制的能力:理解什么是线路访问。如何控制不同的线路访问验证。
    配置安全路由协议:理解各种路由协议之间是如何安全通信的。
    配置虚拟专用网:掌握配置站点到站点的虚拟专用网的方法。
    实施身份验证与网络接入控制:掌握各种身份验证的方法和使用场合。
     
    2.学习难点
    配置访问控制能力:区分各种控制技术的使用场合。
    安全路由协议:理解路由协议之间是如何安全通信的。
    1.2 知识准备
    1.2.1 ACL概述
    访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
    信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
    ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。
    1.2.2 RIP
    作为距离矢量路由协议,RIP使用距离矢量来决定最优路径,具体来讲,就是提供跳数(hop count)作为尺度来衡量路由距离。跳数(hop count)是一个报文从本节点到目的节点中途经的中转次数,也就是一个包到达目标所必须经过的路由器的数目。
    RIP路由表中的每一项都包含了最终目的地址、到目的节点的路径中的下一跳节点(next hop)等信息。下一跳指的是本网上的报文欲通过本网络节点到达目的节点,如不能直接送达,则本节点应把此报文送到某个中转站点,此中转站点称为下一跳, 这一中转过程叫“跳”(hop)。
    如果到相同目标有两个不等速或不同带宽的路由器,但跳数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。这样,对于超过15跳的大网络来说,RIP就有局限性。
    RIP通过广播UDP(使用端口520)报文来交换路由信息,缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。
    广播更新的路由信息每经过一个路由器,就增加一个跳数。如果广播信息经过多个路由器到达,那么具有最低跳数的路径就是被选中的路径。如果首选的路径不能正常工作,那么其他具有次低跳数的路径(备份路径)将被启用。
     
    1.2.3 OSPF
    OSPF是一类Interior Gateway Protocol(内部网关协议IGP),用于属于单个自治体系(AS)的路由器之间的路由选择。OSPF 采用链路状态技术,路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息。
    每个 OSPF 路由器维护相同自治系统拓扑结构的数据库。从这个数据库里,构造出最短路径树来计算出路由表。当拓扑结构发生变化时,OSPF 能迅速重新计算出路径,而只产生少量的路由协议流量。OSPF 支持开销的多路径。区域路由选择功能使添加路由选择保护和降低路由选择协议流量均成为可能。此外,所有的 OSPF 路由选择协议的交换都是经过验证的
    1.2.4 AAA
    AAA系统的简称:
    l         认证(Authentication):验证用户的身份与可使用的网络服务;
    l         授权(Authorization):依据认证结果开放网络服务给用户;
    l         计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
    AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
    常用的AAA协议是Radius,参见RFC 2865,RFC 2866。
    另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
     
    1.3 注意事项
    1、访问控制列表在一个接口的一个方向上只能应用一次;
    2、身份验证技术一个网络中只需配置一种;
    1.4 操作步骤
    1.4.1 安全管理和维护路由设备
    第一步:创建路由器RA和RB的管理密码
    由于路由器RA和RB在网络中的安全级别比较高所以在这里不仅设置了密码验证登录,而且针对远程telnet连接还设置了SSH加密登录验证。
    RA(config)#enable secrect level 15 ruijie
    RA(config)#username ruijie password star
    RA(config)#line con 0
    RA(config-line)#login local
    RA(config-line)#exit
    RA(config)#enable services ssh-server
    RA(config)#ip ssh version 2
    RA(config)#ip ssh authentication-retries 3
    RA(config)#line vty 0 4
    RA(config-line)#login local
    RA(config-line)#exit
    RA(config)#
     
    RB(config)#enable secrect level 15 ruijie
    RB(config)#username ruijie password star
    RB(config)#line con 0
    RB(config-line)#login local
    RB(config-line)#exit
    RB(config)#
    RB(config)#enable services ssh-server
    RB(config)#ip ssh version 2
    RB(config)#ip ssh authentication-retries 3
    RB(config)#line vty 0 4
    RB(config-line)#login local
    RB(config-line)#exit
    RB(config)#
     
    第二步:创建路由器RC和RD的管理密码
    路由器RC和RD的安全性级别比较低,所以这里没有使用SSH加密登录验证。
    RC(config)#enable secrect level 15 ruijie
    RC(config)#username ruijie password star
    RC(config)#line vty 0 4
    RC(config-line)#login local
    RC(config-line)#exit
    RC(config)#line con 0
    RC(config-line)#login local
    RC(config-line)#exit
    RC(config)#
     
    RD(config)#enable secrect level 15 ruijie
    RD(config)#username ruijie password star
    RD(config)#line vty 0 4
    RD(config-line)#login local
    RD(config-line)#exit
    RD(config)#line con 0
    RD(config-line)#login local
    RD(config-line)#exit
    RD(config)#
     
    1.4.2 配置访问控制的能力
    第一步:在路由器RA配置时间ACL
    一般来讲,工作时间所有用户都是可以访问公司服务器的。过了工作时间就不允许访问,以此来防止在下班时间人员比较少的时候,某些人做一些非法访问的事情。
    RA(config)#time-range off-work
    RA(config-time-range)#periodic weekdays 09:00 to 18:00
    RA(config-time-range)#exit
    RA(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range off-work
    RA(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any time-range off-work
    RA(config)#interface fastethernet 0/0
    RA(config-if-range)#ip access-group 100 out
    RA(config-if-range)#exit
    RA(config)#
     
    第二步:在路由器RA配置标准ACL
    为了避免公司内部服务器可能被侵入或中毒,导致***利用服务器发送非法数据包以及登录其他受服务器信任的设备。我们在连接服务器的路由器接口上应用标准访问控制列表。用于只允许服务器以服务期的ip地址进行通信。
    RA(config)#access-list 10 permit host 172.16.1.1
    RA(config)#interface fastethernet 0/0
    RA(config-if)#ip access-group 10 in
    RA(config-if)#exit
    RA(config)#
     
    第三步:在路由器RA配置专家ACL
    配置允许销售部访问服务器的WEB服务和FTP服务。允许其它主机访问服务器的DNS服务。其他服务不允许访问。同时允许客户端之间互相访问。
    RA(config)#expert access-list extended allow-server
    RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 80
    RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 20
    RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 21
    RA(config-exp-nacl)#permit udp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 53
    RA(config-exp-nacl)#permit ip 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 any
    RA(config-exp-nacl)#exit
    RA(config)#interface fastethernet 0/1
    RA(config-if)#expert access-group allow-server in
    RA(config-if-range)#exit
    RA(config)#
     
    第四步:在路由器RA和RB配置扩展ACL
    在边界路由器上,通常我们都会在外口的in方向上明确的拒绝一些已知的***端口或者病毒端口。用来防御基本的安全威胁。
    RA(config)#access-list 110 deny tcp any any eq 139
    RA(config)#access-list 110 deny tcp any any eq 135
    RA(config)#access-list 110 deny tcp any any eq 445
    RA(config)#access-list 110 deny tcp any any eq 2222
    RA(config)#access-list 110 permit ip any any
    RA(config)#interface fastethernet 0/2
    RA(config-if)#ip access-group 110 in
    RA(config-if)#exit
    RA(config)#
     
    RB(config)# access-list 110 deny tcp any any eq 139
    RB(config)# access-list 110 deny tcp any any eq 135
    RB(config)# access-list 110 deny tcp any any eq 445
    RB(config)# access-list 110 deny tcp any any eq 2222
    RB(config)#access-list 110 permit ip any any
    RB(config)#interface fastethernet 0/2
    RB(config-if)#ip access-group 110 in
    RB(config-if)#exit
    RB(config)#
     
    1.4.3 配置安全路由协议
    第一步:在路由器RA\RB\RC\RD上启用动态路由协议
    RA(config)#interface fastethernet f0/0
    RA(config-if)#ip address 172.16.1.2 255.255.255.0
    RA(config-if)#no shut
    RA(config-if)#exit
    RA(config)#interface fastethernet f0/1
    RA(config-if)#ip address 192.168.3.2 255.255.255.0
    RA(config-if)#no shut
    RA(config-if)#exit
    RA(config)#interface fastethernet f0/2
    RA(config-if)#ip address 192.168.5.1 255.255.255.0
    RA(config-if)#no shut
    RA(config-if)#exit
    RA(config)#router ospf 10
    RA(config-router)#network 192.168.3.0 0.0.0.255 area 0
    RA(config-router)#network 192.168.5.0 0.0.0.255 area 0
    RA(config-router)#network 172.16.1.0 0.0.0.255 area 0
    RA(config-router)#exit
    RA(config)#
     
    RB(config)#interface fastethernet f0/1
    RB(config-if)#ip address 192.168.4.2 255.255.255.0
    RB(config-if)#no shut
    RB(config-if)#exit
    RB(config)#interface fastethernet f0/2
    RB(config-if)#ip address 192.168.5.2 255.255.255.0
    RB(config-if)#no shut
    RB(config-if)#exit
    RB(config)#router ospf 10
    RB(config-router)#network 192.168.4.0 0.0.0.255 area 0
    RB(config-router)#network 192.168.5.0 0.0.0.255 area 0
    RB(config-router)#exit
    RB(config)#
     
    RC(config)#interface fastethernet f0/1
    RC(config-if)#ip address 192.168.3.1 255.255.255.0
    RC(config-if)#no shut
    RC(config-if)#exit
    RC(config)#interface fastethernet f0/2
    RC(config-if)#ip address 192.168.1.254 255.255.255.0
    RC(config-if)#no shut
    RC(config-if)#exit
    RC(config)#router ospf 10
    RC(config-router)#network 192.168.3.0 0.0.0.255 area 0
    RC(config-router)#network 192.168.1.0 0.0.0.255 area 0
    RC(config-router)#exit
    RC(config)#
     
    RD(config)#interface fastethernet f0/1
    RD(config-if)#ip address 192.168.4.1 255.255.255.0
    RD(config-if)#no shut
    RD(config-if)#exit
    RD(config)#interface fastethernet f0/2
    RD(config-if)#ip address 192.168.2.254 255.255.255.0
    RD(config-if)#no shut
    RD(config-if)#exit
    RD(config)#router ospf 10
    RD(config-router)#network 192.168.2.0 0.0.0.255 area 0
    RD(config-router)#network 192.168.4.0 0.0.0.255 area 0
    RD(config-router)#exit
    RD(config)#
     
    第二步:在路由器RA\RB\RC\RD上开启路由协议认证
    增加了认证的路由协议更加安全,避免网络中不法分子捕获并拆分数据包已获得网络拓扑信息。
    RA(config)#interface fastethernet 0/1
    RA(config-if)#ip ospf authentication message-digest
    RA(config-if)#ip ospf message-digest-key 1 md5 ruijie
    RA(config-if)#exit
    RA(config)#
     
    RC(config)#interface fastethernet 0/1
    RC(config-if)#ip ospf authentication message-digest
    RC(config-if)#ip ospf message-digest-key 1 md5 ruijie
    RC(config-if)#exit
    RC(config)#
     
    RB(config)#interface fastethernet 0/1
    RB(config-if)#ip ospf authentication message-digest
    RB(config-if)#ip ospf message-digest-key 1 md5 ruijie
    RB(config-if)#exit
    RB(config)#
     
    RD(config)#interface fastethernet 0/1
    RD(config-if)#ip ospf authentication message-digest
    RD(config-if)#ip ospf message-digest-key 1 md5 ruijie
    RD(config-if)#exit
    RD(config)#
     
    1.4.4 实施身份验证与网络接入控制
    第一步:在路由器RC和RD配置AAA及802.1x服务
    RC(config)#aaa new-model
    RC(config)#radius-server host 172.16.1.1
    RC(config)#radius-server key ruijiekey
    RC(config)#aaa authentication dot1x ruijielist group radius
    RC(config)#
     
    RD(config)#aaa new-model
    RD(config)#radius-server host 172.16.1.1
    RD(config)#radius-server key ruijiekey
    RD(config)#aaa authentication dot1x ruijielist group radius
    RD(config)#
     
    第二步:配置RADIUS服务器
    在服务器上配置客户端用于登录网络所使用的用户名和密码。此处如果是多个用户名和密码。重复步骤创建即可。
     

    图13-1 添加用户
     
    配置NAS路由器上面配置的密钥。路由器上的密钥要和这里配置的一样,否则不能认证通过。
     

    图13-2 配置密钥
     
    1.4.5 配置虚拟专用网
    第一步:在路由器RA上配置×××功能
    通过配置虚拟专用网,可以实现跨广域网通信的目的。并且通信的双方都不必为广域网的安全担忧。这一切完全由***来承担并完成。
    RA(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 any
    RA(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 any
    RA(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 any
    RA(config)#crypto isakmp policy 110
    RA(config-isakmp)#authentication pre-share
    RA(config-isakmp)#hash md5
    RA(config-isakmp)#exit
    RA(config)#crypto isakmp key 0 ruijie address 192.168.5.2
    RA(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
    RA(cfg-crypto-trans)#mode tunnel
    RA(cfg-crypto-trans)#exit
    RA(config)#crypto map ***-set 100 ipsec-isakmp
    RA(config-crypto-map)#set peer 192.168.5.2
    RA(config-crypto-map)#set transform-set ***1
    RA(config-crypto-map)#match address 110
    RA(config-crypto-map)#exit
    RA(config)#interface fastethernet 0/2
    RA(config-if)#ip address 192.168.5.1 255.255.255.0
    RA(config-if)#crypto map ***-set
    RA(config-if)#exit
    RA(config)#interface fastethernet 0/1
    RA(config-if)#ip address 192.168.3.2 255.255.255.0
    RA(config-if)#exit
    RA(config)#interface fastethernet 1/1
    RA(config-if)#ip address 172.16.1.2 255.255.255.0
    RA(config-if)#exit
    RA(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.2
    RA(config)#
     
    第二步:在路由器RB上配置×××功能
    ×××的另一段RB的配置基本上与RA相同。要注意的是内网和外网地址要互换。×××的对方地址也要互换。
    RB(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 any
    RB(config)#access-list 110 permit ip 192.168.4.0 0.0.0.255 any
    RB(config)#crypto isakmp policy 110
    RB(config-isakmp)#authentication pre-share
    RB(config-isakmp)#hash md5
    RB(config-isakmp)#exit
    RB(config)#crypto isakmp key 0 ruijie address 192.168.5.1
    RB(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
    RB(cfg-crypto-trans)#mode tunnel
    RB(cfg-crypto-trans)#exit
    RB(config)#crypto map ***-set 100 ipsec-isakmp
    RB(config-crypto-map)#set peer 192.168.5.1
    RB(config-crypto-map)#set transform-set ***1
    RB(config-crypto-map)#match address 110
    RB(config-crypto-map)#exit
    RB(config)#interface fastethernet 0/2
    RB(config-if)#ip address 192.168.5.2 255.255.255.0
    RB(config-if)#crypto map ***-set
    RB(config-if)#exit
    RB(config)#interface fastethernet 0/1
    RB(config-if)#ip address 192.168.4.2 255.255.255.0
    RB(config-if)#exit
    RB(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1
    RB(config)#
     
    1.5 拓展知识
    1.5.1正确放置ACL
    ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
    假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。
    根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。如果网管员使用标准 ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网 络2、网络3和网络4的访问都将被禁止。由此可见,这个ACL控制方法不能达到网管员的目的。同理,将ACL放在RouterB和RouterC上也存在 同样的问题。只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。
    网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址 (网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要 的网络流量。因此,我们可以得出另一个结论:扩展ACL要尽量靠近源端。
    1.5.2 RIP解决路由环路的方法
    在最初开发RIP的时候就发现路由环路的问题,所以已经在RIPv1和 RIPv2中集成了几种防止环路的机制:
    最大跳数:当一个路由条目作为副本发送出去的时候就会自加1跳,跳数最大为16跳,16跳意味着此网络永不可达了。
    l         水平分割:路由器不会把从某个接口学习到的路由再从该接口广播或者组播的方式发送出去。
    l         带毒性反转的水平分割:路由器从某些接口学习到的路由有可能从该接口发送出去,只是这些被路由已经具有毒性,即跳数都为16跳。
    l         抑制定时器:当路由表中的某个条目所指网络消失时,路由器并不会立刻的删除该条目,而是严格按照我们前面所介绍的计时器时间现将条目设置为无效并挂起,在到达240秒时才删除该条目,这么做的目的是为了尽可能利用这个时间等待发生改变的网络恢复。
    l         触发更新:因网络拓扑发生变化导致路由表发生改变时,路由器立刻产生更新通告给直连邻居,不再需要等待30秒的更新周期,这样做是为了将网络拓扑的改变立刻通告给其他邻居路由器。
    以上就是RIP产生环路的问题和解决方法。
    1.5.3 RADIUS基本工作原理
    用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码 是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个 Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一 步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
    RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数 据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营商所在地也可以得到服务, 也可以实现虚拟运营。
    RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP 的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安 全。
    RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。 由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不 同,则需要重新进行认证。

    转载于:https://blog.51cto.com/timy2012/1100282

    展开全文
  • 从体系上介绍软件编程体系 企业应用开发架构 Java应用开发体系以及J2EE的N层体系结构 介绍常用的应用开发环境
  • 企业信息安全范围技术控制:访问控制:对权限、对账户控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统网络安全:局域网、广域网、城域网、交换机配置、防火墙配置、路由器配置等等系统安全:...
  • 基于IP的地理定位是最常用的跟踪IP位置的技术,它能很好地实现预期目的。 确定IP地址位置的能力使IP地理定位器成为威胁情报的有用工具。重要的是,我们要知道,确定的地址可能并不总是准确的,因
  • 网络安全包括:网络安全 系统(主机、服务器)安全 反病毒 系统安全检测 ***检测(监控) ...防火墙技术可根据防范方式和侧重点不同而分为很多种类型,但总体来讲有二大类较为常用:分组过滤、应用代理。分组过...
  • 通信网络技术

    2014-08-06 13:30:59
    蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质(微波、卫星、红外等)点到点和多点传输为特征,是一种无线网,适用于城市网、校园网、企业网。 常用传输介质 目前常见的网络传输介质有:双绞线、同轴...
  • 第13章主要介绍了网络管理和网络安全技术,内容主要包括网络管理协议、常见盗窃数据或侵入网络万法、网络病毒及其防杀和防火墙功能与应用等相关知识。 《计算机网络技术》适合高等职业学校、高等专科学校、...
  • 网络信息化技术的发展,计算机网络以及相关信息化产品在各个行业都被广泛地应用,站在信息安全的角度,想要实现对公司共享数据文件的安全,数据加密技术受到了人们高度重视,尤其是在不少企事业单位,正是...
  • 有些用户可能还不需要高性能的网络,但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术,但都寻求成本较低。一般应用于小型的IT公司,广告、装饰设计公司,咨询公司,会计师、律师事务所,小型商业流通...
  • 思科网络技术学院教程CCNA1

    热门讨论 2013-05-28 06:37:53
     第2章,“网络技术基础”,通过解释大量的网络术语继续第1章的内容。也描述了支持网络标准的开放系统互联(OSI)参考模型及每层的基本功能。  第3章,“网络介质”,开始深入讨论的第1章。本章介绍了电学基础知识...
  • www.oldboyedu.com老男孩IT教育,只培养技术精英常用的开源运维监控工具大全对于一个企业来说,服务器的安全性是一个非常重要的事情,因此,做好监控防御工作是十分必要的,很多企业都需要搭建和管理一套坚实的监控...
  • PPP接入方式优点:1).安全性能比较好,支持认证功能:pap、chap,一般常见有...使用场景:PPP接入方式用在拨号网络中,如拨号×××(L2TP)、PPPOE、802.1x企业中一般常用在专线连接场景Ethernet接入优点:1).生...
  • 网络信息化技术的发展,计算机网络以及相关信息化产品在各个行业都被广泛地应用,站在信息安全的角度,想要实现对公司共享数据文件的安全,数据加密技术受到了人们高度重视,尤其是在不少企事业单位,正是...
  • NAT通过地址转换方式,使企业可以仅使用较少互联网有效IP地址,就能获得互联网接入能力,有效地缓解了地址不足问题,同时提供了一定的安全性。  NAT实现方案多种多样,本文以思科26...
  • 该软件是国内从事电路设计的工程师和技术人员主要使用的电路设计软件之一,是PCB设计高端用户最常用的工具软件。 这个封装库是大神分享的,好东西不应该独享,分享给更多需要的人,可以下载了备用。 Mentor最近推出...
  • 企业常用的网络技术2.企业网中常见的数通设备3.关注市场占有率高的厂商的数通设备4.交换机常用技术5.路由交换常用架构6.通过各主流厂商模拟器模拟实际操作7.参考各厂商官网方案不断复盘,举一反三8.常见防火墙设备...
  • 常用的即时通信软件有微软的MSN Messenger、腾讯QQ、Googletalk等。即时通信技术在给个人及企业带来高效便捷沟通的同时也产生了一系列的安全问题。随着即时通信软件的普及和用户数量的快速增长,其已成为*和黑客攻击...
  • 随着互联网持续发展,企业日益重视网络安全问题,如何防御网络攻击成了每个管理人员必修课。 知己知彼才能百战不殆。对于网络安全来说,成功防御一个基本组成部分就是要了解敌人。网络安全管理人员必须了解...
  • 网络与通信:网络其他问题

    千次阅读 2016-05-30 09:23:24
    计算机网络技术是互联网发展的基础。它是计算机技术与通信技术结合的产物,是现在信息技术的一个重要组成部分,而且正朝着数字化、高速化、智能化的方向迅速发展。...常用的网络安全防护措施有哪些 常用的
  • 前浪:传统数据中心的网络模型

    千次阅读 2020-10-08 00:26:31
    个推运维平台高级网络工程师 山川 ...我们将围绕IDC网络运营规划的基本要求、传统PC时代的网络架构、移动互联网和大数据时代的IDC网络结构、常用服务器接入技术四个部分对数据中心的发展历程进行拆解。本文将先与大...
  • 第一类常用的是 SIP/SIMPLE 等协议,这个在电信网络用的比较多,包括全球运营商都在推广的下一代融合通信。这类协议的特点是非常健壮,但是规范非常复杂,光是看英文规范文档可能就要学习一两年,它能够让信息在通信...
  • 网络地址转换(NAT) 互联网如火如荼应用,...NAT通过地址转换方式,使企业可以仅使用较少互联网有效IP地址,就能获得互联网接入能力,有效地缓解了地址不足问题,同时提供了一定的安全性。  NAT实...
  • 自从 Web 应用能给访问者提供丰富的内容之后,黑客们就把目光转向任何他们能够破坏,损毁,欺骗的漏洞。通过网络浏览器提供的...因此,企业会部署一些常用的技术来处理网站的不同请求。Joomla!或 Drupal 这样的内...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 386
精华内容 154
关键字:

企业常用的网络安全技术