hcie-培訓(xùn)材料體驗(yàn)版v3.技術(shù)_第1頁(yè)
hcie-培訓(xùn)材料體驗(yàn)版v3.技術(shù)_第2頁(yè)
hcie-培訓(xùn)材料體驗(yàn)版v3.技術(shù)_第3頁(yè)
hcie-培訓(xùn)材料體驗(yàn)版v3.技術(shù)_第4頁(yè)
hcie-培訓(xùn)材料體驗(yàn)版v3.技術(shù)_第5頁(yè)
已閱讀5頁(yè),還剩21頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

付費(fèi)下載

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、HCRSE112RS V3.0陳潔/cwx3416842018.10.11史曉健/swx296245新開(kāi)發(fā)華為路由交換精英培訓(xùn)之Security隨著互聯(lián)網(wǎng)的不斷發(fā)展,TCP/IP協(xié)議族成為使用最廣泛的網(wǎng)絡(luò)互連協(xié)議。但由于協(xié)議在設(shè)計(jì)之初主要應(yīng)用于研究環(huán)境,針對(duì)少量、可信的的用戶群體,網(wǎng)絡(luò)安全問(wèn)題不是主要的考慮因素,對(duì)安全考慮的不夠,導(dǎo)致協(xié)議存在著一些安全風(fēng)險(xiǎn)問(wèn)題。而在當(dāng)今信息時(shí)代,安全越來(lái)越重要,已成為一個(gè)熱門話題,本章節(jié)將介紹一些基礎(chǔ)的網(wǎng)絡(luò)安全防范技術(shù)。學(xué)完本課程后,您將能夠:描述網(wǎng)絡(luò)中常見(jiàn)的攻擊方式部署網(wǎng)絡(luò)中基礎(chǔ)的攻擊防范技術(shù)單包攻擊防范泛洪攻擊防范源IP地址欺騙防范中間人攻擊防范數(shù)據(jù)傳輸安

2、全TCP連接,源、目的地址為目標(biāo)主機(jī),源和目的端口相同的SYN報(bào)文,或者源地址為環(huán)回地址的報(bào)文。單包攻擊防范舉例 - LAND攻擊LAND攻擊攻擊者目標(biāo)主機(jī)SYN+ACKACK單包攻擊防范舉例 - LAND攻擊防范LAND攻擊防范原理啟用畸形報(bào)文攻擊防范后,設(shè)備采用檢測(cè)TCP SYN報(bào)文的源地址和目的地址的方法來(lái)避免LAND攻擊。如果TCP SYN報(bào)文中的源地址和目的地址一致,則認(rèn)為是畸形報(bào)文攻擊,丟棄該報(bào)文。啟用畸形報(bào)文攻擊防范功能(系統(tǒng)視圖)。anti-attack abnormal enable阻斷LAND等畸形報(bào)文攻擊ServerSwitchPC攻擊者目標(biāo)主機(jī)單包攻擊防范泛洪攻擊防范源

3、IP地址欺騙防范中間人攻擊防范數(shù)據(jù)傳輸安全泛洪攻擊防范舉例 - TCP SYN泛洪攻擊TCP SYN攻擊攻擊者目標(biāo)主機(jī)SYN+ACKACKSYN泛洪攻擊防范舉例 - TCP SYN泛洪攻擊防范TCP SYN泛洪攻擊防范原理啟用TCP SYN泛洪攻擊防范后,設(shè)備對(duì)TCP SYN報(bào)文進(jìn)行速率限制,保證受到攻擊時(shí)目標(biāo)主機(jī)資源不被耗盡。啟用TCP SYN泛洪攻擊防范功能(系統(tǒng)視圖)。anti-attack tcp-syn enableanti-attack tcp-syn car circirTCP SYN限速ServerSwitchPC攻擊者目標(biāo)主機(jī)單包攻擊防范泛洪攻擊防范源IP地址欺騙防范中間人攻

4、擊防范數(shù)據(jù)傳輸安全URPF技術(shù)源IP地址欺騙:網(wǎng)絡(luò)中經(jīng)?;贗P地址信任主機(jī),而源IP地址欺騙就通過(guò)偽造源地址獲得信任,從而竊取網(wǎng)絡(luò)信息或破壞系統(tǒng)通信。URPF(Unicast Reverse Path Forwarding,單播反向路徑轉(zhuǎn)發(fā)技術(shù))防止基于源IP地址欺騙的網(wǎng)絡(luò)攻擊行為,主要針對(duì)偽造IP源地址的DoS攻擊。工作模式嚴(yán)格模式松散模式命令(接口視圖)S1PC12.1.1.1/24攻擊者1.1.1.1/24偽造源地址2.1.1.1/24URPFloose|strict allow-default-routeaclacl-numberIPSG技術(shù)IPSG(IP Source Guard,

5、IP源防攻擊)基于綁定表(DHCP動(dòng)態(tài)和靜態(tài)綁定表)對(duì)IP報(bào)文進(jìn)行匹配檢查防止源IP地址欺騙。IP: 1.1.1.3/24MAC: 3-3-3DHCP ServerIP: 1.1.1.1/24MAC: 1-1-1S1PC1IP:1.1.1.3/24MAC:3-3-3攻擊者IP:1.1.1.2/24MAC:2-2-2單包攻擊防范泛洪攻擊防范源IP地址欺騙防范中間人攻擊防范數(shù)據(jù)傳輸安全中間人攻擊防范 - DAI 中間人攻擊:顧名思義,攻擊者位于客戶端和服務(wù)器中間,對(duì)客戶端,攻擊者假冒為服務(wù)器,對(duì)服務(wù)器,攻擊者假冒為客戶端。動(dòng)態(tài)ARP檢測(cè)DAI(Dynamic ARP Inspection)利用DH

6、CP Snooping綁定表來(lái)防御中間人攻擊的。當(dāng)設(shè)備收到ARP報(bào)文時(shí),將此ARP報(bào)文對(duì)應(yīng)的源IP、源MAC、VLAN以及接口信息和DHCP Snooping綁定表的信息進(jìn)行比較,如果信息匹配,說(shuō)明發(fā)送該ARP報(bào)文的用戶是合法用戶,允許此用戶的ARP報(bào)文通過(guò),否則就認(rèn)為是攻擊,丟棄該ARP報(bào)文。命令S1PC1攻擊者PC3IP: 10.1.1.1MAC: 1-1-1IP: 10.1.1.2MAC: 2-2-2IP: 10.1.1.3MAC: 3-3-3IP地址MAC地址Type10.1.1.33-3-3DynamicPC1的ARP表項(xiàng)IP地址MAC地址Type10.1.1.11-1-1Dynam

7、icPC3的ARP表項(xiàng)IP地址MAC地址Type10.1.1.32-2-2DynamicARP表項(xiàng)更新為IP地址MAC地址Type10.1.1.12-2-2DynamicARP表項(xiàng)更新為arp anti-attack check user-bind enable單包攻擊防范泛洪攻擊防范源IP地址欺騙防范中間人攻擊防范數(shù)據(jù)傳輸安全I(xiàn)PSec VPN簡(jiǎn)介IPSec(Internet 協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議,為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù) TCP/IP 通信免遭竊聽(tīng)和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。IPSec通過(guò)在IPSec對(duì)等體間建立雙向安全聯(lián)盟,形成一個(gè)安全

8、互通的IPSec隧道,來(lái)實(shí)現(xiàn)Internet上數(shù)據(jù)的安全傳輸。分支總部IPSec TunnelRouter_ARouter_BIPSec安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對(duì)等體(即運(yùn)行IPSec協(xié)議的兩個(gè)端點(diǎn))之間成功建立安全聯(lián)盟SA(Security Association)。SA是通信的IPSec對(duì)等體間對(duì)某些要素的約定。對(duì)等體A對(duì)等體BSA(A B)SA(A B)IPSec 隧道Internet原始數(shù)據(jù)包加密數(shù)據(jù)包IKE SAIKE SA是為IPSec SA服務(wù)的,為IPSec提供了自動(dòng)協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IKEIKE對(duì)等體AUDPAH/ESPIKE

9、SA對(duì)等體BUDPAH/ESPIKE SAIKE SA協(xié)商加密的IP報(bào)文IP雙向IPSec SA建立IPSec安全協(xié)議IPSec通過(guò)驗(yàn)證頭AH(Authentication Header)和封裝安全載荷ESP(Encapsulating Security Payload)兩個(gè)安全協(xié)議實(shí)現(xiàn)IP報(bào)文的安全保護(hù)。ESPAHIKE(ISAKMP,DH)DES3DESAESSM1/SM4MD5SHA1SHA2SM3MD5SHA1SHA2SM3安全協(xié)議加密驗(yàn)證密鑰交換datadatadataTCPHeader封裝模式 - 傳輸模式在傳輸模式中,AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間,保護(hù)TCP/

10、UDP/ICMP負(fù)載。IPHeaderAHHeaderTCPHeader認(rèn)證范圍(IP Header中可變域除外)IPHeaderESPHeaderESPTailESPAuth data認(rèn)證范圍加密范圍IPHeaderAHHeaderESPHeaderTCPHeaderESPTailESPAuth dataESP認(rèn)證范圍ESP加密范圍AH認(rèn)證范圍(IP Header中可變域除外)AHESPAH+ESPdatadatadata封裝模式 - 隧道模式在隧道模式下,AH頭或ESP頭被插到原始IP頭之前,另外生成一個(gè)新的報(bào)文頭放到AH頭或ESP頭之前,保護(hù)IP頭和負(fù)載。New IPHeaderAHHe

11、aderTCPHeader認(rèn)證范圍(IP Header中可變域除外)New IPHeaderESPHeaderTCPHeaderESPTailESPAuth data認(rèn)證范圍加密范圍IPHeaderAHHeaderESPHeaderTCPHeaderESPTailESPAuth dataESP認(rèn)證范圍ESP加密范圍AH認(rèn)證范圍(IP Header中可變域除外)AHESPAH+ESPRaw IP HeaderRaw IPHeaderRaw IPHeaderIPSec加解密及驗(yàn)證過(guò)程IP報(bào)文IP報(bào)文加密算法(加密)加密算法(解密)加密IP報(bào)文加密IP報(bào)文對(duì)稱密鑰手工配置或DH算法生成并共享兩端計(jì)算的ICV是否相符?是否丟棄驗(yàn)證算法(HMAC)驗(yàn)證算法(HMAC)對(duì)稱密鑰手工配置或DH算法生

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論