信息安全技術

網絡安全2003-12今天的主題第一章網絡安全基礎(模型,基礎知識)第二章網絡設備安全管理(物理上安全,設置上安全等)第三章網絡中面臨的威脅針對網絡設備的攻擊(不同的設備,不同的漏洞)拒絕服務（DoS）攻擊(DOS,DDOS)欺騙攻擊(IP地址欺騙等)網絡嗅探(協議,端口)第四章網絡設備的安全配置第五章對網絡威脅采取的策略第六章

IPSec與VPN技術第一章網絡安全基礎INTERNET的美妙之處在于你和每個人都能互相連接(工作,學習,電子商務等)INTERNET的可怕之處在于每個人都能和你互相連接(面臨著威脅,例如:病毒)網絡基礎OSI參考模型ISO/OSI網絡體系結構

即開放系統互聯參考模型（OpenSystemInterconnectReferenceModel）。是ISO（國際標準化組織）根據整個計算機網絡功能劃分七層.網絡體系結構分層的目的

(為了更好的規(guī)劃網絡,更好的達到網絡的互聯性,更好的解決問題,更好的構架網絡而建立)OSI參考模型的層次劃分

應用層表示層

會話層

傳輸層網絡層

數據鏈路層物理層

OSI層次劃分原則層次分明性應該把層次分成理論上需要的不同等級，減少過多的層次；當在數據處理過程中需要不同級別抽象時，則設立一個層次；在需要不同的通信服務時，可在同一層內再形成子層次，不需要時也可繞過該子層次。獨立性一個層次內的功能或協議更改時不影響其它各層；互聯性只為每一層建立與其相鄰的上一層和下一層的接口；OSI層次劃分原則

功能模塊化性每一層都應該較好地履行其特定的功能；成熟性每一層的功能選定都基于已有成功經驗的國際標準協議；簡明性每一層的界面都應該選在服務描述最少、通過接口的信息流量最少的地方；把類似的功能集中在同一層內，使之易于局部化；

TCP/IP協議層次模型TCP/IP協議分層并不完全對應OSI模型應用層TelnetFTPDNSSMTP傳輸層TCPUDP網絡層IPICMPARPRARP網絡接口層X.25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太網無線網絡令牌網ARPNETTCP/IP模型與潛在風險應用程序攻擊拒絕服務攻擊數據監(jiān)聽和竊取硬件設備破壞常見黑黑客攻攻擊方方式應用層層：應應用程程序和和操作作系統統的攻攻擊與與破壞壞傳輸層層：拒拒絕服服務攻攻擊網絡層層：拒拒絕服服務攻攻擊和和數據據竊聽聽風險險硬件設設備與與數據據鏈路路：物物理竊竊聽與與破壞壞(物理維維護,介質保保護,OPENBOOT)網絡安安全的的語義義范圍圍保密性性完整性性可用性性(CIA三元組組基本本安全全法則則)可控性性第二章章網網絡絡設備備安全全管理理局域網網的特特性局域網網典型型特性性高數據據傳輸輸率短距離離低誤碼碼率(廣域網網絡高高誤碼碼率)常用的的局域域網介介質訪訪問控控制技技術載波監(jiān)監(jiān)聽多多路訪訪問/沖突檢檢測(CSMA/CD)技術令牌控控制技技術光纖分分布數數據接接口(FDDI)技術局域網網安全全管理理良好的的網絡絡拓撲撲規(guī)劃劃(IP地址規(guī)規(guī)劃,路由區(qū)區(qū)域設設計等等)對網絡絡設備備進行行基本本安全全配置置(口令和和不必必要的的服務務關閉閉)合理的的劃分分VLAN(防一端端口屬屬多VLAN)分離數數據廣廣播域域(不同部部門)綁定IP地址與與Mac地址(防止盜盜用IP)配置防防火墻墻和IDS設備使用內容監(jiān)監(jiān)控(NETFLOW)與病毒過濾濾良好的網絡絡規(guī)劃網絡安全規(guī)規(guī)劃原則合理的分配配地址(規(guī)劃表)合理的網絡絡邏輯結構構(拓撲及協議議的選擇)通過VLAN分隔邏輯網網絡通過域或工工作組確定定用戶權限限(操作系統)建立良好的的網絡安全全制度(文檔等)網絡設備安安全配置關閉不必要要的設備服服務(STP,CDP等)使用強口令令或密碼加強設備訪訪問的認證證與授權(AAA口令)升級設備固固件(對功能的提提升)或OS(補丁)使用訪問控控制列表限限制訪問(名稱,擴展,基本)使用訪問控控制表限制制數據包類類型(二層)廣域網的概概念和特性性廣域網是覆覆蓋地理范范圍相對較較廣的數據據通信網絡絡。網絡的規(guī)模模和分類：：局域網(LAN，localareanetwork)可覆蓋一個個建筑物或或一所學校校;城域網(MAN，metropolitanareanetwork)可覆蓋一座座城市;(WAN，wideareanetwork)可覆蓋多座座城市、多多個國家或或洲。廣域網的構構成和種類類廣域網的構構成(設備及基本本構架)廣域網的種種類X.25幀中繼ATM廣域網安全全管理良好的網絡絡拓撲規(guī)劃劃(協議選擇等等)對網絡設備備進行基本本安全配置置(口令,加密)確保路由協協議安全(路由協議議加密,防惡意路由由信息介入入)使用ACL進行數據據過濾使用AAA加強訪問問控制和認認證交換機-Vlan穿越對策將所有user-end端口都從vlan1中排除(缺省VLAN的有很多服服務沒有關關掉.)將trunk接口劃分到到一個單獨獨的vlan中，該vlan中不應包含含任何user-end接口交換機-針對CDP攻擊交換機-針對STP攻擊說明SpanningTreeProtocol防止交換網網絡產生回回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強制接管rootbridge，導致網絡絡邏輯結構構改變，在在重新生成成STP時，可以導導致某些端端口暫時失失效，可以以監(jiān)聽大部部份網絡流流量。BPDUFlood：消耗帶寬寬，拒絕服服務(間隔時間)對策對User-End端口，禁止止發(fā)送BPDU(或用參數進進行控制)交換機-針對VTP攻擊作用VlanTrunkingProtocol統一了整個個網絡的VLAN配置和管理理可以將VLAN配置信息傳傳遞到其它它交換機動態(tài)添加刪刪除VLAN(通過VTP更新信息)準確跟蹤和和監(jiān)測VLAN變化模式Server,Client,Transparent交換機-針對VTP攻擊脆弱性Domain：只有屬于于同一個Domain的交換機才才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通通過經MD5加密的password驗證，但password設置非必需需的，如果果未設置password，入侵者惡惡意添加或或者刪除Vlan。對策設置password盡量將交換換機的vtp設置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是轉發(fā))路由器-發(fā)現路由通過tracertroute命令最后一個路路由容易成成為DoS攻擊目標(產生大量的的數據包,使響應者消消耗資源)路由器-猜測路由器器類型端口掃描CDP其它特征：：如Cisco路由器1999端口的ack分組信息，，會有cisco字樣提示(給入侵者帶帶來有用信信息)路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶

Manager空管理員bay350T交換機NetlCs無關管理員baysuperStackIIsecuritysecurity管理員3com交換機adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

路由器-缺省帳號

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-密碼Cisco路由器的密密碼(選擇手工安安裝模式就就可以沒有有缺省密碼碼)弱加密MD5加密Enablesecret5路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp網管軟件讀寫權限關掉不必要要的服務SNMP對管理人員員有用,同時也為黑黑客提供方方便.路由器-針對snmp攻擊利用讀、寫寫口令字下下載配置文文件針對SNMP的暴力破解解程序CISCOSNMP越權訪問可可寫口令字字……第三章網網絡存在在的威脅網絡中面臨臨的威脅拒絕服務攻攻擊定義DoS（DenialofService）拒絕服務攻攻擊是用來來顯著降低低系統提供供服務的質質量或可用用性的一種種有目的行行為。DDoS（DistributedDenialofservice）分布式拒絕絕服務攻擊擊使用了分分布式客戶戶服務器功功能，加密密技術及其其它類的功功能，它能能被用于控控制任意數數量的遠程程機器，以以產生隨隨機匿名名的拒拒絕服務攻攻擊和遠程程訪問。DDoS攻擊示意圖圖分布式拒絕絕服務攻擊擊示意圖DoS攻擊舉例SynFloodUdpFloodIcmpPingFloodSynFloodSYNFlood是當前最流流行的DoS（拒絕服務務攻擊）與與DDoS（分布式拒拒絕服務攻攻擊），是是利用TCP協議缺陷，，發(fā)送大量量偽造的TCP連接請求，，從而使得得被攻擊方方資源耗盡盡（CPU滿負荷或內內存不足））的一種攻攻擊方式。。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發(fā)起方應答方正常的三次次握手建立立通訊的過過程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┕粽呤芎φ邆卧斓刂愤M進行SYN請求為何還沒回應就是讓你白等不能建立正正常的連接接UdpFloodUDP攻擊的原理理是使兩個個或兩個以以上的系統統之間產生生巨大的UDP數據包。首首先使這兩兩種UDP服務都產生生輸出，然然后讓這兩兩種UDP服務之間互互相通信，，使一方的的輸出成為為另一方的的輸入。這這樣會形成成很大的數數據流量。。當多個系系統之間互互相產生UDP數據包時，，最終將導導致整個網網絡癱瘓。。如果涉及及的主機數數目少，那那么只有這這幾臺主機機會癱瘓UdpFlood禁止相關服服務(RIP禁止對所有有端口轉發(fā)發(fā))與網絡設備備配合(FWACL)IcmpPingFloodPing是通過發(fā)送送ICMP報文,不能很好處處理過大的的Ping包，導致出出現:占去許多帶帶寬,塞滿網絡.如TFN2K會產生大量量的進程，，每個進程程都不停地地發(fā)送PING包，從而導導致被攻擊擊目標的無無法正常工工作。IcmpFlood禁止相關服服務與網絡設備備配合(CISCO設備最新功功能用命令令去禁止)應用級別的的拒絕服務務包含在操作作系統或應應用程序中中與安全相相關的系統統缺陷而引引起的拒絕絕服務問題題，這些缺缺陷大多是是由于錯誤誤的程序編編制，粗心心的源代碼碼審核.典型代表是是pcanywhere的拒絕服務務問題應用級別的的拒絕服務務PCAnywhere存在因端口口掃描導致致的DoS攻擊描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應應，只有重重新啟動服服務才能正正常運行。。應用級別的的拒絕服務務升級相關軟軟件(補漏洞)與安全產品品配合(IDS,FW,ACL,ROUTE-MAP策略控制)Trinoo介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，，基于主機機的Trin00是一種分布布式拒絕服服務的工具具。攻擊者者使用該工工具可以控控制多個主主機，利用用這些主機機向其他主主機發(fā)送UDPflood。Trin00控制者可以以給Trin00主機守護程程序制造多多種請求。。使用UDP包開始flood主機使用UDP包終止flood主機修改主機主主流程序的的UDPflood配置Trinoo介紹Trinoo的攻擊擊方法是向向被攻擊目目標主機的的隨機端口口發(fā)出全零零的4字節(jié)節(jié)UDP包包，在處理理這些超出出其處理能能力的垃圾圾數據包的的過程中，，被攻擊主主機的網絡絡性能不斷斷下降，直直到不能提提供正常服服務，乃至至崩潰。它它對IP地地址不做假假.通訊端口是是：(要在相應應策略控制制里封掉)攻擊者主機機到主控端端主機：27665/TCP主控端主機機到代理端端主機：27444/UDP代理端主機機到主服務務器主機：：31335/UDPTFN介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，，基于主機機的TribeFloodNetwork,TFN,是一種分布布式拒絕服服務的工具具，使用該該工具可以以使攻擊者者利用多個個主機，一一次flood一個目標。。有三種不不同類型的的flood：ICMPEchofloodUDPFloodSYNFloodTFN介紹TFN客戶機和服服務器使用用ICMPecho互相發(fā)送響響應包進行行通訊。TFN由主主控端程序序和代理端端程序兩部部分組成，，具有偽造造數據包的的能力。TFN2K介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，，基于主機機的TribeFloodNetwork2000(TFN2k)是一種分布布式拒絕服服務的工具具，可以實實施多種類類型的flood攻擊一個主主機。TFN2k由客戶端和主主機駐留程程序組成?？蛻舳丝刂埔粋€多多個主機主流程程序，主機主流流程序對目標主機進行flood?？蛻舳丝煽梢允褂肬DP、TCP或ICMP與主機主流流程序進行行通訊，并并可以隱藏欺騙發(fā)發(fā)包的源IP地址。TFN2K介紹TFN2K是由TFN發(fā)展而而來的，在在TFN所所具有的特特性上，TFN2K又新增一一些特性，，它的主控端和代代理端的網絡通訊訊是經過加密的，中間還還可能混雜雜了許多虛虛假數據包包，而TFN對ICMP的通通訊沒有加密。并且TFN2K可可配置的代代理端進程程端口。DDoS攻擊特性DDoS攻擊將越越來越多地地采用IP欺騙的技技術；DDoS攻擊呈現現由單一攻攻擊源發(fā)起起進攻，轉轉變?yōu)橛啥鄠€攻擊源源對單一目標標進攻的趨趨勢;DDoS攻擊將會會變得越來來越智能化化，試圖躲躲過網絡入入侵檢測系系統的檢測測跟蹤，并并試圖繞過過防火墻防防御體系;針對路由器器的弱點的的DDoS攻擊將會會增多;DDoS攻擊利用用路由器的的多點傳送功功能可以將攻擊擊效果擴大大若干倍;基于不同協協議的攻擊擊:--采用半連接技術術SYN攻擊擊，和針對對TCP/IP協議議先天缺陷陷的的ACK攻擊。。--采用ICMP攻擊。。--采用UDP攻擊。IP欺騙原理IP是網絡層的的一個非面面向連接的的協議，偽偽造IP地址相對容容易。TCP三次握手DoS攻擊序列號取樣樣和猜測預防拋棄基于地地址的信任任策略進行包過濾濾加密使用隨機化化初始序列列號ARP欺騙實現簡易指定ARP包中的源IP、目標IP、源MAC、目標MAC危害嗅探導致windows9x、NTIP沖突死機Flooding導致網絡異異常共享環(huán)境下下的嗅探技技術原理在以太網中中是基于廣廣播方式傳傳送數據網卡置于混混雜模式下下可以接收收所有經的的數據工具Snifferpro、IRIS、tcpdump、snoop第四章網網絡設備備的安全配配置路由交換設設備安全配配置關閉不必要要的設備服服務使用強口令令或密碼加強設備訪訪問的認證證與授權升級設備固固件或OS使用訪問控控制列表限限制訪問使用訪問控控制表限制制數據包類類型Cisco路由交換的的安全配置置使用加密的的強密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密密碼策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用戶密密碼策略usernamepasswordpassprivilegeexec6showCisco路由交換安安全配置控制網絡線線路訪問access-list8permit0access-list8denyanylinevty04access-class8in設置網網絡連連接超超時Exec-timeout50以上措措施可可以保保證路路由器器的密密碼安安全Cisco路由交交換安安全配配置禁用交交換機機HTTP服務器器noiphttpserver禁用CDP發(fā)掘協協議nocdprun禁用交交換機機NTP服務器器nontpenable如果用用了,需要要驗證證Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低低端口口簡單單服務務noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務noservicefinger以上措措施可可以降降低路路由器器遭受受應用用層攻攻擊的的風險險Cisco路由交交換安安全配配置禁用簡簡單網網絡管管理協協議nosnmp-serverenable使用SNMPv3加強安安全特特性snmp-serverenabletrapssnmpauthmd5使用強強的SNMPv1通訊關關鍵字字snmp-servercommunityname以上三三者不不可同同時使使用，，如果果必要要使用用SNMP安全性性1>>2>>3Cisco路由交交換安安全配配置認證與與日志志管理理logging設置與與不同同的服服務相相關聯聯logging的不同同級別別使用AAA加強設設備訪訪問控控制AAA概念日志管管理loggingonloggingserverCisco路由交交換安安全配配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定定向廣廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗證Ipverifyunicastreverse-path禁用IP源路由由選項項noipsource-routeCisco路由交交換安安全配配置啟用TCP截獲特特性防防止DoS攻擊創(chuàng)建截截獲訪訪問控控制列列表起用TCP截獲特特性設置門門限制制設置丟丟棄模模式Cisco路由交交換安安全配配置使用訪訪問控控制列列表限限制訪訪問地地址使用訪訪問控控制列列表限限定訪訪問端端口使用訪訪問控控制列列表過過濾特特定類類型數數據包包使用訪訪問控控制列列表限限定數數據流流量使用訪訪問控控制列列表保保護內內部網網絡第五章章對對網絡絡威脅脅采取取的策策略拒絕服服務攻攻擊的的防御御策略略第一種種是縮縮短SYNTimeout時間，，由于于SYNFlood攻擊的的效果果取決決于服服務器器上保保持的的SYN半連接接數，，這個個值=SYN攻擊的的頻度度xSYNTimeout，所以以通過過縮短短從接接收到到SYN報文到到確定定這個個報文文無效效并丟丟棄該該連接接的時時間，，例如如設置置為20秒以下下（過過低的的SYNTimeout設置可可能會會影響響客戶戶的正正常訪訪問）），可可以成成倍的的降低低服務務器的的負荷荷.第二種種方法法是設設置SYNCookie，就是是給每每一個個請求求連接接的IP地址分分配一一個Cookie，如果果短時間間內連連續(xù)受受到某某個IP的重復復SYN報文，就認認定是是受到到了攻攻擊，，以后后從這這個IP地址來來的包包會被被一概概丟棄棄。SynFlood解決辦辦法動態(tài)分分析受到攻攻擊時時在線線分析析TCPSYN報文的的所有有細節(jié)節(jié)。如如源地地址、、IP首部中中的標標識、、TCP首部中中的序序列號號、TTL值等，，特別別是TTL值，如如果大大量的的攻擊擊包似似乎來來自不不同的的IP但是TTL值卻相相同，往往往能推推斷出出攻擊擊者與與目標標之間間的路路由器器距離離，至至少也也可以以通過過過濾特特定TTL值的報文文降低低被攻攻擊系系統的的負荷荷（在在這種種情況況下TTL值與攻攻擊報報文不不同的的用戶戶就可可以恢恢復正正常訪訪問））網絡設設備配配合SynFlood其它辦辦法SynFlood其它辦辦法負載均均衡基于DNS解析的的負載載均衡衡本身身就擁擁有對對SYNFlood的免疫疫力，，基于于DNS解析的的負載載均衡衡能將將用戶戶的請求分分配到到不同同IP的服務務器主機上上，SYNFlood程序有有兩種種攻擊擊方式式，基基于IP的和基基于域域名的，前前者是是攻擊擊者自自己進進行域域名解解析并并將IP地址傳傳遞給給攻擊擊程序序，后后者是是攻擊擊程序序自動動進行行域名名解析析，但但是它它們有有一點點是相相同的的，就就是一一旦攻攻擊開開始，，將不不會再再進行行域名名解析析。攻攻擊者者攻擊擊的永永遠只只是其其中一臺服服務器器。檢測DDoS攻擊根據異異常情情況分分析訪問量量突然然劇增增，經經過sniffer分析析，有有大量量的非非正常常的包包，如如沒有有正常常的tcp三次次握手手，或或者是是三次次握手手后沒沒有正正常的的關閉閉連接接，或或者大大量的的廣播播包，，或者者大量量的icmp包包，這這說明明極其其有可可能是是遭受受DDoS攻擊擊。外部訪訪問突突然變變慢，，或者者訪問問不到到，可可是主主機的的訪問問量卻卻不大大，這這很有有可能能是路路由器器的配配置出出現問問題，，詢問問一下下是否否有人人對路路由器器等設設備進進行過過操作作，或或者你你的對對等ISP的線線路出出現問問題。。主機突突然反反應很很遲鈍鈍。這這要經經過sniffer進行行偵聽聽，這這有兩兩種可可能，，一種種是流流量確確實很很大，，有可能是遭受受DoS攻擊，還有有就是應用程程序編寫有誤誤，導致系統統資源耗盡。。DDoS攻擊的對策與網絡服務提提供商協作能否與上一級級的網絡主干干服務提供商商進行良好的的合作是非常常重要的事情情。DDoS攻擊對帶寬寬的使用是非非常嚴格的，，無論使用什什么方法都無無法使自己的的網絡對它的的上一級進行行控制。最好好能夠與網絡服務供應應商進行協商商，請求他們幫幫助實現路由的訪問控控制，以實現對帶帶寬總量的限限制以及不同同的訪問地址址在同一時間間對帶寬的占占有率。最好好請求服務提提供商幫監(jiān)視網絡流量量，并在遭受攻攻擊時允許訪問他們們的路由器。。DDoS攻擊的對策安裝IDS和和監(jiān)控異常流流量。在防衛(wèi)攻擊方方面，安裝IDS可以發(fā)發(fā)現是否有入入侵行動正在在進行，立即即對入侵行動動進行報警。。以最快時間間內對入侵做做成反應。此此外，也要時時常監(jiān)控網絡絡流量，注意意是否有異常常的流量產生生。(IDS操作)優(yōu)化對外提供供服務的主機機對于潛在的有有可能遭受攻攻擊的主機也也要同樣進行行設置保護。。在服務器上上禁止一切不必要的服務務，打補丁，進行安全配配置。此外，，用防火墻對對提供服務的的主機進行保保護，對訪問問量大的主機機進行負載均衡。將網站分布布在多個不同同的物理主機機上，這樣每每一臺主機只只包含了網站站的一部分，，防止了網站站在遭受攻擊擊時全部癱瘓瘓。DDoS攻擊的對策立即啟動應付付策略，盡可可能快的向回回追蹤攻擊包包如果發(fā)現攻擊擊并非來自內內部應當立即即與服務提供供商取得聯系系。由于攻擊擊包的源地址很有可可能是被攻擊擊者偽裝的，因此不必必過分的相信信該地址。應應當迅速的判判斷是否遭到到了拒絕服務務攻擊，因為為在攻擊停止止后，只有很很短的一段時時間您可以向向回追蹤攻擊擊包，這最好好和安全公司司或組織一道道來追查攻擊擊者。與信息安全監(jiān)監(jiān)察部門聯系系由于系統日志志屬于電子證證據，可以被被非法修改。。所以一旦攻攻擊發(fā)生，應應該及時與信信息安全監(jiān)察察部門聯系，，及時提供系系統日志作為為證據保全，，以利于追查查和起訴攻擊擊者，便于日日后用法律手手段追回經濟濟損失DDoS預防方法限制ICMP數據包出站速速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預防方法限制SYN數據包連接速速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預防方法InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預防方法入口數據包必必須來自客戶戶地址確保檢查入口口數據包有效效DDoS預防方法驗證單點傳送送反向路徑檢查數據包地地返回路徑是是否使用與到到達相同接口口，以緩解某某些欺騙數據據包需要路由CEF（快速向前傳傳輸）特性第六章IPSec與VPN技術IPSec與VPN技術VPN技術虛擬專用網（（VirtualPrivateNetwork）：在公眾網絡上上所建立的企企業(yè)網絡，且且此企業(yè)網絡絡擁有與專用用網絡相同的的安全、管理理及功能等特特點。采用VPN的原因費用安全性VPN協議—隧道協議第二層隧道協協議PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三層隧道協協議GREIPSecPPTP將其他協議和和數據封裝于于IP網絡；該方式式用在公共的的Internet創(chuàng)建VPN，遠端用戶能能夠透過任何何支持PPTP的ISP訪問公司的專專用網絡。此此協議由Microsoft開發(fā)，與Windows95和NT集成很好。在在數據安全性性方面，此協協議使用40bit或128bitRC4的加密算法。。L2TPIETF所制定的在Internet上創(chuàng)建VPN的協議。它支支持非IP的協議，例如如：AppleTalk和IPX,還有非IP的協議，例如如：AppleTalk和IPX，還有非IPSec的安全協議。。這個協議是是在PPTP和L2F的技術之上所所制定的標準準InternetTunnel協議。在數據據安全方面，，建議使用IPSec作為加密方式式。IPSecIETF所制定的安全全協議。它可可以在Internet網上提供Tunnel封裝、數據驗驗證和數據亂亂碼加密的服服務。IPSec工作在網絡協協議棧的第三三層，并且支支持IPV6，使用DES（56-bit）或TripleDES(112-bit)加密方式。IPSec分兩種工作方方式：Tunnel模式（tunnel服務和加密服服務同時提供供）和Transport模式（只提供供加密服務，，不提供Tunnel）IPSec工作模式傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內部受保護的數據IP有效載荷IP頭IPSec

頭線上傳輸保護TCP/UDP/ICMP有效負載用于LAN的IPSec傳輸模式點對點通信對保護工作組組通信非常有有效B:A:LANIPSec工作模式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護IP包頭和IP負載可適用于兩者者,隱藏內部IP地址,協議類型和端端口號加密在IPSec之前在IPSec*之后用于WAN的IPSec隧道模式通過WAN把私有地址空空間擴展到任任意地方跨WAN保證私有性,完整性和身份份驗證ISPVPNGatewayInternetB:C:1D:A:經過隧道的私私有地址可路由的公有有地址隧道和傳輸模模式相結合通過WAN的安全隧道和和通過LAN的安全傳輸相相結合而對LAN和WAN實現一個統一一的安全策略略建筑的內外有有一致的安全全性ISPVPNGatewayInternet

B:A:主機間的傳輸C:1

D:通過WAN的隧道VPN網絡架構告電安全隧道公共網絡FR/DDN/X.25分支機構子網分支機構子網管理中心子網VPN網關NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源VPN網關VPN網關NEsec300CA警內網接口外網接口源認證服務器管理器VPN的特點解決了企業(yè)進進行遠程通訊訊必須購置專專用遠程訪問問服務器，必必須使用租用用線路的高成成本、低擴展展性的問題。。將遠程網絡主主干的通訊的的軟硬件維護護的任務交給給ISP管理，大大減減少企業(yè)為了了管理網絡所所投入的人力力和物力，減減少了企業(yè)的的管理成本。。利用點對點等等隧道協議（（PPP）以及第二層層隧道協議（（L2TP）可以實現多多點建立VPN，使得用戶可可以開通多個個VPN，以便同時訪訪問Internet和企業(yè)網絡。。采用Microsoft的點對點加密密協議（MPPE）以及安全IP標準（IPsec）和密匙可以以實現VPN的安全策略。。問題？9、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Tuesday,December20,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。17:32:2217:32:2217:3212/20/20225:32:22PM11、以我獨沈沈久，愧君君相見頻。。。12月-2217:32:2217:32Dec-2220-Dec-2212、故人江海海別，幾度度隔山川。。。17:32:2217:32:2217:32Tuesday,December20,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2217:32:2217:32:22December20,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。20十十二二月月20225:32:22下下午午17:32:2212月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。。十二月月225:32下下午午12月月-2217:32December20,202216、行動出出成果，，工作出出財富。。。2022/12/2017:32:2217:32:2220December202217、做前，，