版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网络设备平安目录1.1 网络根底1.2 典型网络设备1.3 网络设备平安网络平安问题事发的5月18日22时左右,域名解析效力器DNSPod主站及多个DNS效力器蒙受超越10G流量的恶意攻击,导致DNSPod的6台解析效力器开场失效,大量网站开场间歇性无法访问。 从2021年5月19日21:06开场,江苏、安徽、广西、海南、甘肃、浙江 等6个省份的中国电信网络用户发现无法登录网络,与此同时,电信的客服部门源源不断地开场接到客户的赞扬。5月20日下午,根据工业和信息化部通讯保证局发布的公告,确认该事件缘由是暴风网站域名解析系统遭到网络攻击出现缺点,导致电信运营企业的递归域名解析效力器收到大量异常恳
2、求而引发拥塞。网络为何如此脆弱?如何保证网络的平安?1.1 网络根底1.1.1 网络的概念计算机网络是经过通讯线路和通讯设备将多个具有独立功能的计算机系统衔接起来,按照网络通讯协议实现资源共享和信息传送的系统。1.1.2 通讯协议的概念通讯协议是为使计算机之间可以正确通讯,而制定的通讯规那么、商定和规范。在开场通讯之前需求确定的事情:通讯的发送方、接纳方一致的通讯方法一样的言语留意传送的速度和时间证明或确认要求语义发送方、接纳方语法双方一致赞同的通讯方法通讯言语和语法时序传送的速度和时间证明或确认要求通讯协议网络通讯协议的问题:计算机间通讯仅靠一个通讯协议无法完成!处理方法:网络分层各层内运用
3、本人的通讯协议完成层内通讯;各层间经过接口提供效力;各层可以采用最适宜的技术来实现;各层内部的变化不影响其他层。定义传输介质、信号波形电压、电流等,实现比特流传输。定义过失控制、流量控制机制如何在通讯网络间选择路由端到端可靠数据传输建立维护通讯双方的会话衔接信息表示方法数据格式为运用提供网络通讯效力1.1.3 网络体系构造按照TCP/IP模型搭建计算机网络时,在计算机上需求安装配置的组件。3.计算机上安装的网卡或者其它通讯接口、网线。2.计算机上的TCP/IP通讯程序,普通随操作系统安装,但需求用户配置用于网络路由的地址。1.计算机上的网络运用程序,例如IE阅读器、QQ程序这是计算机运用TCP
4、/IP模型进展通讯的标志AH1.1.4 TCP/IP网络中数据传输过程计算机A计算机B电子邮件数据AHAHAH数据段数据包数据帧比特流封装/重组1.2 典型网络设备运用TCP/IP模型通讯的网络设备路由器企业级的二层交换机桌面二层交换机计算机A计算机B计算机A计算机B计算机A与计算机B之间通讯的数据传输过程1.2.1 交换机交换机可以将 LAN 细分为多个单独的冲突域,其每个端口都代表一个单独的冲突域,为该端口衔接的节点提供完全的介质带宽。交换机的任务原理选择性转发以太网 LAN 交换机采用五种根本操作来实现其用途:获取过期泛洪选择性转发过滤1交换机的分类按能否可配置分类按端口速率分类10Mb
5、ps、100Mbps、1000Mbps按能否可物理扩展分类按转发方式分类按照任务层次分类:二层交换机三层交换机VLAN的概念3rd Floor2nd Floor1st Floor计算机系邮政系金融系A VLAN = A Broadcast Domain = Logical Network (Subnet)VLAN10VLAN20VLAN30物理拓扑逻辑拓扑3台交换机三个广播域一个广播域1.2.2 路由器路由器是专门用于路由的计算机为数据报文选择到达目的地址的最正确途径将数据报文转发到正确的输出端口路由器任务在网络层,实现不同网段之间的通讯。路由器中心:路由表目的地址、子网掩码下一跳地址、输出端
6、口留意:路由器的路由描画方式是部分的RTB#show ip route-output omitted- /24 is subnetted, 1 subnetsR 120/1 via , 00:00:25, Serial0/1 /24 is subnetted, 1 subnetsC is directly connected, Serial0/1 /24 is subnetted, 1 subnetsC is directly connected, Serial0/0 /24 is subnetted, 1 subnetsO 110/65 via , 00:00:13, Serial0/0RT
7、Bdisplay ip routing-tableRouting Tables: Public Destinations : 10 Routes : 10Destination/Mask Proto Pre Cost NextHop Interface/24 RIP 100 1 S2/0/24 Direct 0 0 S2/0/32 Direct 0 0 S2/0/32 Direct 0 0 InLoop0/24 Direct 0 0 S1/0/32 Direct 0 0 InLoop0/32 Direct 0 0 S1/0/24 OSPF 10 1563 S1/0/8 Direct 0 0 I
8、nLoop0/32 Direct 0 0 InLoop0路由器和三层交换机的比较第 3 层交换机可以像公用路由器一样在不同的 LAN 网段之间路由数据包。公用路由器在支持WAN接口卡 (WIC)方面更加灵敏,这使得它成为用于衔接 WAN的首选设备,而且有时是独一的选择。第3层交换机不能完全取代网络中的路由器。1.2.3 典型网络拓扑构造在会聚层交换机上进展VLAN的创建,并在接入层交换机上经过将接入端口指定到相应的VLAN中来按部门划分广播域,由会聚层交换机实现其下的接入层各VLAN之间的路由。在会聚层交换机和中心层交换机之间运转动态路由选择协议,由中心层交换机实现整个局域网的路由。 对于带宽
9、需求较高的部分,在接入层交换机和会聚层交换机之间进展链路聚合。对网络可用性要求较高的部分,进展设备和链路的冗余,保证可用性的同时,经过负载平衡提高网络通讯效率。1.3 网络设备平安1.3.1 网络设备本身平安保证制止不用要的网络效力制止HTTP效力制止DNS效力制止IP源路由选择制止ICMP重定向制止ARP代理效力制止直接广播制止CDP制止SNMP协议效力封锁不运用的接口或端口运用SSH替代Telnet进展设备远程访问管理严厉控制远程访问用户的权限对于远程访问进展严厉的限制交换机管理VLAN与业务VLAN相独立1.3.2 交换机数据平安静态配置端口类型,防止DTP协商导致的VLAN腾跃攻击对于
10、Trunk链路,明确配置其能传输的VLAN数据。对于CISCO交换机,尽量不要运用VTP协议功能。1.3.3 路由协议平安RIP协议平安配置抑制接口配置MD5认证OSPF协议平安配置MD5认证1.3.4 局域网平安AAA认证Authentication:认证,对访问网络的用户的身份进展认证,判别访问者能否为合法的用户; Authorization:授权,为认证经过的不同用户赋予不同的权限,限制用户可以访问的资源和运用的效力; Accounting:计费,用来记录用户的操作和运用的网络资源,包括运用的效力类型、起始时间和数据流量等,在计费的同时对网络平安情况进展监控。IEEE 802.1x技术在
11、以太网接入设备的端口一级对所接入的设备进展认证和控制。在运用了IEEE 802.1x的交换机端口上,假设该端口衔接的终端设备可以经过认证,就可以访问网络中的资源;而假设不能经过认证,那么无法访问网络中的资源。 端口平安技术基于MAC地址对网络接入进展控制的平安机制,它经过定义各种端口平安方式,让网络设备的端口学习到该端口下的合法的终端MAC地址;经过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;经过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问。 端口平安方式noRestrictions方式autolearn方式secure方式端口绑定技术将用户的IP
12、地址和MAC地址绑定到指定的交换机端口上,使交换机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文进展转发,从而实现对端口转发的报文进展过滤控制,加强端口的平安性,实现IP源防护IP Source Guard,IPSG功能。交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六种绑定表项的组合,因此它既支持IP+MAC的绑定,也支持单独只绑定IP地址或单独只绑定MAC地址。 DHCP Snooping技术保证客户端从合法的DHCP效力器获取IP地址。将衔接DHCP效力器的端口指定为信任端口,而将其它的端口指定为不信任端口来保证客户端从合法的DHCP效力器获取IP地址。在不信任端口上配置DHCP报文限速功能来防备基于DHCP恳求的DoS攻击。监听DHCP报文,记录客户
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 生态农业科技园建设合同
- 展览馆周边围栏施工协议
- 林业开发打配机电井施工合同
- 水电开发河坝施工合同样本
- 建筑施工升降机工程合同格式
- 图书馆装卸人员招聘合同
- 土地平整项目施工组织设计方案投标文件(技术方案)
- 江苏大学《工程材料及其成型基础》2021-2022学年第一学期期末试卷
- 矿山设备续约租赁合同
- 江苏大学《材料科学基础C》2022-2023学年第一学期期末试卷
- 工程材料构配件设备报审表
- 《Monsters 怪兽》中英对照歌词
- 《正交分解法》导学案
- 华东地区SMT公司信息
- 平面构成作品欣赏
- 隧道弃渣及弃渣场处理方案
- 隔代教育PPT课件
- 签证用完整户口本英文翻译模板
- 金属盐类溶度积表
- 社会工作毕业论文(优秀范文8篇)
- 医学交流课件:抗肿瘤化疗药物所致的神经毒性诊治
评论
0/150
提交评论