浙江师范大学网络改造总结(博达交换机网络安全防御技术应用)
2024-06-12 01:54:33
浙江师范大学网络改造总结(博达交换机网络安全防御技术应用)
一. 改造前网络状况及需求... 4
二. 改造方案... 4
1. 网络拓扑... 4
2. 接入层网络改造(楼汇聚,层接入)... 6
三. 博达交换机网络安全防御技术介绍... 6
1. Port Security技术... 8
1.1 MAC/CAM***的原理和危害... 8
1.2 使用 Port Security feature 防范MAC/CAM***... 8
1.3 Port-Security配置命令... 9
1.4 使用其它技术防范MAC/CAM***... 10
1.5 Port-Security 功能应用配置... 10
2. DHCP Snooping技术... 11
2.1 采用DHCP管理的常见问题... 11
2.2 DHCP Snooping技术概况... 11
2.3 基本防范... 12
2.4 高级防范... 12
2.5、 DHCP Snooping功能应用配置... 13
3. Dynamic ARP Inspection技术... 13
3.1 ARP欺骗***原理... 13
3.2 防范方法... 14
3.3 DAI功能应用配置... 14
3.4 配置DAI后的效果... 14
4. IP Source Guard技术... 14
4.1 常见的欺骗***的种类和目的... 14
4.2 IP/MAC欺骗的防范... 15
4.3 IP Source Guard功能应用配置... 15
5. Filter过滤技术... 15
6. ACL访问列表控制技术... 17
7. Strom-Control技术... 17
8. QoS技术... 18
9. Logging and Warning技术... 18
10.总结... 19
11.浙师大实际配置... 19
四. 工程中的问题及解决情况... 24
1. Filter功能参数确认... 24
2. DHCP Snooping 功能的应用及问题的处理... 25
2.1 DHCP Snooping 功能的应用... 25
2.2实际应用情况... 27
2.3前后出现的问题及处理情况... 28
2.4 DHCP Snooping功能中的不足... 29
3. ARP表不稳定,MAC地址表不稳定... 30
4. ACL和QoS 不能同时使用... 31
5.内存泄漏... 31
6.华为接入层交换机下的用户无故断线... 31
7.Arp max-incomplete 100 命令重复... 31
五. 改造后网络状况... 32
一. 改造前网络状况及需求
浙江师范大学是一所以教育为主的省属的重点大学,学校现有16个学院47个专业,全日制本科在校生19530余人,研究生1400人。高峰时段同时网络在线人数高达6000人。
由于随着网络应用和网络业务需求的不断增长,随着网络技术的不断发展,原先的网络结构逐渐暴露出一系列严重问题,使得网络的整体性能、稳定性和安全性都不容乐观,急需优化改造。原先网络的主要问题如下:
1.原学校的3台cisco 4506会聚交换采用二层vlan透传的方式与华为MA 5200G互联。少量专线接入用户通过校内的cisco4506的DHCP服务获得地址(在cisco4506上配置网关,vlan终结在cisco4506上),这时三台cisco4506汇聚交换机的压力较轻,但是MA5200G的压力巨大,所有学生用户都是通过MA5200G的DHCP服务获取地址,网关指向MA5200G。一旦受到Arp,igmp,dhcp等***时,MA5200G的CPU使用率就非常高。平时MA5200G三块业务板的CPU经常高达90%以上,造成用户无法获取ip地址和经常断线的现象。
2.浙师大网络目前最严重的问题是接入层(楼汇聚,层接入)的ARP***严重导致用户不能正常上网,频繁断线。浙师大接入层的绝大多数交换机属于普通二层交换机,无法支持VLAN划分,广播风暴抑制等功能,这造成广播域过大,病毒***等问题很容易造成网络拥塞或中断,同时大量的病毒***已经造成了上层网络设备运行不稳定。
3.网络接入层交换机安全配置需要进行优化,包括VLAN细化,广播隔离。
二. 改造方案
我们博达公司主要负责接入层的改造,使用我们bdcom S3424和bdcom S3448替代原有楼汇聚设备。S3424和S3448具有完善的安全防御功能,通过filter,DHCP Snooping,port security,storm-contrl等功能,有效地过滤了ARP,IGMP,DHCP等***,控制了广播风暴等,提高了安全等级,可以有效减轻上层设备MA5200G上的压力,保护MA5200G不受到***,从而解决用户无法获取ip地址,经常断线,上层设备运行不稳定等问题。
1.网络拓扑
改造后实际网络拓扑
规划时功能描述网络拓扑
这和实际的网络拓扑略有不同。在实际实施中楼汇聚使用的是我们的S3424和S3448,层接入不是使用的我们的S2226和S2448,使用的是华为2403H或D-link或港湾的二层交换机。在S3424和S3448上应用各种安全防御技术。
2.接入层网络改造(楼汇聚,层接入)
由于浙师大接入层网络存在着学生下载流量大,网络中存在大量的病毒包,广播包和多播视频流,对网络造成极大的冲击和广播风暴,给网络安全可靠的运行带来风险和阻碍。
针对目前接入层网络中存在的问题,改变原二层VLAN透传方式,每幢学生公寓增加一台三层楼汇聚交换机(S3424或S3448),在此交换机上配置透传相应vlan,每个接口都为trunk模式(上联cisco 4506,下联层接入二层交换机),除了少量直接连接学生用户的接口为access模式。学生用户的数据走二层交换,ip地址从MA5200G上获得,网关指向MA5200G。VLAN2为管理VLAN。在新增的楼汇聚交换机上(S3424和S3448)配置必要的控制访问列表,广播风暴抑制,vlan透传,防御arp,dhcp,igmp***,开启DHCP-Snooping等策略,提高接入层网络及设备的稳定性,缩小因大量***造成接入层网络及设备出现故障的概率。
同时对大部分层接入的二层交换机进行更换(更换成华为2403H及D-link),并实现每个二层交换机端口一个VLAN的划分,此举可有效限制广播域范围,把ARP***和病毒扩散限制在中毒用户所在的VLAN内,从而控制病毒的扩散。在层接入交换机的每个端口上启用广播风暴抑制功能,减少广播包对上层网络设备的冲击。
进行接入层VLAN划分以后,华为MA5200G可以限制每个VLAN中ARP***的流量。但原先ARP***源较多(10%以上的用户感染病毒),即使实现每个交换机端口一个VLAN的划分,总的ARP***流量仍然会较大,导致MA5200G负担过重,影响用户正常上网。因此,我们和华为的技术人员经过了协商,确认MA5200G***报警机制,确定了更为合适的安全防御参数,使安全防御功能更为有效。同时,我们把那些在S3424和S3448上过滤掉的中毒用户的MAC地址信息上传到指定的日志服务器,便于技术人员对整个网络的维护。
接下来是结合浙师大的应用,对我们博达交换机网络安全防御技术进行详细介绍。
三. 博达交换机网络安全防御技术介绍
目前网络上存在的***和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些***的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插***,从而进行进一步窃取机密文件。***和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自***或者病毒及蠕虫的***和往往会偏离***和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
根据安全威胁的特征分析,来自于网络的***主要包括:MAC地址泛滥***、DHCP服务器欺骗***、ARP欺骗、IP/MAC地址欺骗、蠕虫病毒(冲击波、SQL蠕虫等)、组播广播冲击等。
浙江师范大学网络改造前,由于ARP欺骗、SQL蠕虫、冲击波震荡波等导致网络不安全、不稳定。改造后,采用博达S3000系列三层汇聚交换机和S2000系列二层智能增强型接入交换机。
博达交换机针对这类***提供了全面的解决方案,主要基于下面的几个关键的技术:
l Switchport Port Security Feature
l DHCP Snooping功能
l 动态ARP Inspection(DAI,Dynamic ARP Inspection)
l 源IP检测防护功能(IP Source Guard)
l 防ARP欺骗***、防DHCP欺骗***、防IGMP***(filter arp,filter dhcp,filter igmp)
l 访问列表控制技术〔MAC ACL、IP(TCP/UDP)ACL〕
l 组播、广播风暴抑制(Storm-control)
l QoS流量限速
l 日志报警
下面主要结合浙江师范大学网络实际应用情况来说明如何在博达交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”***、MAC/CAM ***、DHCP ***、ARP欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的交换机端口;防止IP地址冲突。同时对于大多数对二层、三层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
网络安全实施图:
下面对博大交换机各项网络安全防御技术进行说明
1.Port Security技术
1.1 MAC/CAM***的原理和危害
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。CAM 表的大小是固定的,不同的交换机的CAM 表大小不同。MAC/CAM ***是指利用工具产生欺骗 MAC,快速填满CAM 表,交换机CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时***者可以利用各种嗅探***获取网络信息。CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
1.2 使用 Port Security feature 防范MAC/CAM***
博达交换机Port Security feature 可以防止MAC和MAC/CAM***。通过配置Port Security可以控制:
• 端口上学习或通过哪些IP地址或MAC 地址
• 端口上学习的最大MAC地址数
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。
在所有直连PC、服务器的交换机上可以启用该功能。
1.3 Port-Security配置命令
博达交换机Port-Security特性采取两种操作,Bind(绑定,允许)和Block(阻塞,禁止)。
Switch_config_f0/1#switchport port-security ?
bind-- Config ip address binding with mac address on current port
block -- Block ip with mac address on current port
注意,这条命令是配置在端口上的,只对进入端口的数据包有效
(1)端口bind绑定功能
(源IP、源MAC、源IP-MAC、关于某个sender IP地址的ARP)
Switch_config_f0/1#switchport port-security bind ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
配置举例:
interface FastEthernet0/1
switchport port-security bind ip 192.168.1.100
switchport port-security bind mac 0000.e26d.8ca3
switchport port-security bind ip 192.168.1.101 mac 0000.e26d.8ca2
switchport port-security bind arp 192.168.1.1 mac 000a.ebbf.2b30
switchport port-security bind arp 192.168.1.2
!
在F0/1端口只有符合上述配置条件的源IP地址、源MAC地址,ARP(sender ip)或者源IP-源MAC、ARP(sender ip)-源MAC组合才能准入。其他不符合条件的数据包一律丢弃。
(2)端口block功能
可以block(即阻塞过滤)某个源IP地址,某个源MAC地址,关于某个IP地址的ARP Response报文,某个源IP地址和关于某个IP地址的ARP报文的组合。
Switch_config_f0/1#switchport port-security block ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
interface FastEthernet0/1
switchport port-security block arp 192.168.1.1
switchport port-security block ip 192.168.1.100 mac 0000.e26d.8ca3
!
在F0/1端口对符合上述配置条件的ARP(sender ip)报文、源ip地址、源MAC地址,或者源IP-源MAC、ARP(sender ip)-源MAC组合进行block过滤,其它报文都允许进入。
1.4 使用其它技术防范MAC/CAM***
除了 Port Security,采用DAI 技术也可以防范 MAC 地址泛滥***。
1.5 Port-Security 功能应用配置
汇聚交换机应用策略:
(1)上行Trust端口配置
switchport port-security bind arp 172.21.129.2 mac 00e0.0f32.1c59
//将PPPoE Server内网口的ARP(sender ip)-MAC地址组合绑定到上行口。上行口只能接受来自网关MA5200G的ARP报文。
(2)Untrust端口配置――直连PC或服务器和下联二层接入交换机
switchport port-security block arp 172.21.129.2
//禁止该端口接受sender ip为172.21.129.2这个IP地址(网关)的ARP报文,防止arp 欺骗,冒充网关
对于那些直连PC或服务器(静态IP地址)的端口,可以在端口上绑定PC或服务器的ip地址和mac
switchport port-security bind ip 172.21.129.100 mac 0000.e26d.8ca3
switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3
//将该口直连PC或服务器(静态IP地址)的IP-MAC地址组合、ARP-MAC地址组合绑定到该端口
2.DHCP Snooping技术
2.1 采用DHCP管理的常见问题
采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
• DHCP Server 的冒充。
• DHCP Server 的Dos ***。
• 有些用户随便指定地址,造成网络地址冲突。
由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常******是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是***利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种***是非常恶劣的。
对于 DHCP server 的 Dos ***可以利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。
2.2 DHCP Snooping技术概况
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示:
Switch_config#show ip dhcp-relay snooping binding
Hardware Address IP Address remainder time Type VLAN interface
00-e0-0f-32-1c-59172.21.129.2 infinite MANUAL 1 FastEthernet0/1
00-00-e2-6d-8c-a3 172.21.129.100 1185361564 DHCP_SN3 FastEthernet0/4
这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测DAI和IP Source Guard使用。
2.3 基本防范
首先定义交换机上的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些端口的非正常 DHCP 报文,如下图所示:
需要注意的是 DHCP 绑定表要存在本地存贮器或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,网卡不断电的话,不会再次发起 DHCP 请求,如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。所以为了解决这个问题,我们可以定时把DHCP Snooping binding信息上传到指定tftp服务器。
2.4 高级防范
通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的MAC地址是相同的,但是如果***者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ,实施 Dos ***, Port Security 就不起作用了, DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。
2.5、DHCP Snooping功能应用配置
汇聚交换机应用策略:
(1) 上行口设置为Trust,和有dhcp snoping功能的交换机直连的端口设置为Trust,和没有dhcp snoping功能的交换机如普通的二层交换机直连的端口设置为Untrust,直连PC或服务器的端口设置为Untrust。
交换机所有端口缺省配置Untrust
通过下面的命令配置为Trust模式:
dhcp snooping trust
(2) 全局配置模式开启DHCP Snooping功能,并在每个VLAN启用DHCP Snooping功能
ip dhcp snooping 全局开启DHCP Snooping功能
ip dhcp snooping vlan 1-100,200 定义哪些VLAN启用 DHCP Snooping
对于某些PC或服务器(untrust端口下的)设置静态IP地址的,需要在交换机上手工添加DHCP 绑定表
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
(3) 导出 DHCP 绑定表到 TFTP 服务器,定期备份
ip dhcp-relay snooping database-agent 172.21.129.100
ip dhcp-relay snooping db-file dhcp.txt
3.Dynamic ARP Inspection技术
3.1 ARP欺骗***原理
ARP用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。
由于ARP无任何身份真实校验机制,***主机通过***程序发送ARP欺骗报文告诉请求某个IP地址的主机一个错误的MAC地址,随后使得网络流量流向恶意***者的主机,因此***主机变成某个局域网段IP会话的中间人,造成窃取甚至篡改正常数据传输的后果。
3.2 防范方法
博达Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”***。
3.3 DAI功能应用配置
汇聚交换机和接入层交换机应用策略:
(1) 启用DAI功能的前提是已经启用了DHCP Snooping功能;
(2) 交换机可信端口配置arp inspection trust,其余端口缺省不可信(no arp inspection trust);
(3) 全局模式开启DAI功能:
ip arp inspection vlan 1-100,200 定义对哪些 VLAN 进行ARP报文检测
3.4 配置DAI后的效果
• 在配置DAI技术的接口上,用户端不能采用指定地址接入网络。如果用户端设置静态IP地址,则必须在端口下配置switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3。
• 由于DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人***,***工具失效。
• 用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。
4.IP Source Guard技术
4.1 常见的欺骗***的种类和目的
常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是***行为:如Ping Of Death、syn flood、ICMP unreacheable Storm。
4.2 IP/MAC欺骗的防范
IP Source Guard 技术通过下面机制可以防范 IP/MAC 欺骗:
• IP Source Guard 使用 DHCP sooping 绑定表信息。
• 配置在交换机端口上,并对该端口生效。
• 运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。
• IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使交换机支持Option 82信息。
通过在交换机上配置 IP Source Guard:
• 可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、***等造成的。
• 解决 IP地址冲突问题。
• 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中间人***”。
4.3 IP Source Guard功能应用配置
汇聚交换机和接入层交换机应用策略:
(1) 启用IP Source Guard功能的前提是已经启用了DHCP Snooping功能;
(2) 交换机可信端口配置ip-source trust,其余端口缺省不可信(no ip-source trust);
(3) 全局模式开启IP Source Guard功能:
ip verify source vlan 1-100,200 定义对哪些 VLAN 进行ARP报文检测
(4) 对于不使用 DHCP 获取IP地址的交换机端口配置:
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
5.Filter过滤技术
Filter过滤技术可以有效防止合法的IP或MAC地址发起的大流量ARP、DHCP、IGMP***。
网络中存在这样一种情况:某个IP地址或MAC地址在某台交换机某个端口是合法的,该PC由于某种原因向外发送大量的ARP请求/应答报文、IGMP组播报文或DHCP Discover报文,严重消耗网络交换机CPU资源,利用率可达99%乃至死机。
此时,利用Filter技术定义一个统计周期,限定一个阀值,在规定的统计周期内相关报文数量超过阀值后,交换机对相关MAC地址进行Block操作,Block时间可自定义。
全局模式:
filter period 10统计周期10秒
filter threshold arp /igmp /dhcp /ip 100统计arp /igmp /dhcp /ip包数量100个
filter block-time 300禁闭时间300秒
filter igmp启用对IGMP***的过滤
filter dhcp启用对DHCP***的过滤
filter ip启用对IP广播的过滤
filter enable在全局下启用过滤功能
!
端口模式:
interface FastEthernet0/1
filter arp
filter dhcp
filter ip
!
另外:ARP RESPONSE功能配置
arp free-response//启用免费发放arp response报文的功能
arp free-response interval 30//发放arp response报文的间隔
全局模式,设置限定最大未解析地址数
arp max-incomplete 100
应用:在汇聚层、接入层所有交换机均配置Filter功能,有效防止合法主机(合法的IP地址和MAC地址)发出的大量合法但不正常的ARP、IGMP、DHCP***报文。
6.ACL访问列表控制技术
博达交换机支持二层MAC ACL和三层IP ACL。
(1)二层MAC ACL(基于源MAC、目的MAC)
在全局模式下创建VLAN、MAC访问列表,设置允许或禁止某个(些)VLAN、MAC地址到某个(些)VLAN、MAC地址的访问,最后将该VLAN、MAC访问列表应用于端口模式下。
(2)三层IP ACL(基于源目的IP、源目的TCP/UDP端口、时间等)
三层基于IP地址以及应用的访问控制:对于不同网段的通信,通过三层转发,在三层采用ACL访问控制列表技术进行控制,不允许其他网段对业务网段的访问,可以通过配置ACL,禁止从其他网段到业务网段的TCP、UDP报文,控制基于四~七层端口号。对于OA网段,也可以做到单向访问,因为常用的如icmp、telnet、ftp、http、pop、smtp等应用都是采用1024以下的公开侦听端口的,而发送采用1024以上的端口号。
目前的交换机一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
应用:在汇聚层和接入层交换机上配置ACL,过滤具有TCP、UDP端口特征的病毒端口,如TCP 135、139、445端口,SQL Server TCP 1433或者UDP1434端口。
7.Strom-Control技术
风暴抑制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。
当风暴抑制开启了时,交换机监控所转发的报文是单播,组播还是广播。交换机周期性统计广播组播和单播的数目,每1秒钟一个周期,当某种类型流量到达了门限值,这种流量就会被丢弃。这个门限可以用组播、广播使用的总的可用带宽百分比或者报文的个数(pps)来指定。
应用:交换机所有直连PC或服务器的端口配置:
storm-control broadcast threshold 50限制广播包数量50个/秒,超过丢弃
storm-control multicast threshold 50限制组播包数量50个/秒,超过丢弃
8.QoS技术
博达交换机QoS支持ARP报文识别,通过定义MAC ACL,以及QoS调用MAC ACL对ARP报文进行流量限速(action bandwidth)。
应用:在汇聚层交换机上启用QoS流量限速,针对ARP总流量进行限制。
mac access-list arp
permit any any 2054 ARP报文类型
!
policy-maparp
classify mac access-group arp
action bandwidth 1 限制ARP报文数量1秒钟64Kbps
!
interface range FastEthernet0/1 - 24(所有下行端口应用)
qos policy arp ingress
9.Logging and Warning技术
博达交换机Filter过滤功能,对ARP、DHCP、IGMP***进行过滤,某个MAC地址被Block后会提示一条信息,可以通过日志功能将该信息上传到日志服务器。便于查看并准确定位网络中存在的问题。
应用:在所有交换机上开启Log功能。
logging 172.21.120.100
logging trap warnings/information
BDCOM_Switch_config#show filter
Filter threshold: 100 packets in any 60 seconds
Filters blocked:
CauseAddress seconds source interface
ARP0000.e26d.8ca3 22.47 FastEthernet0/3
10.总结
综上所述通过配置博达交换机的上述特征,不仅解决了一些典型***和病毒的防范问题,也为传统 IP地址管理提供了新的思路。
通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:
• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突
• 配置 DHCP server
• 使用静态指定 IP遇到的问题
• 不使用分配的 IP地址和服务器或其他地址冲突
• 不容易定位 IP地址和具体交换机端口对应表
使用静态地址的重要服务器和计算机,可以进行静态绑定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard绑定表项, 来保护这些设备,同时也防止来自这些设备的***。
使用DHCP Snooping 、DAI、IP Source Guard、Filter、Storm-control、QoS、Log技术能解决大部分网络上存在的***、欺骗行为,因为大多数对局域网危害较大的网络病毒都具有典型的特征:IP/MAC、ARP、DHCP欺骗和快速的发包扫描,大量的组播、广播报文等等。采用上述技术很大程度上可以自动切断病毒源,及时告警,并准确定位病毒源。
11.浙师大实际配置
!version 2.0.1K
service timestamps log date
service timestamps debug date
logging 10.1.2.201
!
hostname CY_B_Girl(M)
mirror session 1 destination interface f0/24
mirror session 1 source interface g0/1 both
!
!
!
arp max-incomplete 100
!
!
spanning-tree mode rstp//快速生成树模式
!
!
!
!
ip access-list standard IP-ACCESS
permit 10.104.4.0 255.255.252.0
!
ip access-list extended virus//控制访问列表
denytcp any any eq 113
denytcp any any eq 134
denytcp any any eq 135
denytcp any any eq 136
denytcp any any eq 137
denytcp any any eq 138
denytcp any any eq 139
denytcp any any eq 445
denyudp any any eq 134
denyudp any any eq 135
denyudp any any eq 136
denyudp any any eq 137
denyudp any any eq 138
denyudp any any eq 139
denytcp any any eq 420
denyudp any any eq 445
denytcp any any eq 593
denyudp any any eq 593
denytcp any any eq 1068
denytcp any any eq 1080
denyudp any any eq 1434
denytcp any any eq 1999
denytcp any any eq 2745
denytcp any any eq 3128
denytcp any any eq 3198
denytcp any any eq 3333
denytcp any any eq 4331
denyudp any any eq 4334
denytcp any any eq 4444
denyudp any any eq 4444
denytcp any any eq 5554
denytcp any any eq 5632
denyudp any any eq 5632
denytcp any any eq 5800
denyudp any any eq 5800
denyudp any any eq 5900
denytcp any any eq 5900
denytcp any any eq 6667
denyudp any any eq 7626
denytcp any any eq 9604
denytcp any any eq 9995
denytcp any any eq 9996
denytcp any any eq 10080
denytcp any any eq 31270
denytcp any any eq 39213
denyudp any any eq 39213
permit ip any any
!
!
!
aaa authentication login default local
aaa authentication enable default enable
!
username jhdx password 7 093b2243480f131f6a18
enable password 7 093B2243480F131F6A18 level 15
!
interface FastEthernet0/1//连接二层接入交换机,为Untrust端口
description Link To D-LINK_Harbour1024Q_1_E0/1
filter arp//过滤arp功能
filter dhcp//过滤dhcp功能
switchport mode trunk
switchport trunk vlan-allowed 1-2,847-869//透传相应vlan
speed 100
duplex full
storm-control broadcast threshold 1200//广播,组播风暴控制
storm-control multicast threshold 1200
ip access-group virus//控制访问列表
switchport protected//端口隔离
switchport port-security block arp 10.104.4.1//禁止sender ip为10.104.4.1(网关)的
!ARP报文进入,防止冒充网关
interface FastEthernet0/2
description Link To D-LINK_Harbour1024Q_2_E0/1
filter arp
filter dhcp
switchport mode trunk
switchport trunk vlan-allowed 1-2,870-892
speed 100
duplex full
storm-control broadcast threshold 1200
storm-control multicast threshold 1200
ip access-group virus
switchport protected
switchport port-security block arp 10.104.4.1
!
!
interface FastEthernet0/23//直接连接用户PC,为Untrust端口
filter arp//arp过滤功能
filter dhcp//dhcp过滤功能
switchport pvid 845//划分VLAN
storm-control broadcast threshold 50//广播,组播风暴控制
storm-control multicast threshold 50
ip access-group virus//控制访问列表
switchport protected//端口隔离
switchport port-security block arp 10.104.4.1//禁止sender ip为10.104.4.1(网关)的
!ARP报文进入,防止冒充网关
interface FastEthernet0/24
filter arp
filter dhcp
switchport pvid 846
storm-control broadcast threshold 50
storm-control multicast threshold 50
ip access-group virus
switchport protected
switchport port-security block arp 10.104.4.1
!
interface GigaEthernet0/1//上联端口,为trust端口
description Link To C4506_4_GI2/2
switchport mode trunk
switchport trunk vlan-allowed 1-2,842-1001,1007-1641,3584-3629//透传相应VLAN
dhcp snooping trust//设置为trust端口
arp inspection trust
ip-source trust
speed 1000
duplex full
!
interface GigaEthernet0/2//下联汇聚交换机3424(有DHCP Snooping 功能),为trust
description Link To CY_B_Girl(S)_BDCOM_S3424_GI0/1端口
switchport mode trunk
switchport trunk vlan-allowed 1-2,1288-1641,3607-3629 //透传相应VLAN
dhcp snooping trust//设置为trust端口
arp inspection trust
ip-source trust
speed 1000
duplex full
ip access-group virus//控制访问列表
!
interface VLAN1
description Management_Vlan
ip address 1.1.1.1 255.255.255.0
no ip directed-broadcast
!
interface VLAN2//管理VLAN
description Management_Vlan
ip address 10.3.3.39 255.255.255.0
no ip directed-broadcast
!
filter period 5//统计时间间隔5秒
filter block-time 7200//blcok时间7200秒
filter threshold arp 25//统计arp包个数25个
filter threshold dhcp 25//统计dhcp包个数25个
filter threshold igmp 50//统计igmp包个数50个
filter igmp//igmp过滤功能
filter dhcp//dhcp过滤功能
filter enable//全局开启过滤功能
!
vlan 1-2,842-1001,1007-1641,3584-3629
!
!
!
ip dhcp-relay snooping//全局开启dhcp snooping功能
ip dhcp-relay snooping vlan 842-1001,1007-1287,3584-3606 //添加需要检测的VLAN
ip arp inspection vlan 842-1001,1007-1287,3584-3606//全局模式开启DAI功能
ip verify source vlan 842-1001,1007-1287,3584-3606 //全局模式开启IP Source Guard
database-agent 10.1.2.201//dhcp snooping binding信息上传到10.1.2.201 tftp服务器
ip dhcp-relay snooping db-file CY_B_Girl(M)//上传文件名为CY_B_Girl(M)
ip dhcp-relay snooping write-time 60//上传时间间隔为60分钟
!
!
ip route default 10.3.3.1
!
!
!
tftp-server
!
四. 工程中的问题及解决情况
1.Filter功能参数确认
为了配合上层设备MA5200G的报警机制,需要对我们BD S3424/S3448上filter功能的参数进行更为合适的设置。首先需要了解filter功能的处理机制。
经过自己的测试并和研发交流,确认了filter功能的处理机制:
(1)Filter 功能中统计的报文是经过交换机CPU处理的报文,如广播报文,DHCP报文或发向交换机CPU 的报文,对单波报文不加统计。所以filter功能只能过滤经交换机CPU处理的报文。
(2)filter period 5 filter threshold arp 25 filter block-time 7200指的是在统计周期5秒内,一旦统计到ARP广播包或发向交换机CPU的ARP包超过25个,就block相对应的mac地址7200秒。这里有两点要注意:一是在统计周期内,统计的包个数一超过25个,就block对应mac地址,不必等到周期结束。如,在第二秒统计的包个数已经超过25个,就立即block对应mac。如果在统计周期内,统计的包个数没有到达上限,周期结束后统计清0。二是统计包个数和block都是对应于mac地址的,通过show filter我们就能看出
BDCOM_Switch_config#show filter
Filter threshold: 100 packets in any 60 seconds
Filters blocked:
CauseAddress seconds source interface
ARP0000.e26d.8ca3 22.47 FastEthernet0/3
(3)只要在交换机上配置日志上传功能(warning,information),只要当有mac地址被block了,就会上传到指定日志服务器,便于管理
(4)要在交换机上应用filter功能,必须在全局模式下开启filter功能(filter enable)。Filter arp必须在接口下配置,filter dhcp必须在接口和全局下都配置,filter igmp只需在全局下配置
l 华为MA5200G报警机制相关参数
经过接入层网络改造的学生公寓分别接入在两台C4506汇聚交换机下,实现了每端口每VLAN的划分,每VLAN下最少有一个用户,最多有5-8个用户。华为MA5200G在相关的业务单板上的Host-Car值配置为8K(每VLAN),这是目前华为可配置的最小参数,这样每VLAN的ARP等上报CPU处理的报文最多为12个/s,MA5200G在每VLAN出现每秒12个***报文时,并持续5秒种相同或更大频率的***,设备将会产生一条告警。每块业务单板在正常开展业务的情况下(CPU控制在50%)可以处理上报CPU处理报文为1Mb/s(每秒1560个报文)。
参数计算过程:arp报文为64字节,20字节为数据包间隙
8×1024/(8×(64+20))=12
1×1024×1024/(8×(64+20))=1560
l 确定博达汇聚交换机(S3424/S3448)相关参数
博达汇聚交换机(S3424/S3448)部署在每幢学生公寓的接入层网络出口处,在交换机上实现了防ARP欺骗和***配置,设置为如果在5秒种内检测到50个ARP报文(针对单个MAC),就将此用户(MAC)关闭2个小时,当在一个统计周期内(目前为5秒钟),一旦有用户***超过以上设置的最大值,不用等到一个统计周期结束交换机会立即关闭此MAC地址。以上参数可以根据网络现状进行调整,统计周期为1-60秒,统计包数量范围为5-2000个,因局域网环境下必须依靠ARP进行通信,所以不能完全关闭或过少地限制ARP报文,我们建议设置为5秒50个ARP报文,以满足华为MA5200G正常开展业务,使其单板CPU控制在50%之内。
经过一个月在实际环境下的测试,最后调整了相应参数:统计周期为5秒,统计arp包数为25个,block时间为2小时。实际配置如下
filter period 5
filter block-time 7200
filter threshold arp 25
filter threshold dhcp 25
filter threshold igmp 50
filter igmp
filter dhcp
filter enable
2.DHCP Snooping 功能的应用及问题的处理
2.1 DHCP Snooping 功能的应用
(1)要应用DHCP-Snooping功能,必须在全局下开启DHCP Snooping功能(ip dhcp-relay snooping),全局下配置需要检测的VLAN (ip dhcp-relay snooping vlan),给端口配置为trust(dhcp snooping trust),默认为untrust端口。这样对于这些需要检测的VLAN中的主机(untrust 端口下的),交换机通过DHCP offer ,DHCP ack报文建立起dhcp snooping binding 信息,绑定信息如下:
Switch_config#show ip dhcp-relay snooping binding
Hardware Address IP Address remainder time Type VLAN interface
00-00-e2-6d-8c-a3 172.21.129.100 1185361564 DHCP_SN3 FastEthernet0/4
对应mac地址,ip地址,租赁时间,VLAN,端口
注意,对于trust端口不会进行检测,其绑定信息也不会建立,通过show ip dhcp-relay snooping binding观察,不会有trust端口下的绑定信息。(其实trust端口下主机的绑定信息同样会建立在硬件中,可以通过show ip dhcp-relay snooping binding all命令查看。而show ip dhcp-relay snooping binding是查看CPU中的绑定信息)。其中有一项为remainder time 为租赁时间,等到此项变为0时,此绑定条目便会消失。
启动了DHCP Snooping功能后,对于这些需要检测的VLAN,如果在untrust端口收到的DHCP Response报文时,会把其丢弃。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
通过show ip dhcp-relay snooping binding,可看到 TYPE 为“手工”。
Hardware Address IP Address remainder time Type VLAN interface
00-e0-0f-32-1c-59172.21.129.2 infinite MANUAL 1 FastEthernet0/1
(2)应用DAI技术,可以根据Snooping bnding信息检测ARP报文。在启用DAI功能的前提是已经启用了DHCP Snooping功能。在全局模式下开启DAI功能,添加需要检测ARP报文的VLAN(ip arp inspection vlan 1-100,200),给端口配置为trust(arp inspection trust),默认为untrust端口。这样,对于在untrust端口,接收到的需要检测VLAN的ARP报文进行检测。
注意,启用DHCP Snooping功能是启动DAI功能的前提,因为其检测依据是DHCP Snooping binding表信息。在untrust端口,符合binding信息的ARP报文允许进入,否则丢弃。对trust端口收到的arp 报文不进行检测。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
(3)应用IP Source Guard技术,可以根据Snooping bnding表信息检测IP报文。在启用IP Source Guard功能的前提是已经启用了DHCP Snooping功能。在全局模式下开启IP Source Guard功能,添加需要检测IP报文的VLAN(ip verify source vlan 1-100,200),给端口配置为trust(ip-source trust),默认为untrust端口。这样,对于在untrust端口,接收到的需要检测VLAN的IP报文进行检测。
注意,启用DHCP Snooping功能是启动IP Source Guard功能的前提,因为其检测依据是DHCP Snooping binding表信息。在untrust端口,符合binding信息的IP报文允许进入,否则丢弃。对trust端口收到的IP报文不进行检测。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
(4)开启了DHCP Snooping,DAI,IP Source Guard功能就可以根据snooping绑定表信息,检测untrust端口收到的arp,IP报文。
如果已经在交换机上建立绑定信息的用户(通过DHCP获取地址)想要换个端口使用,必须先释放地址(ipconfig -release),清除绑定信息,然后再换端口获取地址,重新建立绑定信息。
2.2实际应用情况
在这张拓扑中我们可以看到交换机上开启了DHCP Snooping,DAI,IP Source Guard功能,路由器开启DHCP服务。
l PC1和PC2在untrust端口下,通过自动获取IP地址建立绑定信息,上网。如果想换端口必须先要释放地址。换到trust端口也必须先释放地址。否则在交换机上debug会显示 此mac已经被另一个端口绑定。
l PC3在trust端口下,可以用静态IP上网,不会进行检测。同样PC3也可以用自动获取IP地址上网,这时其绑定信息会建立在硬件中,可以通过show ip dhcp-relay snooping binding all查看,但是这条绑定条目不会起作用,因为trust端口不进行检测,可以使用静态IP。但有一点要注意,如果PC3想更换到其它trust或untrust端口下自动获取IP上网,那也必须先释放地址,否则同样会在交换机上debug显示 此mac已经被另一个端口绑定。
l 服务器接在untrust端口下,使用的是静态IP地址。需要在交换机上手工绑定,如:
l ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
2.3前后出现的问题及处理情况
(1)公司测试部测试正常,能够通过DHCP报文建立起绑定信息。但在浙师大实际环境下应用不正常,能够获得IP地址,但绑定条目建立不起来。
浙师大的DHCP服务是在华为的MA5200G上开启的,后确认华为的DHCP报文和我们的DHCP报文有所区别,存在兼容性问题,所以建立不起来,需要对应华为的DHCP报文更改版本。
版本更改后解决。
(2)DHCP Snooping绑定条目建立不正常,remainder time 为-1,绑定条目建立后随即消失。
后确认由于DHCP snooping功能对租赁时间识别的长度和实际租赁时间的长度不匹配导致的。
版本更改后解决。
(3)DHCP-SNOOPING 绑定条目上传TFTP出现问题。
版本更改后解决。
(4)经测试,DHCP-SNOOPING 绑定条目在remainder time 变为0时不会清楚。
版本更改后解决。
2.4 DHCP Snooping功能中的不足
(1)我们交换机是把DHCP Snooping绑定信息上传到指定tftp服务器,交换机重启后自动从tftp服务器上读取绑定信息,这相对来说比较麻烦。
我参考过Cisco的关于DHCP Snooping的资料,其是通过写到FLASH中来实现的,比较方便。
我和研发人员交流过相关细节,研发人员指出由于硬件原因难以实现类似功能。
(2)我们交换机在添加DHCP手工绑定时有一个很大的缺陷:
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
其中我们可以注意到没有关于VLAN的选项,然而在DHCP Snooping绑定信息
中分别是mac,ip,remainder time,Vlan和接口。
这在实际应用中造成很大的问题,比如在浙师大的情况,S3424下联华为的二层交换机,在二层交换机上划分许多VLAN。S3424下联二层交换机的端口为trunk模式,并为untrust端口。
如果按照上述命令手工绑定的话,因为下联端口为trunk模式,我们可以通过查看DHCP Snooping 表发现:
Hardware Address IP Addressremainder time Type VLAN interface
00-e0-0f-32-1c-59172.21.129.2 infinite MANUAL 1 FastEthernet0/1
其中VLAN这项为1,然而实际中此MAC对应的VLAN并不一定是1,造成手工绑定的用户仍不能够上网。
Cisco 的手工DHCP绑定是这样的:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
其中有VLAN这一项,可以解决上述问题。
3.ARP表不稳定,MAC地址表不稳定
在浙师大实际环境中发现S3424和S3448上ARP地址表不稳定,mac地址表不稳定。通过和研发和测试人员沟通,可能是由于不断地收到生成树拓扑改变报文而导致的。
经观察发现S3424上不断地收到来自上联Cisco 4506的生成树拓扑变化报文(如,Aug 27 11:39:28 STP(TC):RSTP(G0/1) Topo-Change notified by TC flag),我们尝试在S3424上关闭生成树,的确解决了ARP表不稳定的问题。
我们通过在交换机上获取相关信息和查阅相关资料,找到了原因:
在这个网络拓扑中,是要以Cisco4506为根网桥的,Cisco下连了10台左右的S3424。通过观察发现Cisco4506的生成树优先级为32769,BDS3424的生成树优先级为32768,
由于低于Cisco的优先级,所以导致不断产生生成树拓扑变化。
根桥 = 根桥拥有最低的Bridge ID Bridge ID = 桥的优先值 + 桥 MAC address
Cisco默认的生成树协议为PVST,对于每个VLAN 都需要有唯一的8byte的桥ID(2byte表示优先级,6byte表示交换机CPU的mac)
PVST的桥优先级(2byte)是这样的
交换机优先级字段变成4bit。另外12bit来表示vlan ID。相加形成唯一的桥ID。
4bit 的交换机优先级+12 bit 扩展系统ID, 12bit 扩展系统ID等于VLAN ID
所以在cisco4506上观察到的优先级为32768+1(VLAN1)=32769
在BD S3424上使用的是RSTP,默认优先级为32768。
在华为2403H上使用的是RSTP,默认优先级为32768。
通过和Cisco的技术人员交流,修改了Cisco4506上生成树的优先级为28672,保证其为根桥。S3424和S3448上的arp表稳定。
问题解决。
4.ACL和QoS 不能同时使用
和研发人员确认过,某些QoS不能和ACL同时使用,因为它们使用的硬件表项有些是相同的,硬件原因,无法解决。
5.内存泄漏
在观察交换机信息时发现某些S3424和S3448有内存泄漏现象,但内存使用不多,没有造成死机。通过发送相关信息给研发,定位是有些不知名的tcp连接的挂起,没有释放。情况还在跟踪,没有解决。
6.华为接入层交换机下的用户无故断线
用户获取地址后,正常上网。随机会出现无故断线,一般过1分钟左右又恢复正常。但是在断线时并不是整个S3424下的所有用户全都断线,也不是S3424下某一台华为2403H下的所有用户全都断线。断线情况只是分别出现在一些用户身上,并不是同时。
通过在S3424和S3448下联华为2403H端口,和华为2403H上联端口抓取报文信息,提交给研发及相关人员,并与之交流,发现在用户无故断线时,S3448上收到来自华为交换机的生成树拓扑变化报文,报文内容显示华为交换机认为自己是根桥,导致某些端口状态变化。所以会有一分钟左右的断线。
和电信人员交流,电信相关人员为了快速解决问题,关闭了二层交换机的生成树协议。
现在网络稳定,问题解决。
7.Arp max-incomplete 100 命令重复
配置了Arp max-incomplete 100 命令后,show run发现此条命令出现两条。
和研发人员确认,此情况对全局下配置IP类型命令有影响,IP类型命令得不到保存。
版本更改后解决。
五. 改造后网络状况
经过一个月的测试,观察和使用,浙师大网络趋于稳定。在晚间并发连接数已经高达5800,接近于历史最高6000。
在网络改造之前,华为MA5200G经常会受到***,每块业务板的CPU使用率常常高达95%以上。经过网络优化改造,BD S3424和BD S3448的网络安全防御技术过滤了绝大多数的***,有效地保护了上层核心设备。现在高峰时间MA5200G的每块业务板的CPU使用率都只有5%,效果明显。
金华电信相关技术人员有详细的统计资料,很好地证明了这一结果。
转载于:https://blog.51cto.com/isjin/401542
浙江师范大学网络改造总结(博达交换机网络安全防御技术应用)相关推荐
- 看世界杯学网络安全—防御技术、和红蓝对抗 大总结
目录 8.1. 团队建设 8.1.1. 人员分工 8.2. 红蓝对抗 8.2.1. 概念 8.2.2. 网络攻防演习 8.2.3. 侧重 8.2.4. 目标 8.2.5. 前期准备 8.2.6. 行动 ...
- 浙江师范大学计算机科学与技术,计算机科学与技术专业答辩公告-浙江师范大学研究生院.doc...
计算机科学与技术专业答辩公告-浙江师范大学研究生院 数理与信息工程学院计算机科学与技术专业研究生答辩安排(一) 答辩时间:5月22日(周日)上午8:00开始 答辩地点:数理与信息工程学院21幢3楼第三 ...
- 盘点 | 2020年网络新技术及人工智能在网络安全领域的特点
回顾2020年,网络新技术新应用继续在网络安全领域大施拳脚,其中人工智能.区块链.量子信息技术对网络安全的两面性影响随着技术的发展呈现出新的特点:第五代移动通信技术(5G).物联网.边缘计算与雾计算等 ...
- 笔记-信息系统安全管理-网络安全防御
考点还是防火墙和ids. 1. 防火墙 防火墙是一种较早使用.实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁.在网络安全中,防火墙主 ...
- BENET上海分公司网络改造项目设计实施方案(S1项目实践)
BENET上海分公司网络改造项目设计实施方案 目录 目录- - 1 - 一.企业用户需求分析- - 2 - 1.1.项目概述-- - 2 - 1.2.系统需求概括-- - 3 - 1.3.项目建设的要 ...
- Linux网络知识详解以及demo(Centos6、7)——OSI、TCP、UDP、IP、子网掩码/划分、网关、路由、广播、虚拟网络、网卡、交换机、DNS、ARP
ip地址:网络通讯标识信息 子网掩码:在局域网中可以有多少个主机 网关:从一个局域网到另一个局域网的必经之路 网络号:主机位全为0 广播地址:主机位全为1 子网掩码:网络位全为1,主机位全为0 虚拟软 ...
- CDA数据分析浙江师范大学 第二期“正阳旅游大数据创新创业班”项目报告会顺利开启
2018年9月7日晚,CDA数据分析师&浙江师范大学第二期"正阳旅游大数据创新创业班"项目报告会暨结业典礼隆重举行.经管之家CDA数据分析研究院资深讲师零一.经管之家CDA ...
- 计算机引论模拟试卷,华东师范大学网络学院模拟试卷1.doc
华东师范大学网络学院模拟试卷1 华东师范大学网络学院模拟试卷1 课程名称:_ 计算机引论 ___ 模拟考试时间 120分钟 第一题 判断题 (10分,每题1分) 二进制字节是计算机中信息存储和管理的基 ...
- CDA数据分析浙江师范大学 第二期“正阳旅游大数据创新创业班”项目报告会暨结业典礼顺利开启...
2018年9月7日晚,CDA数据分析师&浙江师范大学第二期"正阳旅游大数据创新创业班"项目报告会暨结业典礼隆重举行.经管之家CDA数据分析研究院资深讲师零一.经管之家CDA ...
最新文章
- python 寻找数组的中心索引_Leetcode724:寻找数组的中心索引(java、python3)
- muduo之LogFile
- SQLite 使用(创、升、增、删、改、查)
- 正式发布!中国首个LF Edge捐赠项目Baetyl 2.2发布
- POJ - 3261 Milk Patterns(二分+后缀数组)
- shell开启飞行模式_原来手机飞行模式有这么多用处!99%的深圳人都不知道...
- 计算并联电阻的阻值(信息学奥赛一本通-T1015)
- c语言几千行代码图片,【图片】发几个C语言课程设计源代码(恭喜自己当上技术小吧主)【东华理工大学吧】_百度贴吧...
- Ubuntu配置教程
- 深入浅出BP神经网络(反向传播算法)
- C#中IL反汇编工具的使用 其具体含义如下文
- mysql中文显示问号_从MySQL读取中文数据,显示???(问号)乱码的解决方法...
- 计算机五笔是什么时候学的吗,电脑五笔打字入门口诀(5分钟就能学会五笔)...
- 计算机系统应用 莫军,Configuration tool for ARINC 653 operating systems
- shell脚本复制文件
- Python的5大就业方向,学会一个都是赚
- python热力图参数_python3.5数据处理——百度地图热力图传值
- python对象数组排序_如何在JavaScript中对对象数组进行排序
- 锐龙r5 6600g处理器怎么样 r7 6700g核显相当于什么显卡
- EXCEL表格-矩阵法快速判断异常数据