一、平台搭建
◆要求
1.掌握IP地址划分。
2.掌握静态路由(包括交换机,PC等设备)。
二、网络安全设备配置与防护
◆要求
1.对每个设备的配置必须熟悉掌握。
2.以上设备除DCRS通过CRT进入,其他都是通过web界面进入。
掌握如何从web界面进入设备.
◆主要学习内容
◎DCFW(web登录)
2.DDos防护
Land攻击:
攻击者将一个数据包的源地址和目的地址都设置成被攻击服务
器地址。被攻击服务器向它自己的地址发送消息。产生空连接,
保留到超时,导致系统崩溃。
Smurf攻击:
简单:将ICMP应答请求包的目的地址改成被攻击网络的广播地
址。导致所有主机作出答复,最终导致堵塞。
高级:攻击目标主机。将ICMP的应答请求包的源地址改成被攻
击主机的地址。
Fraggle攻击:
与Smurf攻击类似。Smurf使用的是ICMP,Fraggle使用的是UDP。
WinNuke攻击:
通过TCP/IP传递一个紧急数据包到计算机的139、
138、137、113、53端口。
SYN Flood攻击:
通过TCP/IP传递一个SYN报文,源地址设为伪造的或者不存在的。
服务器收到后,回复SYN-ACK,但不会收到ACK回复,导致半连接,
需等到超时,将资源耗尽。
ICMP Flood 和 UDP Flood攻击:
发送大量的ICMP消息和UDP报文,请求回应,导致系统崩溃。
地址扫描和端口扫描攻击:
通过扫描发现漏洞。
Ping of Death 攻击:
利用一些尺寸超大的ICMP报文时对系统进行的一种攻击。
Teardrop攻击:
向被攻击者发送的多个分片的IP包,某些操作系统收到含有重叠偏
移的伪造分片数据包时会出现系统崩溃,重启等现象。
3.接口的安全域配置
安全域:一般使用trust 或者 untrust。在内网接口配置为trust,外网接
口untrust。
4.新增用户
5.时间表
6.web认证
是一种访问管理方式,对通过设备访问网络的用户进行身份认证(用户名和
密码),只有通过认证的用户才能访问相关网络资源。
源NAT:将经过设备的IP数据包的源地址和/或端口进行转换。通常用于私
有网络访问外部网络。
目的NAT:将经过设备的IP数据包的目的IP地址和/或端口进行转换。通
常用于外部网络访问私有网络。
8.策略
设备的基本功能,控制安全域间/不同地址段间的流量转发。默认情况下,
设备拒绝所有流量通过设备,因此,用户必须根据自身网络拓扑的配置相关
的策略规则,保证设备对流量的正确控制。
9.ARP防护
提供一系列功能实现ARP防护,包括IP-MAC-Port绑定、ARP强制认证、ARP
学习、MAC学习、DHCP监控、ARP检查以及主机防御等。根据不同的网络环
境以及需求,用户可以选择配置适当的防护功能以及达到最佳防护效果。
10.会话限制
根据IP地址限制会话数或者建立会话速率,用以防止Dos攻击,并在一定
程度上限制某些应用带宽。
基于SSL的远程登录解决方案,通过简单易用的方法解决远程用户访问私
网的问题,主要适用于移动用户远程接入公司网络。
13.URL过滤
可以对用户访问某特定类别的网站以及含有某特定关键字类别的网站进行
控制,包括阻止访问和记录日志。
14.邮件过滤
主要用于当用户通过SMTP或者web邮箱(包括Gmail加密邮箱)发送邮件
时,根据邮件的发件人、收件人、内容、附件名称和大小对邮件进行控制,
◎DCBI(web登录)
1. 设备的部署方式
串行连接:
路由模式:可以实现对所有数据的审计、控制和拦截。适用对网络拓
扑的更改不敏感的使用。
网桥模式:实现对内网数据监控、控制和管理。适用不希望更改网络
拓扑结构、路由配置、IP配置的用户使用。
旁路连接:
与交换机的镜像端口连接,通过抓包的方式,实现对网络数据的审计。
即使设备出现故障,也不影响整个网络的运行。
2. 权限管理
角色管理:设置可以管理的用户范围,管理员只可查看和管理赋予其角色
下的用户组和用户。
权限分配:设置对系统操作权限的分配,分为六种权限:浏览权限、添加
权限、修改权限、删除权限、使能权限、执行权限。
管理员:可以添加管理员。
3. 策略管理
Qos策略:
用于配置系统贷款流量的控制功能。
应用管理
时间策略:
可以建立时间段,通过该功能进行用户上网时间段策略的配置。
★报警策略:
报警邮箱是系统发送报警日志的目的邮箱,通过设置报警邮箱和应用/
内容规则中的邮箱报警动作,可以使管理员在不登录系统的情况下,即
使了解系统的报警信息。
在日志发送中可以配置接收报警日志的SNMP管理端IP地址、端口、SNMP
共同体。
4. 内容管理
◎WAF(web登录)
1.服务
服务管理:
要实现对服务的保护,首先需要将服务加入服务管理列表
2.策略★
策略管理:
策略管理用于新建、删除策略,并集成了策略中每个子模块的状态显示。
策略模块:
策略模板,用于定义新添加策略中各模块默认的“开启”和“关闭”
状态。
黑白名单:
黑名单的优先级高于白名单。
如果请求中对应检测中数据与黑名单中规则匹配,则禁止该请求。
如果请求中对应检测中数据与白名单中规则匹配,则允许该请求。
协议规范检测:
用于限制http请求头和请求体中各组成元素的长度或个数,实现有效
阻断缓冲溢出等攻击。
如果请求中有超过限制的数据,则按照防护动作生效
输入参数验证:
功 能:参数验证和上传文件格式检查。
参数验证:用于对http请求中携带的参数进行验证,如果请求中携数的参
数与定义的规则匹配,防护动作生效。
上传文件格式检测:检测向网站上传的文件是否为伪造,若为伪造,则禁止
其上传。
访问控制:
用于控制网站中的特定路径或文件的访问。
基本攻击防护:
内置强大的默认防护规则,用于防护常见的web攻击,也支持用户自
定义规则,可对http请求灵活的限制。
HTTP cc防护:
提供了另一种基于Session、Cookie的防止暴力浏览的防护方式,用
于在计数周期内限制某一Session中或者带有某一Cookie的请求数。
<Session数据存在服务器上,Cookie数据存在客户的浏览器上>
会话跟踪防护:
针对基于Cookie实现的Session机制,能有效防止Cookie的盗用。
网站隐身:
自动隐藏服务器返回的错误响应中服务器的名称,版本等重要信息。
站点转换:
用于重写、删除请求报头和应答报头,重写URL。
数据窃取防护:
选择隐藏,返回给客户端的数据如果与设置的保护数据匹配,将匹配
的数据用XXXX字符进行隐藏。
实时关键字过滤:
有请求关键字过滤和应答关键字过滤。
错误码过滤:
屏蔽服务器返回的错误提示页面,并使用自定义的返回页面。
3. 配置
网络配置:
配置各个网口的IP地址、子网掩码、静态路由和策略路由。
短信发送配置:
通过配置短信发送设备,系统可以提供短信告警功能。
邮件发送配置:
通过设置发件人邮件地址、SMTP的服务器信息以及登录信息,可实现
邮件服务器的配置。
HA配置:
高可靠性配置,能够在通信线路或设备产生故障时提供备用方案,从而
保证数据通信的畅通,有效增强网络的可靠性。
告警配置 :★
当受保护服务受到攻击时,设备状态达到警戒线或者被保护的主机出现
异常时,采用某种方式向管理人员 报告,目前支持邮件告警和短信告警。
web攻击告警、DDoS攻击告警、网页篡改告警、设备状态告警、服务状态告警、漏洞扫描告警、关键字过滤告警
日志配置: ★
包括:基本配置、日志导出、日志清空、日志服务器
配置日志服务器的信息,通过syslog协议,经由网络导出系统中指定
的日志。
4.检测
漏洞扫描管理:
基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系
统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。
◎DCRS(通过console口进入)
Web浏览器将HTTP和SSL相结合,从而实现通信。使服务器/客户之间的
通信不被窃听,并对服务器进行认证,还可以对客户进行认证。
启动SSL功能,用户在客户端通过https访问交换机时,交换机就会和客户
端进行SSL握手连接,形成安全的SSL连接通信,在此之后应用层协议所传
送的数据都会被加密。
Client-server模式
Client在子网内广播DHCPDISCOVER包。
Server收到后,发送带有IP地址和其他网络参数的DHCPOFFER包。
Client收到offer后进行选择,广播带有它要选择的DHCP服务器的信息的request。
被选中的server,向client发送ACK包,client得到IP地址和其他网络配置参数。
当server和client不在同一网段时,使用DHCP中继代理。
Option 82选项:
包含客户端的接入物理端口和接入设备标识等信息。
Server根据option82分配IP地址和其他配置信息给客户端。
中继收到后,剥离option82并根据选项中的物理端口信息,把应答报文转到
网络接入设备的指定端口。
检测DHCP Clinet通过DHCP协议获取IP的过程。
配置信任端口和非信任端口。
信任端口:
一般连接服务器的一端配置为信任端口,交换机转发报文不需要任何
认证。
非信任端口:
一般连接客户端的一端配置为非信任端口,交换机转发这个端口的请
求报文,不转发回应报文。
如果交换机在非信任端口收到了回应报文,不仅发出告警,还可以执行相
应的动作,比如shutdown,blackhole。
如果开启DHCP Snooping绑定功能,交换机将会保存非信任端口下的
client信息:MAC地址,IP地址,租期,vlan号和端口号。(存放在DHCP
Snooping的绑定表中)
防DHCP过载攻击:
要对信任端口和非信任端口做DHCP收包限速,防止过多的DHCP报文
攻击CPU。
###防止DHCP地址池耗尽攻击。
防DHCP假冒攻击:
一旦交换机截获了从非信任端口收到的DHCP Server回应包,将发出
警告,并相应的做出反应(shutdown或者black hole)
记录DHCP绑定数据:
可以将数据绑定上载到指定的服务器备份。主要用于配置dot1x
userbased。
添加绑定ARP:
捕获绑定数据后,根据绑定数据参数添加静态绑定ARP,防止ARP欺骗。
二层设备的MAC地址学习都是源MAC地址学习来进行的。即,当端口收
到一个未知源MAC地址的报文,会将这个MAC添加到接收端口号上,以便
后续以该MAC地址为目的的报文能够直接转发,即,一次学习,多次转发。
但是,当新来源MAC如果发现该MAC已经学习到二层设备上,但源端口不一
样,会修改原来的MAC地址的源端口,也就是将原来的MAC地址移动到新的
端口上来。
当链路上存在环路情况时,所有的MAC地址都移动到环路端口上(大多情况是在不同端口间来回切换),导致二层网络的瘫痪。
基于端口的网络接入控制:
指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。
Client/server体系结构
有 三 个 实 体:客户端,接入控制单元,认证服务器
接入控制单元:为客户端提供接入局域网的端口。
端 口:
受控,传业务报文,双向,非授权下,禁止接收来自客户
端的报文。
非受控,传EAPOL帧,双向。
受控方向:
双向:禁止帧的接收和发送。
单向:禁止接收客户端的帧,允许向客户端发送帧。
P A E:是802.1x认证机制中负责执行算法和协议操作的实体。
EPAOL:是一种报文封装格式,用于客户端和接入控制单元之间传送EAP
协议报文。以允许EAP报文在局域网中传送。
802.1x接入控制方式:
基于端口:第一个认证完成后,后面的无需认证。
第一个下线之后,后面的也跟着下线。
基于MAC: 需要单独认证,只有通过认证的用户才能接入网络。
基于用户:(IP+MAC+端 口)认证之前可以访问有限的资源。
标准控制,认证之前可以访问有限的资源,认证之后可
以访问全部资源。
高级控制,只有特定的用户在认证之前可以访问有限的
资源。
发送以自己IP为目标IP的ARP请求。
防止网关欺骗。定时的发送免费ARP,局域网内的主机就能定时更新缓存,
当局域网的主机受到ARP网关欺骗后,收到免费ARP,就能更新缓存,得
到正确的网关MAC地址。
保护网关不被攻击,如果ARP的源地址是保护的IP地址,就直接丢弃报
文,不再转发。
11. 镜像
端口镜像:
把一个端口(源镜像端口)接收或发送的数据帧完全的复制给另一个
端口(目的镜像端口)。一般还在目的镜像端口外连接一个协议分析
仪或检测仪。
源镜像:
把一个端口指定规则的接收的数据帧完全复制给一个端口,其中规定
只有permit时流镜像才生效。
交换机收到IP或ARP报文时,根据报文信息中的源IP或IP+MAC将与硬件
地址池相比较,如果符合就转发,如果不符合就丢弃。
AM可以将指定的端口与IP(IP+MAC)绑定,只有指定的IP(IP+MAC)用户才能从此端口转发。
管理站/代理模式,基于团体名的安全机制
架构:NMS Agent SNMP协议 MIB
NMS:通过SNMP协议从Agent获取管理信息,监听UDP162端口,接收Agent
发送的trap。
同时,还提供 失效管理,安全管理,计费管理,配置管理,性能管理。
Agent:在被管理设备的一个软件模块。
SNMP:NMS与被管理设备之间的交互遵循SNMP协议规定。
MIB:是存储在被管理设备中的管理信息数据库。使所有被管理对象的集
合,定义被管理对象的一系列的属性。
14. 端口下广播风暴
抑制广播风暴,配置每秒允许通过的广播包数量。
15. MAC地址表
MAC地址表:
标识目的MAC地址与交换机端口之间映射关系。
静态MAC地址:用户配置,最高优先级。
动态MAC地址:转发时学习,交换机收到数据帧时,首先学习数据帧的
源MAC地址,与接收端口建立映射关系,然后再根据目
的MAC地址查询MAC地址表。若找到,从相应端口发出;
若找不到,在其广播域内广播。
MAC地址绑定:
交换机具有动态学习MAC地址的功能,每个端口可以动态学习到多个MAC
地址,从而实现端口之间已知MAC地址数据流的转发。
将端口和MAC地址进行绑定,端口只允许已绑定MAC的数据流的转发。
即,MAC地址与端口绑定,该MAC地址的数据流只能从绑定端口进入,
其他没有与端口绑定的MAC地址的数据流不可以从该端口进入。
冲突域:
连接在同一导线上的所有工作站的集合,这个域代表了冲突域在其中发生并传播的区域,被认为是共享域。
网桥,交换机,路由器会隔离冲突域。用Hub和Repeater连接的所有节点被认为是在同一冲突域内。
广播域:
接收同样广播消息的节点的集合。Hub,交换机等一、二层设备连接的节点被认为都是在同一广播域中。而路由器可以划分冲突域。
MAC泛红攻击:
二层转发是基于MAC地址;
转发过程是查找CAM表来确定转发接口;
如果查不到,就将此数据帧作为广播帧来处理;
而CAM表容量是有限的,一旦达到上限后,新的条目将不会添加到CAM表中。
当攻击者,伪造一些数据帧且源MAC不同,使得CAM表很快的被填满,造成真正
的MAC地址不能被写入表中,从而需要使用广播的方式;这时候,需要使用MAC
地址绑定的方法来解决这个问题,绑定后,端口只允许与该端口绑定的MAC的束
流转发。
★以上是近年来出现次数多的知识点,还是需要将交换机的所有操作掌握。