网络系统安全

网络系统安全

以太网安全:接口安全、防DHCP欺骗、ARP安全、防IP源欺骗,防止STP、VRRP、路由协议被攻击

接口安全

port-security enable

DHCP Snooping

dhcp snooping enable

动态ARP检测DAI

DAI依赖于DHCP Snooping来实现它的功能 user-bind

IP源防护IPSG

基于DHCP Snooping进行工作 ip source check

虚拟专用网络VPN

VPN按照协议分类主要有:PPTP VPN、L2TP VPN、IPSec VPN、GRE VPN、BGP/MPLS VPN、VPLS、EVPN、SSL VPN等

交换机的端口安全技术可以限制接口上的绑定MAC数量,从而防止MAC泛洪攻击。DHCP Snooping技术使得交换机可以监听接口上的计算机发送DHCP报文的情况,禁止计算机发送非法的DHCP报文,从而防止虚假的DHCP服务器分配非法的IP地址。DHCP Snooping会在交换机上产生一个绑定表,这个表记录了接口上的计算机的IP地址、MAC地址、VLAN等信息,为动态ARP检测、IP源地址保护提供了基础。动态ARP检测使得交换机可以监听接口上的计算机发送的ARP报文情况,ARP报文和DHCP Snooping绑定表信息对比,禁止计算机发送非法的ARP报文,从而防止ARP欺骗。IP源地址保护使得交换机检查接口上收到的IP数据包的源IP地址,源IP地址和DHCP Snooping绑定表信息对比,禁止计算机发送虚假源IP地址的数据包,从而防止IP源地址欺骗。

VPN是在Internet上构建私有网络的技术,采取了加密、散列、密钥交换、身份认证等技术保证数据的安全。IPSec VPN是最常见的三层VPN,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后;在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA;对等体间的数据将在IPSec隧道中加密传输。AH、ESP是两种常见的安全协议,AH可以防数据篡改、保证身份,ESP可以加密数据、防数据篡改、保证身份。IPSec VPN有隧道模式、传输模式两种封装方式。

posted @ 2020-07-06 15:27  kylingx  阅读(485)  评论(0编辑  收藏  举报