- 1Ubuntu20.04升级openssh_ubuntu升级openssh
- 2remote: 找不到代码库,请确认是否有权限且代码库路径正确 The requested URL returned error: 403 云效拉取代码失败_remote: 找不到代码库,请确认是否有权限且代码库路径正确
- 3SQL Server 自定义函数_sql2008 自定义函数
- 4【Web APIs】JavaScript 操作元素 ⑥ ( 关闭对话框案例 | display 属性简介 | 页面标签结构和样式 | 盒子模型细节 | 绝对布局要点 - 设置负值即可超出父容器模型 )
- 5UNIGEN框架下的文本数据集创造术_unigen: a unified framework for textual dataset ge
- 6数值分析python实现_python数值实验
- 7推荐使用 Leanote:你的高效笔记与协作平台
- 8找出数组所有子数组_求数组的所有子数组
- 9常用DOS命令、Windows下安装IIS服务器、DNS服务器和DHCP服务器以及Windows和Linux防火墙的基本配置(Windows一)_windows安装服务命令
- 10Stable Diffusion绘画 | ControlNet应用-Lineart(线稿):轻轻松松画线稿
局域网安全防护技术(内网)_内网安全防护
赞
踩
局域网安全防护
目前主要使用的2种方式,基于是否有DHCP服务器而言
言下之意就是电脑主机的数量,因为涉及到绑定主机信息的过程(数量问题),由于每个厂商的英文简写不同,我以中文代替说明具体的意义
- 源认证+ARP检测(无DHCP)
- DHCP探测+源认证+ARP检测(有DHCP)
设想主机需要通信要完成几个过程
- 主机接入(IP和MAC)源认证
- 主机通讯(ARP)ARP检测
- 主机怎么拿到属于自己的IP(使用人或管理员)DHCP探测
源认证
针对源进入接口流量进行报文过滤控制,控制条件可以根据需求决定
IP+MAC+VLAN
- IP绑定表项
- MAC绑定表项
- IP+MAC绑定表项
- IP+VLAN绑定表项
- MAC+VLAN绑定表项
- IP+MAC+VLAN绑定表项
常见都是基于IP+MAC
控制条件实现方式
- 静态手动绑定
- 针对的是没有DHCP方式
- 动态自动绑定
- 针对有DHCP,因为可以借助DHCP的表项来实现动态绑定
ARP检测
ARP检测属于ARP攻击防御模块的一个功能,针对二层最重要的协议,相对还有很多种防御功能
ARP协议的问题
ARP是主机通讯时第一个需要执行的协议,因为刚开始主机之间是不知道物理的主机位置,IP只是个逻辑地址,通过逻辑地址找到物理真实的主机,才能建立通讯,由于ARP这个协议没有任何的认证机制,从而会被利用攻击
- 中间人攻击
- 网关欺骗
- ARP泛洪
ARP检测能解决的是前2种,ARP泛洪需要参考其他技术解决
实现方式
- 基于源认证绑定信息
- 基于DHCP探测生成的表项信息
总结:说白了ARP检测就是人为的给ARP协议进行认证,只有管理员认准的才能通讯
DHCP探测
DHCP的作用
主机获取IP信息可以通过2种方式获取到
- 手动配置
- DHCP服务器自动给主机配置
网络中出现DHCP的问题
- 网络中存在多个DHCP服务器会导致主机获取的IP信息错误,无法实现网络通讯
- 网络中存在伪造DHCP续约报文
- DHCP饿死攻击
目前常用都是基于第一种配置使用,可以根据实际需求增加配置功能
配置应用节点
主要三个节点
- 接口应用
- VLAN接口应用
- 全局应用
需要注意ARP检测信息需要基于全局应用的源认证绑定信息,所以往往手动绑定的不是基于全局的,需要配置2个节点一样的信息
vlan或接口+全局
基于2种方案的组个思考
源认证+ARP检测(无DHCP)
1、可以只配置源认证,不配置ARP检测
源认证确实解决了只有信任的主机才能通讯,但是不能解决其中一台机器如果中毒或者不怀好意,就会利用ARP协议攻击其他主机行为(中间人攻击可以窃取数据)
DHCP探测+源认证+ARP检测(有DHCP)
有DHCP情况下,往往需求是基于2者的,一部分需要DHCP获取地址减轻工作量,一部分重要的服务器需要配置具体的IP(或者公用设置,打印机等)
1、不配置没有源认证
因为基于动态绑定可以实现DHCP用户认证通讯,但是无法实现静态绑定,也不能防止恶意静态配置IP行为(提前知道IP信息的情况下)
