IPSG应用在网络中的位置

最新推荐文章于 2024-09-16 09:36:19 发布
最新推荐文章于 2024-09-16 09:36:19 发布
阅读量473 收藏 5
点赞数 8
分类专栏: 华为datacom理论 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769137/article/details/139991142
版权

IPSG一般应用在与用户直连的接入设备上,可以基于接口或者基于VLAN应用。

  • 如图所示,在接入用户侧的接口上应用IPSG,该接口接收的所有IP报文均进行IPSG检查。

    图1 基于接口使能IPSG

如图所示,在接入用户侧的VLAN上应用IPSG,属于该VLAN的所有接口接收到IP报文均进行IPSG检查。

图2 基于VLAN使能IPSG

如果与用户直连的接入设备不支持IPSG功能,也可以在汇聚设备或核心设备上应用IPSG,如图所示。

  • 假设接入内网1的Router_1不支持IPSG功能,可以在Router_2上的IF1接口应用IPSG(需要在Router_2上创建内网1内主机的绑定表)。但是由于Router_1没有IPSG功能,所以从Router_1发送过来的报文是有可能存在IP欺骗攻击的,在Router_2的IF1接口上应用IPSG可以把攻击隔绝在这里,使受攻击的范围减小到最小。
  • 接入内网2的Router_2的IF2接口上也需要应用IPSG功能,如果不应用,内网2内也可能存在IP地址欺骗攻击。

图3 多路由器环境

网工鹏哥
关注
专栏目录
安全-IPSG(华为命令)
L
06-27 2598
IPSG IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。 背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。 随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至...
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2608
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
IPSG绑定表
weixin_46041124的博客
02-22 776
IPSG是基于绑定表(DHCP Snooping动态绑定表和静态绑定表)对IP报文进行匹配检查。绑定表是IPSG进行IP报文检查的基础。当设备在转发IP报文时,将此IP报文的。源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较。,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
DHCP Snooping IPSG
艺博东的博客
08-10 7845
祸兮福所倚,福兮祸所伏。 文章目录一、DHCP二、拓扑三、基础配置四、策略配置五、DHCP继六、DHCP Snooping 一、DHCP Dynamic Host Configuration Protocol 名称:DHCP动态主机设置协议 作用:帮助网络管理员管理及自动分配IP地址的网络协议 1、总计包类型 (1)DHCP DISCOVER消息----广播----寻找DHCP服务器 (2)DHCP OFFER消息----广播----回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域.
交换机网络安全应用命令
IT技术
10-11 6862
接入层安全配置: 环路检测 针对环路可以在下行接口配置环路检测。 [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] loopback-detect enable 案例现象介绍 环路是网络性能的一大"杀手"。网络环路会导致网络的数据包不停的循环发送,造成链路带宽资源的消耗浪费。于是合理的避免网络环路是每一位网路工程师必须要去学习的。 loopback detection 通过发送测试报文到网络,如果再次从网络收到
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 1995
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
疫情当前 网络安全更重要——IPSG特性
u014389734的博客
02-14 840
IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。 IPSG基础概念 随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。 IPSG功能是基于...
hcip学习 IPSG
m0_58556875的博客
08-01 289
IP 源防攻击 IPSG (IP Source Guard)是一种基于二层接口的源 IP 地址过来技术,它能够防止恶意主机伪造合法主机的 IP 地址来仿冒合法主机,还能确保非授权主机不能通过自己指定 IP 地址的方式在访问网络或攻击网络IPSG 理由绑定表(源 IP 地址、源 MAC 地址、所属 VLAN、入接口的绑定关系)去匹配检测二层接口上收到的 IP 报文,职业匹配绑定表的报文才允许通过,其他报文将被丢弃。防止恶意主机伪造合法主机的 IP 地址来仿冒合法主机。基于二层接口的源 IP 地址过滤技术。
IP视频信号发生器IPSG
2401_84114215的博客
04-11 673
故过往所用的模拟/数字非压缩(或非IP化)的信号源往往需要借助外部网关(编码器)实现基带非编码视频信号格式转化为IP视频信号格式接入被测传输系统,此方案的弊端在于所使用的外部网关(编码器)会对高质量的非压缩编码的视频信号造成图像损伤,以至于接入到被测系统之前的视频信号质量就不一定能够符合标准,遭到业主的质疑。可设置起始IP地址、结束IP地址,最高能够设置128路IP地址;功能软件右侧核心内容为当前输入源状态显示,当前所选输入源视频参数及音频参数显示,文件类型,视频时长及码率显示等,并且支持输出内容预览。
DHCP高阶应用系列之《DHCP Snooping + DAI(ARP Detection)杜绝ARP攻击》
weixin_44645270的博客
07-22 2248
本系列第一章介绍过DHCP Snooping + IPSG限制用户随意修改IP地址信息,既然用户只能使用由DHCP服务器分配的IP地址为什么还需要对ARP进行限制呢?源于IPSG是对IP协议的数据包进行合法性校验,而ARP协议的数据包不在IPSG的处理范围内,ARP协议作为以太网通信里的一个重要协议,决定主机发送的数据能不能被交换机正确转发。DAI可以通过DHCP Snooping生产的IP-MAC表项对进入交换机的ARP数据包进行合法性校验,保证LAN内所有主机及路由器网关等设备ARP缓存信息不被篡改.
4.网络编程
weixin_45476535的博客
09-14 481
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Java-网络
2301_81543552的博客
09-14 693
Java网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 201
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
WireShark分析localhost包
ngczx的博客
09-11 708
WireShark分析localhost包
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 951
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【计算机网络 - 基础问题】每日 3 题(七)
最新发布
Newin2020的博客
09-16 892
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏,我将会分享 C++ 面试常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
iptables实现内外网ip转换
m0_67475830的博客
09-13 494
准备三台虚拟机。
配置IPSG:防止主机私自更改IP地址的网络安全策略
应用IPSG时,有几点需要注意: 1. IPSG仅检查IP报文,不处理ARP报文,对于ARP欺骗防护不足,需配合DAI(Dynamic ARP Inspection)。 2. IPSG应尽量部署在靠近用户的接入层设备,以便更有效地控制网络接入。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值