1、理解模型
纵深防御网络模型。
网络和物理安全策略之间的界限相当模糊,因为它们都旨在对恶意行为做出反应或先发制人的管理。纵深防御的目标是确保每层都知道如何在可疑的攻击事件中采取行动,限制恶意或意外破坏的机会,并最大限度地提高快速识别任何安全漏洞的机会
- 防火墙
- 入侵检测系统IDS
- 监控/日志记录
- 生成日志后还要监控日志并能对特殊情况作出反应
- 帮助了解攻击的过程、原理,以及如何防止它再次发生。
- 员工安全意识
- 物理安全(防盗等)
2、理解第二层相关问题
参考 https://www.cnblogs.com/bakari/archive/2012/09/08/2677086.html
2.1 冲突域
连接在同一导线上的所有工作站的集合,或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。这个域代表了冲突在其中发生并传播的区域,这个区域可以被认为是共享段。在OSI模型中,冲突域被看作是第一层(数据链路层)的概念,连接同一冲突域的设备有Hub,中继器Reperter或者其他进行简单复制信号、加强信号的设备。也就是说,用Hub或者Repeater连接的所有节点可以被认为是在同一个冲突域内,它不会划分冲突域。而第二层设备(网桥,交换机)第三层设备(路由器)都可以划分冲突域的,当然也可以连接不同的冲突域。简单的说,可以将Repeater等看成是一根电缆,而将网桥等看成是一束电缆。
在同一时刻,如果两台不同的设备试图发送数据包,就会发生冲突,此后,两台设备都必须重新发送数据包,同一时刻只能有一台设备发送。
- 交换机则可以用来分割冲突域,但不能分割广播域。
- 路由器路由既可以分割冲突域,同时也可以分割广播域。每个接口提供一个单独的广播域。
2.2 广播域
接收同样广播消息的节点的集合。如:在该集合中的任何一个节点传输一个广播帧,则所有其他能收到这个帧的节点都被认为是该广播帧的一部分。由于许多设备都极易产生广播,所以如果不维护,就会消耗大量的带宽,降低网络的效率。由于广播域被认为是OSI中的第二层(数据链路层)概念,所以像Hub,交换机等第一,第二层设备连接的节点被认为都是在同一个广播域。而路由器,第三层交换机则可以划分广播域,即可以连接不同的广播域。
2.3 交换与集线
参考 https://blog.csdn.net/shanyongxu/article/details/47957055
集线器
集线器就是将网线集中到一起的机器。集线器的主要功能是对接收到的信号进行同步整形放大,以扩大网络的传输距离。集线器在OSI/RM中的物理层。集线器的基本功能是信息分发,它把一个端口接收的所有信号向所有端口分发出去.一些集线器在分发之前将弱信号重新生成,一些集线器整理信号的时序以提供所有端口间的同步数据通信.
如果把一个集线器比作一个邮递员,那么这个邮递员是个不认识字的”傻瓜”----要他去送信,他不知道直接根据信件上的地址将信件送给收件人,只会拿着信分发给所有的人,然后让接受的人根据地址信息来判断是不是自己的。
交换机
交换机则是一个聪明的邮递员。交换机拥有一条高带宽的背部总线和内部交换矩阵.交换机的所有的端口都挂接在这条背部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口.目的MAC若不存在,交换机才广播到所有的端口,接受端口回应后交换机”学习”新的地址,并把它添加入内部地址表中.
- 目标地址在MAC表,将数据包发生至目标
- 目标地址不在MAC表,将数据广播;学习新地址并将新地址加到MAC表中
2.4 端口安全
Switch通过ARP泛洪来进行MAC地址的学习,并汇聚成一张"MAC address tables",一个端口下可以有多个MAC地址的学习,因为MAC地址表的本身是有限制的,如果超过了最大定义的MAC数量,那么以后发来的MAC寻址在网络中都会进行以ARP泛洪的形式进行通话,这样就可以在任意的主机上抓取通信的内容,安全性得不到最大的保障。另外端口安全与ARP绑定有类似的功能,灵活运用可以限制主机上网数量,总结一下端口安全配置及简单应用。端口安全可以通过限制MAC地址和广播控制的方式提高。下面内容将介绍MAC地址限制和广播控制。
2.4.1 MAC地址限制
1.首先进入需要绑定的端口,比如一个端口上接一个HUB,HUB下挂了几台主机,但是只允许其中一个主机通过该交换机的这个端口。
2.开启端口安全绑定策略
3.设置端口上允许通过的MAC地址的数量
4.选择绑定的模式,是静态绑定(指定MAC地址,在MAC地址表中也会自动添加绑定)还是动态绑定(即先访问此端口的MAC地址)。
5.设置端口上的安全策略,对没有被绑定的MAC地址流量想要通过此端口的处理方法,分为报警且不放行、不报警也不放行、报警并关闭端口。
6.查看端口安全设置及,安全MAC表的设置是否正确
端口安全配置命令如下:
1.interface f0/1
2.switchport mode access
3.switchport port-security
4.switchport port-security maximun 1
5.switchport port-security mac-address [0001.0001.0001\sticky]
6.switchport port-security violation [protect\restrict\shutdown]
7.show port-security interface f0/1
8.show port-security address
策略关闭的端口可以设置为自动恢复,详细见端口广播风暴控制
L5(config)#errdisable recovery cause security-violation 为security-violation启用自动恢复
L5(config)#errdisable recovery interval 1800 恢复时间为1800s后
L5#show errdisable recovery 查看哪些策略开启了自动恢复及恢复时间
2.4.2 端口广播风暴控制
什么是广播风暴
以太网交换机传送的第二层数据帧不像路由器传送的第三层数据包有TTL(Time To Live),如果有环路存在第二层帧不能被适当的终止,他们将在交换机之间永无止境的传递下去。
广播风暴抑制
switch(interface-if)#storm-control ?
定义如果超过限定范围流量采取什么行为:
broadcast Broadcast address storm control 控制广播
multicast Multicast address storm control 控制组播
unicast Unicast address storm control 控制单播
Switch4(config-if)#storm-control broadcast ?
level Set storm suppression level on this interface 定义风暴抑制级别
Switch4(config-if)#storm-control broadcast level ?
<0.00 - 100.00> Enter rising threshold 定义端口带宽下线值
bps Enter suppression level in bits per second 定义每秒流量传输的位(1字节=8位)数
pps Enter suppression level in packets per second 定义每秒包数量
Switch4(config-if)#storm-control broadcast level pps 50 40 ? 定义广播每秒超过50/s个则端口阻塞(blocking)小于40/s个则端口恢复(下线值貌似没什么用,也可以只写一个上限值就可以)
Switch4(config-if)#storm-control action ?
定义包超过定义的最大数量时采取的行为,不定义此项就默认为block而不是shutdown,当广播小于40/s的时候端口又恢复通信,但是当配置了action为shutdown时当端口广播超过50/s就会被shutdown,就只能用下面的errdisable的恢复方法来恢复端口了。
shutdown Shutdown this interface if a storm occurs 当广播超过设置的流量时down
trap Send SNMP trap if a storm occurs 发送snmp给网管工作站(配置了snmp)
## 实例
Switch(config)#interface f0/1
Switch(config-if)#storm-control broadcast level 10 5
Switch(config-if)#storm-control action shutdown/trap(二选一)
Switch(config-if)#no sh
Switch(config-if)#do wr
2.5 生成树的相关主题
2.5.1 为什么要设计生成树
冗余链路中存在广播风暴、MAC地址表不稳定、重复帧拷贝等问题,生成树STP被设计出来用来解决这些问题。
广播风暴
以太网交换机传送的第二层数据帧不像路由器传送的第三层数据包有TTL(Time To Live),如果有环路存在第二层帧不能被适当的终止