第8课 网络安全

最新推荐文章于 2024-10-04 13:19:28 发布
最新推荐文章于 2024-10-04 13:19:28 发布
阅读量49 收藏
点赞数
分类专栏: 计算机网络 # 计算机网络基础理论 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Red_carp/article/details/133916172
版权
本文详细介绍了网络安全中的ACL配置,包括标准ACL和扩展ACL的应用,以及针对IP地址欺骗、DoSTCP/SYN攻击、Smurf攻击和ICMP消息的防护策略。涵盖了网络架构、路由器安全和典型防御措施。
摘要由CSDN通过智能技术生成

嘿,这里是目录!

⭐ 视频资源链接

韩立刚老师网络基础110集全

8.1 网络安全分类

分层网络安全具体的网络安全示例
物理层墙上的不用的网线接口,连接交换机的端口关掉
数据链路层ADSL拨号(帐号+密码)
MAC地址绑定
交换机端口连接计算机数量控制
创建vlan
网络层基于源IP地址控制
基于目的IP地址等的控制
传输层会话攻击
LAND攻击
SYN泛洪攻击
应用层登录密码

8.2 典型的网络架构

在这里插入图片描述
在这里插入图片描述

8.3 使用标准ACL配置网络安全

  • 基于源地址进行控制

  • 访问控制列表和顺序有关系,条件苛刻的放上边(最开始就要写),条件宽泛的放下面(最后写)
    在这里插入图片描述

  • 针对路由器R0进行配置

en
conf t
access-list 10 deny host 192.168.2.2
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 20 deny 192.168.0.0 0.0.0.255
access-list 20 permit any
interface serial 3/0
ip access-group 10 out 
exit

show access-list
no access-list 10

8.4 使用扩展ACL实现网络安全

  • 基于源地址、目标地址、协议、端口号进行控制
    在这里插入图片描述
en
conf t
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80
access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
interface serial 3/0
ip access-group 100 out

8.5 使用ACL保护路由器安全

  • 将ACL绑定到telnet接口(对ip地址做限制,只有该ip地址的主机可以远程访问路由器)
access-class 10 in

en
conf t
line vty 0 15
password aaa
login
exit
access-list 10 permit host 192.168.1.3(或者写成access-list 10 permit 192.168.1.3 0.0.0.0)
line vty 0 15
access-class 10 in
exit
  • 将ACL绑定到物理接口
ip access-group 10 in

en
conf t
access-list 10 permit host 192.168.1.3(或者写成access-list 10 permit 192.168.1.3 0.0.0.0)
interface fastEthernet 1/0
ip access-group 10 in
exit

8.6 ACL的具体应用

8.6.1 IP地址欺骗对策——入站

  • 绝不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络
access-list 150 deny ip 127.0.0.0 0.255.255.255 any log(回环测试地址)
access-list 150 deny ip 0.0.0.0 255.255.255.255 any log(用作服务端,表示本机上的任意IPV4地址)
access-list 150 deny ip 10.0.0.0 0.255.255.255 any log(私网地址)
access-list 150 deny ip 172.16.0.0 0.15.255.255 any log(私网地址)
access-list 150 deny ip 192.168.0.0 0.0.255.255 any log(私网地址)
access-list 150 deny ip 224.0.0.0 15.255.255.255 any log(多播地址)
access-list 150 deny host 255.255.255.255 any log(受限的广播地址)
access-list 150 permit ip any any

8.6.2 IP地址欺骗对策——出站

  • 绝不允许任何含有非内部网络有效地址的ip数据包出站
access-list 105 permit ip 192.168.0.0 0.0.255.255 any
access-list 105 deny ip any any log
interface serial 2/0
ip access-group 105 out

8.6.3 DoS TCP SYN攻击对策——阻塞外部访问

  • 允许来自外部网络的对源自内部网络的请求响应,拒绝任何从外部网络发起的TCP连接
access-list 109 permit tcp any 192.168.0.0 0.0.255.255 established
access-list 109 deny ip any any log
interface serial 2/0
ip access-group 109 in

8.6.4 DoS Smurf攻击对策

  • Smurf攻击是向一个路由器子网广播地址,发送大量的ICMP包,ip地址则伪装成属于这个子网
  • 以下配置目的是过滤所有发往特定广播地址的ip数据包,防止转发广播,杜绝Smurf攻击
access-list 111 deny ip any host 192.168.0.255 log
access-list 111 deny ip any host 192.168.1.255 log
access-list 111 deny ip any host 192.168.2.255 log
access-list 111 deny ip any host 192.168.0.0 log
access-list 111 deny ip any host 192.168.1.0 log
access-list 111 deny ip any host 192.168.2.0 log
interface serial 2/0
ip access-group 111 in

8.6.5 过滤ICMP消息

  • 禁止ICMP入站
access-list 112 deny icmp any any echo log
access-list 112 deny icmp any any redirect log
access-list 112 deny icmp any any mask-request log
access-list 112 permit icmp any 192.168.0.0 0.0.255.255
interface serial 2/0
ip access-group 112 in
  • 出站
  • echo(回声):允许用户ping外部主机
access-list 114 permit icmp 192.168.0.0 0.0.255.255 any echo
access-list 114 permit icmp 192.168.0.0 0.0.255.255 any parameter-problem
access-list 114 permit icmp 192.168.0.0 0.0.255.255 any packet-too-big
access-list 114 permit icmp 192.168.0.0 0.0.255.255 any source-quench
access-list 114 deny icmp any any log
interface serial 2/0
ip access-group 114 out
清梦daydream
关注
专栏目录
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 2190
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
网络安全--安全攻防概述
热门推荐
weixin_43774199的博客
08-18 1万+
目录 一、安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 程目标:这节我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职
网络安全进阶学习第八——信息收集
p36273的博客
08-01 2999
信息收集(Information Gathering)信息收集是指通过各种方式获取所需要的信息。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。目标资产信息搜集的程度,决定渗透过程的复杂程度。目标主机信息搜集的深度,决定后渗透权限持续把控。收集信息越多,渗透越简单、后渗透持续把控越容易。在渗透测试中,信息收集是比较枯燥乏味的一项工作任务,但也是一项很重要的工作,所收集的信息能直接影响到下一步的渗透思路及效果,所以一定要有耐心和准备好持续长期地完成这一项工作任务。
网络安全入门学习第九——计算机网络基础
p36273的博客
05-22 1万+
在传输数据之前,TCP通过三次握手建立的实际上是两个方向的连接,因此在传输完毕后,两个方向的连接必须都关闭。,把一个子网划分为两个子网,分别是子网掩码:255.255.255.128 和 255.255.255.0,每一个子网的主机数量是2的7次方-2 = 128 – 2 = 126个。告知主机该报文段是来自哪里(源端口)以及传给哪个上层协议或应用程序(目的端口)的。一次TCP通信(从TCP连接建立到断开)过程中某一个传输方向上的字节流的每个字节的编号。TCP是一种可靠的,面向连接的全双工传输层协议。
网络安全温晓飞老师的12day 笔记
Breeno16的博客
05-04 3246
数据链路层(2层 Data Link Layer) 1.属于2层 2.传输单元:帧 3.帧结构 帧头包含:目标MAC 源MAC 类型 (6字节)(6字节)(2字节) 帧头类型两种: 0x0800:上层为IP协议 0x代表16进制 0x0801: 上层为ARP协议 帧格式: 802.3 802.11 ...
网络安全入门学习第十——DNS欺骗
p36273的博客
05-29 3929
检查是否开启成功扫描局域网存活的IP 配置攻击目标 先进行arp欺骗 然后开始dns欺骗 受害者尝试ping以下任意域名 使用浏览器登录查看,会直接重定向到apache服务的主页 假如需要修改apache的主页,路径如下: 这样就完成一次简单的DNS欺骗
网络安全阶段一学习笔记
QinLaoDeMaChu的博客
11-12 6442
windows服务器系统:win2000 win2003 win2008 win2012linux服务器系统:Redhat Centos。
网络安全入门学习第九——计算机网络基础_公网地址和私网地址范围
2401_84254343的博客
05-02 4669
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。数据链路层功能是:向该层用户提供透明的和可靠的数据传送服务。
信息技术计算机伦理与安全教案,龙教版信息技术七年级下册第7 安全与道德 教案...
weixin_34581040的博客
07-22 440
ID:9954219分类:全国,2019资源大小:228KB资料简介:题 目第七 安全与道德总时1设计来源自我设计教学时间教材分析这节计算机与网络安全部分定义介绍和叙述较多,所以为了避免枯燥可以设计件和并准备病毒计算机安全报道的视频、多媒体讲解、图片等素材,加强感性认识,提高学生兴趣。在安全部分可以准备实例和报道,以便引发学生讨论和与自身行为对照。学情分析学生的安全防护意识和网络道德情况...
网络安全>《58 概念讲解<第五 标准>》
02-27
尽管这些信息并未直接关联到网络安全主题,但从宏观上了解这些标准和技术委员会的背景有助于我们更好地理解网络安全在标准化过程中的位置。 ### 知识点解析 #### TC1 电压电流等级和频率 - **专业范围**:负责电压...
网络设备安全配置第一次
01-02
10. **策略和审计**:制定明确的网络安全政策,并定期进行安全审计,确保所有配置符合最佳实践。 在张老师的程中,通过0919.pkt、作业1.pkt、作业2.pkt、作业.pkt、实验.pkt等文件,学生可以进行实践操作,加深对...
第3网络安全基础编程PowerPointPres.pptx
10-06
网络安全基础编程】\n\n网络安全编程是保护网络系统免受恶意攻击的关键领域,它涉及编写安全的代码,以确保数据的完整性和用户的隐私。本程主要关注Windows平台下的网络安全编程基础。\n\n在Windows操作系统中,...
道德与法治八上第二:合理利用网络.pdf
03-31
《道德与法治八上第二:合理利用网络》是一堂关注青少年如何正确使用网络程。这节旨在教育学生理解互联网的重要性和影响,培养他们的媒介批评能力,学会理性利用网络参与社会生活。程内容分为两个主要部分...
第3-网络安全基础编程-PowerPointPres.pptx
10-07
在本程的第三中,主要讲解了Windows操作系统的基础和C语言在网络编程中的应用。 首先,理解Windows的内部机制至关重要。Windows是一个基于事件、消息驱动的操作系统,用户操作触发的事件会转化为系统发送给应用...
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1162
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
组播基础-1
DC_BLOG的博客
09-27 878
信息的发送者为:组播源 接受相同信息的接收者构成一个组播组,并且每个接收者都是组播组成员 提供组播功能的路由器成为:组播组路由器 组播路由器不仅提供组播路由功能,也提供组成员管理功能,也可以是组播组成员
项目管理-信息技术发展
最新发布
GAVIN
10-04 236
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
毕业设计——springboot+netty+websocket实现一个简单的ChatGpt机器人聊天
【CSDN】
09-29 733
WebSocket是html5开始浏览器和服务端进行全双工通信的网络技术。在该协议下,与服务端只需要一次握手,之后建立一条快速通道,开始互相传输数据,实际是基于TCP双向全双工,比http半双工提高了很大的性能,常用于网络在线聊天室等。申请key的教程在项目resources目录readme.md文件中。1、接入了chatGpt接口,只需要替换成自己的key就行。2、实现了与机器人的聊天,可以优化做成智能客服。
信息技术八年级上册:第2《上网准备》- 网络协议与浏览器介绍
"省编教材 信息技术八年级上册,第2《上网准备》的件,涵盖了上网方式、网络协议、浏览器等基础知识,并设有堂作业以加深理解。" 在信息技术的学习中,"上网准备"是至关重要的一步,它涉及到我们如何接入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清梦daydream

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值