- 博客(105)
- 收藏
- 关注
RSS订阅原创 第七章 SELinux
标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合。注意:最终是否可以访问到目标文件,还要匹配产生进程(主体)的用户是否对目标文件拥有。最重要,进程是否可以访问文件,主要就是看进程的安全上下文类型字段是否和文件的安全上。若符合定义的规则,且主体的安全上下文和目标的安全上下文匹配则允许访问文件。),可以针对特定的进程与特定的文件资源来进行权限的控制,即使你是。系统中进程与文件的数量庞大,限制进程是否可以访问文件的。进程想要对文件进行访问时,系统就会根据该进程的所有者。
2025-05-11 22:01:39
716
原创 第六章 DNS域名解析服务器
IP 地址:是互联网上计算机唯一的逻辑地址,通过 IP 地址实现不同计算机之间的相互通信,每台联网计算机都需要通过 IP 地址来互相联系和分别,但由于 IP 地址是由一串容易混淆的数字串构成,人们很难记忆所有计算机的 IP 地址,这样对于我们日常工作生活访问不同网站是很困难的。基于这种背景,人们在 IP 地址的基础上又发展出了一种更易识别的符号化标识,这种标识由人们自行选择的字母和数字构成,相比 IP 地址更易被识别和记忆,逐渐代替 IP 地址成为互联网用户进行访问互联的主要入口。这种符号化标识就是域名。
2025-05-11 21:36:37
1056
原创 第五章 nfs服务器
NFS(Network File System,网络文件系统)是FreeBSD支持的文件系统中的一种,它允许网络中的计算机(不同的计算机、不同的操作系统)之间通过TCP/IP网络共享资源,主要在unix系列操作系统上使用。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中,而在本地端的系统中看来,那个远程主机的目录就好像是自己的一个磁盘分区一样。
2025-05-11 21:28:59
872
原创 第四章 web服务器 www http apache nginx
Web网络服务也叫WWW(World Wide Web 全球信息广播)万维网服务,一般是指能够让用户通过浏览器访问到互联网中文档等资源的服务Windows系统中默认Web服务程序是I I S(Internet Information Services),这是一款图形化的网站管理工具,IIS程序不光能提供Web网站服务,还能够提供FTP、NMTP、SMTP等服务功能,但只能在Windows系统中使用2004 年 10 月 4 日,为俄罗斯知名门户站点而开发的 Web 服务程序 Nginx 横空出世。
2025-05-11 21:26:44
640
原创 第三章, 远程连接服务器
远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样目前常见的网络数据包加密技术通常是通过“非对称密钥系统”来处理的。主要通过两把不一样的公钥与私钥来进行加密与解密的过程。
2025-05-11 21:20:11
946
原创 第二章 ,时间服务器
由于IT系统中,准确的计时非常重要,有很多种原因需要准确计时:在网络传输中,数据包括和日志需要准确的时间戳各种应用程序中,如订单信息,交易信息等 都需要准确的时间戳chrony是一个开源的自由软件,它能帮助你保持系统时钟与时钟服务器(NTP)同步,因此让你的时间保持精确。chrony由两个程序组成,分别是chronyd和chronycchronyd:是一个后台运行的守护进程,用于调整内核中运行的系统时钟和时钟服务器同步。它确定计算机增减时间的比率,并对此进行补偿。
2025-05-11 21:15:34
921
原创 第一章 例行性工作(任务计划)
生活中,我们有太多场景需要使用到闹钟,比如早上 7 点起床,下午 4 点开会,晚上 8 点购物,等等。在 Linux 系统里,我们同样也有类似的需求。比如我们想在凌晨 1 点将文件上传服务器,或者在晚上 10 点确认系统状态,等等。但我们不可能一直守在电脑前,毕竟我们也需要下班/睡觉,还要陪女朋友(new一个也行)。而且即使在上班期间,如果到点了还需要人工操作,未免效率太低了。at命令就是为这个需求而诞生的。使用at命令,你可以在特定时间自动完成你所设定的任务,也可以实现自动化,非常方便快捷!
2025-05-11 21:09:33
831
原创 第一部分 网络服务 第零章 准备工作
openEuler的前身是运行在华为公司通用服务器上的操作系统EulerOS。EulerOS是一款基于Linux内核的开源操作系统,支持X86和ARM等多种处理器架构,伴随着华为公司鲲鹏芯片的研发,EulerOS理所当然地成为与鲲鹏芯片配套的软件基础设施。2019年底,EulerOS被正式推送至开源社区,更名为openEuler。当前openEuler内核源于Linux,支持鲲鹏及其他多种处理器,能够充分释放计算芯片的潜能,是由。
2025-05-11 15:28:13
1055
原创 第十八章,入侵检测/防御系统(IDS/IPS)
因为此时,这个自定义签名就变成了按照关联签名匹配到次数而触发执行动作的一个签名了。,通过检测各种操作,分析和审计各种数据现象来实时检测入侵行为的过程。一个消息可能由多个报文组成,分多次发送,一个报文也可能包含多个消息。为了针对应用层的内容进行安全检测以及防御--->通过分析网络中的流量或日志,识别潜在的攻击行为的安全系统。将提取到的特征与签名进行比对,用预先设定好的动作来处理。代表签名所检测的对象,也可以用来描述网络威胁的攻击对象。对网络流量进行检查,发现网络的入侵行为,并且,在。入侵行为的前兆 ---
2025-05-10 10:55:44
1114
原创 第十七章,反病毒---防病毒网管
应用程序在运行后,都会将自身释放到内存中,导致释放后的文件结构和未执行的文件有较大的差异。必须要先接收文件,然后缓存文件,对文件进行查杀。如果在上述支持协议内,则会进入后续的检查,否则流量不进行反病毒检测,而是进行其他检。况,如果其中一个用户和其他用户对比产生差异,那么服务器发出指令,让发生异常的机器进。先针对文件进行特征的提取,然后将提取出来的特征与本地特征库进行匹配。会将文件进行分片重组操作,然后基于片段进行扫描,来提高检查效率。允许文件通过,但是会在邮件正文中,添加检测到病毒的提示信息。
2025-05-09 23:10:09
808
原创 第十六章,网络型攻击防范技术
当正常用户发送的流量到达后,被丢弃,然后正常用户会触发重传行为,而第二个重传报文到达本地后,本地抗D。如果在一定时间内,该报文的个数到达阈值,则记录日志信息,并根据配置决定是否将源IP。应答报文中的源地址是否为子网广播地址或子网网络地址,如果是,则直接拒绝。产品,只需要将第一个送到的报文丢弃,并记录一个三元组信息。请求报文,回应报文全部发送给服务器,导致服务器不能提供正常服务。报文的载荷部分,是否存在大量的一致信息,来判断报文是否异常。如果在时间间隔内,则认为是正常的重传报文,则放通。
2025-05-09 22:33:24
795
原创 第十五章,SSL VPN
IPSec和SSL对比IPSec远程接入场景---client提前安装软件,存在一定的兼容性问题IPSec协议只能够对感兴趣的流量进行加密保护,意味着接入用户需要不停的调整策略,来适应IPSec隧道IPSec协议对用户访问权限颗粒度划分的不够详细;因为ACL的划分就是通过3.4层流量抓取。SSL优势SSL VPN实际工作位置在传输层和应用层之间。在OSI七层参考模型中,SSL协议属于表示层协议。专门针对应用层来进行安全防护的。
2025-05-09 22:14:54
1097
原创 NAT穿越
在隧道模式中,封装后的消息,存在三个报文头部的:原始头部、GRE。只需要在分部上进行流量抓取,总部直接镜像。------------IKE对等体配置。而在Internet上传输时,查看的是最外层的。如果要实现总部主动与分部建立连接,那么需要在分部的。发生变化,因此在采用预共享密钥认证方式下,不能再以。唯一的变化:如果需要携带协议字段,则需要开放。因为总部只能写公网地址,不能写私网地址,否。地址来标识设备身份,需要更换身份标识。设备使用的是防火墙,则会产生反向。缺陷,总部无法主动连接连接。
2025-05-09 21:03:20
774
原创 第九章,链路聚合和VRRP
r3-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 30 ----将VRRP组1与GE0/0/1接口进行绑定,如果该接口处于UP状态,则VRRP组不变,如果该接口处于Down状态,则VRRP组1的优先级降低30。[Huawei-Eth-Trunk0]undo portswitch ---在路由器上使用Eth-Trunk接口时,需要调整为三层接口。----创建聚合接口。
2025-05-06 20:16:31
728
原创 第八章,STP(生成树协议)
sw3-GigabitEthernet0/0/22]stp edged-port enable ---将该接口设定为边缘接口,该接口不需要发送BPDU报文,因为边缘接口一般是连接PC的接口。MAC地址表的翻摆(漂移)----同一个数据帧,顺时针接收后将记录MAC地址及接口的对应信息,之后,逆时针还会再更改一次MAC地址表,如果循环,导致MAC地址表内容一直在变化。每一台设备都会发送配置BPDU,配置BPDU中的BID字段为自己的桥ID,RID也是自己的桥ID--->每一台设备都会认为自己的根网桥。
2025-05-06 20:12:36
1095
原创 第七章,VLAN技术
故需要保障交换机发送的hello报文可以被路由器处理,并且交换机本身没有接口属于三层接口,需要单独创建一个VLAN IF接口用于连接路由器,而VLAN IF接口的启用需要保障VLAN信息的存在,故需要先创建vlan和划分vlan接口。[Huawei-GigabitEthernet0/0/1]port link-type access ---告知设备0/0/1接口的链路类型。[SW2]interface Vlanif 10 -----创建VLANIF接口,编号为10代表可以处理VLAN 10的数据。
2025-05-06 20:06:10
680
原创 园区网的发展
局域网----在一定的地理范围内,将个人计算机、服务器、打印机、监控等电子设备连接起来的通信网络。理解为网络的边界,用于给用户终端提供接入网络的接口,并且负责将用户产生的数据发送到外部网络。三层交换机---数据交换,具备一些基本的路由功能,适用于频繁交换数据的网络。专用集成电路----ASIC----->来完成三层路由转发行为。三层交换机------集成了二层交换功能和三层路由功能。二层交换机----只具备二层交换功能的交换设备。-----NAC功能---->网络接入控制。---->维护一张MAC地址表。
2025-05-06 20:03:19
283
原创 BGP优化
peer 12.0.0.2 default-route-advertise---BGP下放缺省路由无论本地的路由器是否存在缺省路由,都会向对等体下发一条下一条为本地的缺省路由,从而减少网络中的路由数量,节省对等体的设备资源。
2025-05-06 17:04:43
848
原创 第六章,BGP---边界网关协议
自治系统---AS由一个单一的机构或组织所管理的一系列IP网络及其设备所构成的集合。进行AS划分的原因随着网络规模亏大,路由数量进一步增加,路由表规模变大,导致路由信息的收敛速度变慢,全球设备数据不统一。----->协议跑不过来。AS之间可能是不同的机构或企业,互相之间无法完全信任,使用IGP协议可能存在暴露AS内部的网络信息风险。AS号存在16bit与32bit两种。IANA(互联网数字分配机构)负责AS号的发放。常用的为16bit,取值范围1-65534(0和65535保留)
2025-05-03 16:37:27
954
原创 第三章,GRE和MGRE
VPN的核心技术----隧道技术---封装一定要记住需要添加通往隧道的路由信息。Keepalive检测功能用于在任意时刻检测隧道是否处于正常状态。如果对端不可达,可以即使关闭隧道,避免形成路由黑洞。逻辑设备在本地创建一个计数器,并周期性发送keepalive报文,如果没有得到回复,则每发送一次报文,计数器加一。当计数器超过10,则认为对端不可达。周期性时间为10S。在MGRE的网络类型结构中,是存在多个节点,但是MGRE本身在发送数据时,还是以点到点的形式发送,并不存在广播或者组播行为,所以,这种网络架构,
2025-04-27 15:13:32
806
原创 第二章,网络类型及数据链路层协议
网络类型----点到点网络-----多点接入网络BMA----广播型多点接入网络NBMA---非广播型多点接入网络数据链路层协议以太网协议属于BMA网络类型。特点:需要使用MAC地址对设备进行区分和标识。以太网的构建方法:以太网线、以太网接口。P2P网络类型当一个网络中只能存在两台设备,并且不允许第三台设备加入,这种网络被称为P2P网络。---通讯过程中不需要MAC地址。点到点网络的搭建:使用连接。串线标准:E1标准:2.048MbpsT1标准:1.544Mbps。
2025-04-27 15:09:53
783
原创 第五章,重发布及路由策略
即便要拒绝一个流量,在抓取时也必须使用允许动作,之后在路由策略进行拒绝在一条规则中,若没有进行流量匹配那就是匹配所有;若没有应用动作,那么仅对匹配的流量进行当前大动作操作。注意“与”和“或”关系作业R1的环回并没有宣告进OSPF网络,需要通过重发布导入到OSPF网络。保证全网可达,且没有路由回馈以及选路不佳。
2025-04-22 22:30:53
593
原创 第四章,OSPF
在OSPF中,拓扑信息是由LSA(链路状态通告)进行通告。避免重复更新和减少更新量。LSR---链路状态请求报文根据DBD报文中的未知信息,从而向邻居请求获取未知信息。LSU---链路状态更新报文携带完整的LSA信息。LSAck链路状态确认报文OSPF状态机down---关闭状态init------初始化状态,收到的hello报文中必须存在本地的RID值,进入下一个状态2-way----双向通讯状态-----邻居关系建立。
2025-04-22 22:21:33
389
原创 第一章,HCIA复习
抽象语言---->电信号抽象语言---编码编码------二进制二进制----电信号OSI参考模型TCP/IP模型(4参考5对等)应用层:程序的编译过程;人机交互的接口。表示层:数据格式化--->二进制会话层:维护网络应用和服务器之间的会话连接(端到端,保证了数据连接中断时,下次连接依旧从中断点开始)传输层(运输层):用以标定和区分不同的应用程序;TCP、UDP(端口号,2bit,0~65535)源端口号:随机形成 目的端口号:上层协议来的。
2025-04-20 23:02:08
648
原创 第八章,NAT
NAT技术---地址转换技术私网IP地址在IP地址空间中,A、B、C三类地址各有一部分地址,充当私网IP地址,其余IP地址称为公网IP地址。具有可重复性,私网IP地址不允许在互联网中传输,公网IP地址可以在互联网中使用。
2025-04-07 10:49:27
294
原创 第七章,ACL
需求一:允许PC1访问192.168.2.0/24网段,而PC2不行。分析:该需求仅对源有要求,配置基本ACL,且因为基本ACL仅关注数据包中的源IP地址;故配置时尽量靠近目标,避免对其他地址访问误伤。[r2]acl 2000 ----创建基本ACL列表[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ---编写规则。
2025-04-06 20:57:17
665
原创 第六章,VLAN
sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3 ----在trunk干道的允许列表中加入。[sw1-GigabitEthernet0/0/1]port link-type access -----修改链路类型为Access。[sw1]vlan batch 2 to 10 20 ----批量创建vlan2到vlan10以及vlan20。[sw1]vlan 2 -----默认情况下交换机存在vlan 1,并且所有接口属于vlan 1。
2025-04-06 18:32:22
865
原创 第四章,动态路由介绍//////RIP
---路由器自身根据网络中链路和节点的信息进行自动调整,根据算法自主生成路由项。适合大中型网络拓扑结构。----由网络管理员手工配置,配置内容繁琐,维护成本过高。仅适用于结构简单的小型网络。
2025-04-02 22:06:22
1065
原创 第三章,静态路由
r1]display ip routing-table ----查看本地全局路由表。----路由器总是选择最精确、最优的路由项来进行数据转发。从上而下匹配,匹配完才结束,选出最优,没有匹配上丢弃。路由信息的来源:设备自动发现、手工配置、通过动态路由协议生成。直连路由 静态路由 动态路由。
2025-04-01 15:51:10
1013
原创 第二章,VRP介绍///Telnet///DHCP
例如,对于按流量计费的网络服务,计费系统会记录用户使用的流量数据,以便根据使用量向用户收取费用。在网络中,可能会因为某些原因导致服务端没有收到或者无法回复request报文,在这种情况下,当租期重绑定计时器超时时,PC会重新广播发送DHCP discover报文,在网络上重新寻找DHCP服务器。首先,PC会广播发送DHCP discover报文,Server在接收到这个广播包以后,先会选择一个未分配的IP地址,然后(单播或广播)发送一个DHCP offer报文,该报文携带了网络参数给PC。
2025-03-28 18:40:00
1015
原创 第一章,网络发展史///OSI七层模型
网络共同点(任何都有这些属性的都是网络)节点--传输数据通道--转发数据数据网络就是通过一些特殊的通道把分部在不同地址位置的物品连接起来,从而实现信息的传输和共享。
2025-03-21 18:02:22
790
原创 第十四章,IPSec VPN
IPSec--->由IETF指定的一组开放的网络安全协议。IPSec协议簇--->解决了TCP/IP协议簇先天缺陷,没有考虑到数据传输的安全性。IPSec是针对IPv6来设计的。在IPv6场景中,IPSec属于强制使用。在IPv4网络中,IPSec属于可选项。IPSec VPN仅仅是基于IPSec协议簇构建的一种应用于网络层的VPN技术。信息安全三要素:1、机密性2、完整性3、可用性机密性实际上就是数据加密。借助了密码学,采用对称加密算法对数据进行加密和解密。
2025-03-21 15:09:14
707
原创 L2TP的LAC拨号模式实验
Client[PPPoE Client-Dialer1]dialer user user1 ----- 设定拨号用户名[PPPoE Client-Dialer1]dialer-group 1 ---- 创建拨号组[PPPoE Client-Dialer1]dialer bundle 1 ------ 设定拨号程序捆绑包。
2025-03-20 21:58:09
904
原创 第十二章,VPN概述
VPN --- 虚拟私有网络;依靠ISP/NSP在公共网络基础设施上构建的专用安全数据通信的网络。IETF --- 基于IP的VPN ---使用IP机制仿真出一个私有的广域网。依靠隧道技术。---在公共数据网络上模拟出一条点到点的专线技术。专线VPN ---客户租用数字数据网,帧中继(FR)等等...组建一个二层的VPN网络。运营商帮助客户来维护骨干网络,客户只负责管理自身的站点。基于客户端设备的加密的所有功能全部都有客户端设备实现,VPN。
2025-03-13 21:41:48
408
原创 第十一章,防火墙虚拟系统
可以把每一个虚拟系统当做一个真实的设备,虚拟系统是存在自己的接口、地址集、用户组、路由表、会话表、安全策略等等一系列内容。,资源类就是待分配资源的集合,或者说是某一个系统的资源。是把可以分配的资源项做了一个最大值和最小值的分配,并将该资源类与虚拟系统进行绑定。因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理,所以虚拟系统和根系统中分别要完成策略、路由等配置。虚拟系统管理员只能够进入到所属的虚拟系统中,进行配置和管理,并且查看的业务也仅仅属。物理设备的资源,可以被分配给其他的虚拟系统。
2025-03-11 23:16:34
662
原创 第十章,防火墙带宽管理
的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽。多个带宽策略以策略共享的方式,引入相同的带宽通道,则匹配了多个带宽策略的流量可以实现带。受入接口带宽限制,如果流量大于入接口,将依据带宽通道中设定的转发优先级来对流量进行。多条流量匹配到同一个策略,从而进入相同带宽通道,多条流量之间实现带宽复用。流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。所有引用带宽通道的策略,都共同受到该带宽通道的约束。匹配了父子策略的多个子策略的多条流量可以实现带宽复用。
2025-03-06 23:36:16
1169
原创 防火墙虚拟系统配置实验
1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网3、为三个部门的虚拟系统分配相同的资源类。
2025-03-04 16:15:22
291
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人