安全-IPSG(华为命令)

最新推荐文章于 2024-07-29 14:30:00 发布
最新推荐文章于 2024-07-29 14:30:00 发布
阅读量2.5k 收藏 22
点赞数 1
分类专栏: 安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42293633/article/details/106978458
版权
IPSG(IP Source Guard)是一种防范源IP地址欺骗攻击的防御机制。本文介绍了IPSG的背景、功能,以及如何配置IP报文检查告警、丢弃特定IP报文、配置动态与静态绑定表,并提供了相关命令示例,以增强网络安全性。
摘要由CSDN通过智能技术生成

IPSG

   IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。

背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。

随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。

 

(可选)

配置IP报文检查告警功能

背景:配置了IP报文检查告警功能后,当丢弃的IP报文超过告警阈值时,会产生告警提醒用户。

执行命令system-view,进入系统视图。

执行命令interface interface-type interface-number,进入接口视图。

执行命令ip source check user-bind alarm enable,使能IP报文检查告警功能。

缺省情况下,没有使能IP报文检查告警功能。

执行命令ip source check user-bind alarm threshold threshold-value,配置IP报文检查告警阈值。

缺省情况下,IP报文检查告警阈值为100

配置丢弃源IP地址与目的IP地址相同的IP报文

背景:通常情况下,源IP地址与目的IP地址相同的IP报文可以被正常转发。当管理员判断该类型的IP报文为攻击报文时(比如流量过大),可以配置丢弃该类型IP报文的功能。

 

执行命令system-view,进入系统视图。

执行命令ip anti-attack source-ip equals destination-ip drop { all | slot slot-id },开启丢弃源IP地址与目的IP地址相同的IP报文的功能。

仅S5700EI支持{ all | slot slot-id }参数,其他产品型号均不支持该参数。

缺省情况下,设备不丢弃源IP地址与目的IP地址相同的IP报文。

 

配置绑定表

绑定表示IPSG进行IP报文检查的基础,分为静态和动态。

最低0.47元/天 解锁文章
-Qusay-
关注
专栏目录
2023 华为 Datacom-HCIE 真题题库 10/12--含解析
mxl00z的博客
05-30 2866
2023 华为 Datacom-HCIE 真题题库 10--含解析
2023 华为 Datacom-HCIE 真题题库 12/12(完结)--含解析
mxl00z的博客
06-01 2614
2023 华为 Datacom-HCIE 真题题库 12--含解析
华为核心交换机绑定IP+MAC+端口案例
weixin_34216107的博客
04-14 7536
华为核心交换机绑定IP+MAC+端口案例http://www.iyunv.com/thread-40167-1-1.html1 案例背景某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通...
IPSG简介
最新发布
2301_76769137的博客
07-29 281
IP源防攻击IPSGIP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络
华为交换机常见IPSG操作
Tony_long7483的博客
10-26 2840
配置IP+VLAN静态绑定:通过配置基于静态绑定表的IPSG,对非信任接口上接收的IP报文进行过滤,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络,适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境 [HUAWEI]user-bind static ip-address 192.168.2.1 vlan 10 [HUAWEI] vlan 10 [HUAWEI-vlan10] ip source check user-bind enable 配置IP+MAC静态绑定 [HU.
华为设备IPSG配置命令
Tony_long7483的博客
08-24 845
华为设备IPSG配置命令
华为企业设备常见IPSG操作【代码转自华为技术文档】
NeverGUM的博客
07-31 2344
配置IP+VLAN静态绑定 通过配置基于静态绑定表的IPSG,对非信任接口上接收的IP报文进行过滤,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络。适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境。 以添加源IP为192.168.2.1、VLAN ID为10的静态绑定表项,并在VLAN 10上使能IPSG功能为例,配置过程如下: <HUAWEI&g...
华为交换机配置IPSG防止DHCP动态主机私自更改IP地址
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-16 3941
IPSG简介 IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2608
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
配置IPSG防止主机私自更改IP地址上网(静态绑定)
m0_60444349的博客
06-18 7313
一、IPSG 功能简介IPSGIP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等),还确保非授权主机(在静态或动态绑定表中没有相关记录的主机表记录信息)不能通过设置IP地址来访问网络或攻击网络,能有效防止IP地址的私自更改。二、绑定表IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。静态绑定表通过user-bind命令手动在网络设备上进行
华为交换机基础配置
qq_36382667的博客
05-13 2581
local-user admin password irreversible-cipher Admin@123 # 创建名为admin的用户并设置复杂密码。local-user admin password irreversible-cipher Admin@123 # 确认admin的密码。ssh user admin authentication-type password # admin用户通过密码认证。
IPSG+DHCP Snooping详解及配置
qq_66291004的博客
09-05 1802
IPSG、DHCP Snooping、接入层安全配置
IP Source Guard
zdl244的博客
11-22 4993
IP Source Guard IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据 DHCP 的相关表项动态生成绑定表项)两种方式生成。 基于静态绑定的IP ...
IPSG应用在网络中的位置
womendouhenqiang的博客
10-18 486
CCNP学习之路之IP Source Gurad
weixin_34297704的博客
04-10 204
62.1IP Source Guard简介 62.1.1理解DHCP 在典型的DHCP环境中,DHCP服务器负责网络中地址的管理和分配,网络中的主机如果想要使用网络资源,必须向DHCP服务器申请合法的网络地址,只有获得了合法地址的客户端才能正常使用网络; 图 1.正常的DHCP地址分配 然而仅仅依靠服务器/客户端这种模型完全无...
HuaWei ❀ IP源防护概述
无糖可乐没有灵魂
06-12 764
IPSG源防护概述概述 IPSGIP Source Guard的简称,IPSG可以防范针对源IP地址进行欺骗的攻击行为 随着网络规模越来越大,基于源IP的攻击也逐渐增多,一些攻击者利用欺骗的手段获取网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露,IPSG针对源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗网络的攻击行为; IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查,当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值