疫情當前 網路安全更重要——IPSG特性
IPSG是IP Source Guard的簡稱。IPSG可以防範針對源IP地址進行欺騙的攻擊行為。 |
隨著網路規模越來越大,基於源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網路資源,取得合法使用網路資源的許可權,甚至造成被欺騙者無法訪問網路,或者資訊洩露。IPSG針對基於源IP的攻擊提供了一種防禦機制,可以有效的防止基於源地址欺騙的網路攻擊行為。
IPSG功能是基於繫結表(DHCP動態和靜態繫結表)對IP報文進行匹配檢查。當裝置在轉發IP報文時,將此IP報文中的源IP、源MAC(Media Access Control)、介面、VLAN(Virtual Local Area Network)資訊和繫結表的資訊進行比較,如果資訊匹配,表明是合法使用者,則允許此報文正常轉發,否則認為是攻擊報文,並丟棄該IP報文。
一般部署在靠近使用者的接入交換機(也可以在匯聚或者核心交換機)上,可以防範針對源IP地址進行欺騙的攻擊行為,如非法主機仿冒合法主機的IP地址獲取上網許可權或者攻擊網路。主要應用場景如下:
場景1:通過IPSG防止主機私自更改IP地址 主機只能使用DHCP Server分配的IP地址或者管理員配置的靜態地址,隨意更改IP地址後無法訪問網路,防止主機非法取得上網許可權。 印表機配置的靜態IP地址只供印表機使用,防止主機通過仿冒印表機的IP地址訪問網路。
場景2:通過IPSG限制非法主機接入(針對IP地址是靜態分配的環境) 固定的主機只能從固定的介面接入,不能隨意更換接入位置,滿足基於介面限速的目的。 外來人員自帶電腦不能隨意接入內網,防止內網資源洩露。 對於IP地址是DHCP動態分配的環境,一般是通過NAC認證(比如Portal認證或802.1x認證等)功能實現限制非法主機接入。
採用如下的思路在Switch上配置IPSG功能(假設使用者的IP地址是靜態分配的):
介面使能IP報文檢查功能。連線HostA和HostB的介面都需要使能該功能。
配置靜態繫結表,對於靜態配置IP的使用者建立繫結關係表。
(1) 配置IP報文檢查功能
system-view [HUAWEI] sysname Switch [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在連線HostA的GE0/0/1介面使能IP報文檢查功能。 [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在連線HostA的GE0/0/1介面使能IP報文檢查告警功能並配置告警閾值。 [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在連線HostB的GE0/0/2介面使能IP報文檢查功能。 [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在連線HostB的GE0/0/2介面使能IP報文檢查告警功能並配置告警閾值。 [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 [Switch-GigabitEthernet0/0/2] quit
(2) 配置靜態繫結表項
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA為靜態繫結表項。
(3) 驗證結果
在Switch上執行 命令可以檢視繫結表資訊。
display dhcp static user-bind all
原文地址: https://www.linuxprobe.com/ipsg-switch.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2675647/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網路安全之IPSG防止DHCP動態主機私自更改IP地址
- 網路安全真的很重要嗎?學網路安全
- 前美國政府網路安全總管當選ICANN總裁
- wegame當前上網環境異常,請更換網路環境怎麼解決GAM
- Flutter獲取當前網路型別Flutter型別
- 伴隨疫情的網路安全風險
- 網路安全領域的重要性
- 教育網路安全實踐丨如何讓科研院所網路更安全?
- 抗疫大戰當前,如何防止第二波網空疫情再起?
- 安全專家:當前網銀安全存在四大問題
- 當前技術選擇對企業未來造成哪些網路安全威脅?
- TLSv 1.3 網路安全標準通過 帶來更安全的網路環境TLS
- 金山發2009年病毒疫情及網際網路安全報告
- 360網路空間安全教育雲平臺|疫情期間網路安全防範建議
- 從疫情起伏思考網路安全未來防護思路
- 網路抓取對於現當代企業的重要性
- 網路安全等級保護真的很重要嗎?
- 哪些人更適合學習網路安全?
- 更安全的rm命令,保護重要資料
- Socks Proxy如何讓你更安全的瀏覽網際網路
- 因為網路安全的重要性打算學習linuxLinux
- JS在瀏覽器中判斷當前網路狀態JS瀏覽器
- 王一博手機號被粉絲打爆,網際網路時代網路安全多重要?
- 江民科技釋出疫情期間網路安全防範建議
- 疫情當前,消毒、配送、巡檢、送餐……機器人在行動機器人
- 國密SSL證書:保障中國網路安全的重要利器
- js-----時間格式化、獲取當前網頁路徑JS網頁
- 當前深度神經網路模型壓縮和加速都有哪些方法?神經網路模型
- 新冠疫情應對給網路安全工作的幾點啟示
- 華為雲:網路安全愈發重要,企業該如何保障自身業務安全?
- 疫情當前,中安威士助力支撐聯防聯控工作
- IBM推出區塊鏈雲服務,可打造更安全網路IBM區塊鏈
- 360安全大腦再完成重要落子佈局 網路安全產業基地落地青島產業
- 綠盟科技李晨:疫情對我國網路安全市場的影響
- 網路安全專家成後疫情時代最受追捧專業人員
- 【網路安全】知名網路安全企業有哪些?
- 做網路安全防護前,我們需要了解那些網路攻擊的表現形式
- Linux當前當前程式Linux