一阶段加二阶段
一阶段
ip网络基础
ip
同一网段主机访问分析:
不同网段路由转发,
不同网段第一次通信,需要获取网关的mac地址,以网关地址做中间人转发。
不同网段 PC 第一次通信简述 当不同网段的 PC 第一次通信时,主要经过以下几个关键步骤:
网段判断 源 PC 检查目标 IP 是否在同一网段 发现不在同一网段,决定通过网关转发
ARP 地址解析 源 PC 发送 ARP 广播请求网关的 MAC 地址 网关响应 ARP 请求,提供自己的 MAC 地址 源 PC 缓存网关的 IP-MAC 映射
数据包封装发送 源 PC 封装数据包,目标 MAC 设为网关 MAC 通过交换机将数据包转发到网关
网关路由转发 网关接收数据包,检查目标 IP 查询路由表,确定转发接口 发送 ARP 请求获取目标 PC 的 MAC 地址 重新封装数据包,转发到目标网段
目标 PC 接收响应 目标 PC 接收数据包并处理 按相同路径返回响应数据 核心要点:通过 ARP 协议获取 MAC 地址,依靠路由器进行跨网段转发,每跳都需要重新封装数据链路层头部。整个过程涉及 ARP 地址解析、路由查找、数据包封装和转发等关键技术。
pc请求地址,服务器分配地址,单播回复时pc没有IP地址,服务器回复的包封装的目的地址是谁
数据链路层:使用 PC 的 MAC 地址作为目的地址 网络层:使用即将分配给 PC 的 IP 地址作为目的地址
环路是怎么产生的?
二层环路产生的根本原因是交换机的广播泛洪机制与网络中存在的物理环路结构之间的根本性冲突
同一个局域网的两台设备如何通信?
TCP/IP协议簇之传输层
tcp:提供面向连接,可靠的,有序的,有流量控制的传输服务
udp:无连接,不可靠,无序的,无流量控制的传输服务
工程师必备—–测试网络连通性 Ping 测试网络的连通性及通信质量 发送方发送ICMP echo request 接收方收到后,回应ICMP echo reply Tracert 探测到target 主机所经过的三层设备的接口IP 源主机发送到target IPTTL置1的探测包 中间设备收到探测包,TTL减1,如果等于0,则丢弃 探测包,并向源回应超时错 源主机收到ICMP超时错,TTL在上一个探测包的基础 上加
IP 地址分类
特殊的 IP 地址
为什么需要子网划分?
可用主机数2^n-2。
主网互联弊端,直接使用A、B、C类主网络进行互联,路由器的每一个接口都要使用不同的网段
主网互联的弊端:网段不足。浪费地址。
路由器丢弃了目标IP为192.168.5.3的数据包,请结合网络层功能逐条分析可能原因。 答案: ① 寻址失败:路由表无192.168.5.0/24表项 ② 路由策略:ACL禁止该IP通信 ③ 生存时间超限:TTL=0被丢弃 ④ 分片问题:DF标志位阻止分片但MTU不足
tcp/ip之协议基础
ip协议的特点
IP地址是无连接的,尽力而为的服务,IP数据包传输是无序的,不可靠(只发不管收)
OSI参考模型分层 OSI参考模型第4层(传输层)的核心功能是什么?请列举两个该层的典型协议。 (答案:端到端连接;TCP、UDP、SPX)
tcp协议号6,udp协议号17
MTU与IP分片
MTU(最大传输单元)
– 链路层MTU:链路层能传的最大的帧,含链路层头部。
– 网络层MTU:网络层能传的最大的包,含网络层头部。
路由器与ip分片
数据包大于入接口丢弃,
数据包大于出接口,分片(DF=1),IP分片只在目标主机说重组。
tcp协议概述
tcp是面向连接(三次握手),全双工(双向通信),tcp提供有序的数据传输,tcp数据传输可靠(包头中含有校验和可对数据进行校验,并具有超时重传机制重传丢失的数据)
TCP提供高质量的传输服务,通过滑动窗口机制实现流量控制。
tcp适用于可靠性要求高的应用。
tcp包头结构
编码位(TCP Flag)
– FIN: 结束标志;为1时,请求断开连接。
– SYN:同步标志;为1时,请求建立连接。
– RST:复位标志;为1时,请求重新建立TCP连接。
– PSH:通知接收端立即将数据交给用户进程,不要停留在缓存中
,等待更多的数据。
– ACK:确认标志;确认号有效位,表明该数据包包含确认信息。
tcp工作机制
tcp连接建立–TCP MSS
网络设备干预TCP MSS协商,可解决大TCP报文不通问题
传输确认机制,超时重传机制,双向传输机制,四次断开机制
tcp流量控制-滑动窗口机制
udp无连接,不可靠,只有简单的校验和机制只能做简单的差错控制,udp没有流量控制,udp包头小,开销小,传输效率高
上层标识协议
– 上层协议标识
– 常见以太网类型号
– 常见IP协议号
– 常见TCP/UDP端口号
:IGMP 是互联网组管理协议,它用于在局域网内管理组播组的成员。
总结:IGMP 是网络高效传输一对多数据(组播)的基础协议,它确保了只有真正想接收数据的客户端才会收到数据流,从而极大地节省了网络带宽。
简单来说:IGRP 是思科公司在1980年代开发的内部网关路由协议,它是一种距离矢量协议,用于在自治系统内部自动发现和维护路由信息。
TCP/IP常用协议
ARP(地址解析协议)
– ARP是网络层协议,在同一广播域内,将IP地址解析成MAC地址
ARP封装与报文格式
– 硬件类型:1(以太网)
– 协议类型:0x0800(IP)
– 硬件地址长度:6(MAC地址长度)
– 协议地址长度:4(IP地址长度)
– 操作:
• 1(ARP请求,二层封装广播,目的MAC为FFFF-FFFF-FFFF)
.2(ARP应答,二层单波)
无故ARP
使用广播方式主动发送自己IP地址的ARP。
– 请求型无故ARP (请求自己IP的mac地址,用于重复IP地址检测。
应答型无故ARP
–刷新其他主机或设备的ARP表,mac地址表。
SSL的核心作用是为网络通信提供安全保护,主要解决三个问题:
加密:对传输的数据进行加密,防止被窃听,确保机密性。
认证:通过数字证书验证服务器身份,确保你连接的是真实、可信的对方,防止冒充。
完整性:通过校验机制确保数据在传输过程中未被篡改。
简单来说,SSL/TLS就像是为互联网通信安装了一个“装甲运钞车”,将原本像“寄明信片”一样公开、易被窃取和篡改的HTTP通信,变成了安全、私密的HTTPS通信。
SSL/TLS协议主要应用于所有需要安全网络通信的场景,为核心数据提供加密和身份保障。
主要应用包括:
网站访问 (HTTPS):最常见应用,保护网页浏览、登录、支付等操作,浏览器地址栏的“🔒”就是标志。
电子邮件:加密邮件的收发过程(如SMTPS, IMAPS),防止邮件内容泄露。
API接口:保护手机App、前端与服务器后台的数据传输安全。
即时通讯:为聊天消息(如WhatsApp, Signal)提供端到端加密的基础。
远程接入 (VPN):构建加密隧道,让员工能安全地访问公司内网资源。
总而言之,它为任何在互联网上流动的数据提供了一个“安全传输通道”
NMAP(Network Mapper)是一款用于网络发现和安全审计的工具,它能够收集目标主机的多种信息。具体来说:
操作系统类型:NMAP 可以通过操作系统指纹识别技术(如使用
-O
端口服务信息:NMAP 能够扫描目标主机的开放端口,并识别这些端口上运行的服务及其版本(如使用
-sV
封装与解封装 数据包在OSI参考模型传输过程中,网络层封装的PDU名称是什么?该PDU在数据链路层会被进一步封装成什么? (答案:Packet(包);Frame(帧))
TCP/IP与OSI对应关系 在TCP/IP五层模型中,OSI的”会话层”和”表示层”功能被合并到哪一层? (答案:应用层OSI参考模型分层 OSI参考模型第4层(传输层)的核心功能是什么?请列举两个该层的典型协议。 (答案:端到端连接;TCP、UDP、SPX)
封装与解封装 数据包在OSI参考模型传输过程中,网络层封装的PDU名称是什么?该PDU在数据链路层会被进一步封装成什么? (答案:Packet(包);Frame(帧))
TCP/IP与OSI对应关系 在TCP/IP五层模型中,OSI的”会话层”和”表示层”功能被合并到哪一层? (答案:应用层
单选题
关于OSI模型分层职责 题目: 某网络工程师发现设备无法识别JPEG图片格式,该问题应定位在OSI参考模型的哪一层? A) 应用层 B) 表示层 C) 会话层 D) 传输层
答案:B 解析:
核心考点:表示层功能(数据格式转换/编码)
PPT明确表示层负责”定义数据格式与结构”(如ASCII、JPEG、MPEG)。
干扰项分析:应用层(A)提供网络服务接口,会话层(C)管理会话连接,传输层(D)处理端到端传输。
举一反三:若网页文字乱码(字符编码错误)同样定位表示层。
IP分片机制实战 题目: 一个原始IP数据包总长4080字节(包头20字节),DF标志位为0。若需穿越MTU=1500的链路,最终第三个分片的”数据载荷”长度是多少? A) 1020字节 B) 1000字节 C) 1480字节 D) 1500字节
答案:B 解析:
核心考点:IP分片计算(偏移量单位=8字节)
分片过程:
第一片:20字节头 + 1480数据(满足1500 MTU)
第二片:20字节头 + 1480数据
剩余数据:4080-20(头)-1480×2=1000字节 → 第三片:20字节头 + 1000数据
干扰项分析:选项C(1480)是标准分片数据长度,选项D(1500)含包头。
举一反三:若DF=1(禁止分片),数据包将被丢弃并触发ICMP错误。MF (More Fragments) 标志:除最后一个片段外,其他片段都设置为 1
TCP连接建立过程 题目: 在TCP三次握手期间,客户端收到服务器的SYN-ACK报文后,若其响应报文的”确认号”字段值为500,这表示什么? A) 客户端初始序列号为500 B) 服务器初始序列号为500 C) 客户端期望下次收到服务器序号500 D) 服务器下次发送的数据序号从500开始
答案:C 解析:
核心考点:TCP序号/确认号机制(ACK=X+1表示期望收到X+1字节)根据PPT:第二次握手ACK=X+1(X为客户端SYN序号),因此ACK=500说明客户端已收到服务器序号499,期望接收500。
干扰项分析:选项A/B混淆序列号来源,选项D误解确认号作用。
举一反三:若第三次握手ACK丢失,服务器会重传SYN-ACK(TCP保活机制)。
UDP协议适用场景 题目: 某实时在线游戏需高频传输玩家位置坐标(允许少量丢包),选用UDP而非TCP的核心原因是? A) UDP提供端到端流量控制 B) UDP头部开销小于TCP C) UDP无需建立连接降低延迟 D) UDP支持数据重传保障可靠性
答案:C 解析:
核心考点:UDP无连接特性 vs TCP可靠性代价
PPT强调:UDP”无连接、无重传、无流量控制”,适合延迟敏感应用(如实时视频/游戏)。
干扰项分析:
A:UDP无流量控制(TCP特性)
B:UDP头8字节 vs TCP头20字节,但非主因
D:UDP不提供重传(与需求矛盾)
举一反三:DNS使用UDP+重试机制平衡效率与可靠性。
协议标识关联 题目: 捕获到一个以太网帧,其”类型字段”值为0x0806。该帧封装的网络层协议及作用是? A) IPv4,路由寻址 B) IPv6,下一代IP通信 C) ARP,解析MAC地址 D) ICMP,传输错误消息
答案:C 解析:
核心考点:以太网类型号与协议映射(PPT表格扩展)
PPT提到0x0800(IPv4)/0x86DD(IPv6),补充:0x0806对应ARP协议。
干扰项分析:选项A(0x0800)、B(0x86DD)、D(ICMP属于IP层协议,无独立类型号)。
举一反三:若类型字段为0x0800且IP协议号=1,则载荷为ICMP报文。
多选题:
1. OSI模型分层职责辨析
题目: 某工程师排查网络故障时发现:网页文字显示乱码,且JPEG图片无法解析。该问题可能涉及OSI模型的哪些层级?( ) A) 应用层 B) 表示层 C) 会话层 D) 传输层
答案:AB 解析:
核心考点
:表示层核心功能(数据格式转换)
PPT明确表示层负责”定义数据格式与结构”(如ASCII编码、JPEG格式),乱码和图片解析失败均属该层问题。
关键延伸
应用层(A)若存在配置错误(如字符集设置),也可能导致乱码,需联合排查。
干扰项排除
会话层(C)管理会话连接,传输层(D)负责端到端传输,均不涉及数据格式解析。
举一反三:视频播放花屏 → 表示层(视频编码错误)或应用层(解码器故障)。
IP分片机制全场景 题目: 一个原始IP数据包长4000字节(包头20字节),需穿越MTU=1500的链路。若DF标志位=0,下列描述正确的是?( ) A) 第一个分片的数据部分长度为1480字节 B) 第三个分片的偏移量值为370 C) 若DF=1,路由器将丢弃包并回复ICMP错误 D) 所有分片的标识字段值相同
答案:ABCD 解析:
分片计算逻辑:
数据总长:4000-20=3980字节
第一片:20头 + 1480数据 → 长度1500(A正确)
第二片:20头 + 1480数据
第三片:20头 + 1020数据 → 偏移量=(1480+1480)/8=370(B正确)
策略机制:
DF=1时禁止分片,触发ICMP类型3代码4错误(C正确)
所有分片标识字段相同以重组(D正确)
举一反三:若MTU=1400,则分片数增至4片,偏移量计算需按8字节单位重新推导。
协议标识与封装 题目: 捕获到某以太网帧的类型字段值为0x0800。该帧可能承载的协议及特征包括?( ) A) 传输层为TCP时,IP头部协议号=6 B) 若载荷含SYN标志,则一定是TCP连接建立报文 C) 目标端口号53表明应用层为DNS,且一定使用UDP D) IP分片时,”更多分片”标志位MF=1的分片携带传输层头部
答案:AB 解析:
协议号映射:
0x0800标识IPv4(PPT表格隐含),IP协议号6对应TCP(A正确)
SYN标志仅出现在TCP首包(B正确)
深度辨析:
C:错误!DNS可基于TCP(如区域传输),端口53≠强制UDP
D:错误!仅第一个分片携带传输层头(后续分片无端口号)
举一反三:类型字段0x0806 → ARP协议(地址解析),无传输层封装
分层模型实战诊断 题目: 某服务器无法访问网站,抓包显示:
能收到DNS响应(目标端口53)
发送SYN包无回应
下列故障点定位及对应层级正确的是?( )
A) 本地防火墙阻断TCP → 网络层
B) 服务器网关配置错误 → 网络层
C) 网站服务器进程崩溃 → 应用层
D) 客户端MTU设置过大导致分片失败 → 数据链路层
答案:BCD 解析:
分层排查逻辑:
B:网关错误导致IP包无法路由(网络层职责,PPT定义”寻址和路由”)
C:服务进程崩溃属应用层故障(PPT:应用层”提供网络服务”)
D:MTU设置影响分片,属链路层MTU协商问题(PPT:数据链路层”编帧”)
关键纠偏:
A:错误!防火墙过滤TCP属传输层/应用层行为(非网络层)
举一反三:若DNS响应正常但IP不可达 → 网络层路由故障(如B选项)。
TCPIP
标准ARP请求与无故ARP在报文结构和用途上的关键区别
报文结构:
标准ARP请求:目标MAC地址为全F(广播),目标IP为待解析地址
无故ARP:目标MAC地址为全0或全F,发送端IP和目标IP均为本机IP
用途差异:
标准ARP:主动解析目标IP的MAC地址
无故ARP:① 检测IP地址冲突(请求型);② 主动刷新其他设备的ARP表(应答型)
Q3:网络中出现大量无故ARP报文可能预示什么问题?如何验证?
可能问题:
① IP地址冲突(设备频繁发送请求型无故ARP检测冲突)
② 网络拓扑变更(如虚拟机迁移触发应答型无故ARP刷新交换机MAC表)
| 操作码 | 十六进制 | 报文类型 | 描述 |
|---|---|---|---|
| 1 | 0x0001 | ARP Request | ARP 请求报文,用于查询目标 IP 地址对应的 MAC 地址 |
| 2 | 0x0002 | ARP Reply | ARP 响应报文,用于回应 ARP 请求,提供 MAC 地址信息 |
| 3 | 0x0003 | RARP Request | 反向 ARP 请求,用于查询自身 IP 地址 |
| 4 | 0x0004 | RARP Reply | 反向 ARP 响应,用于为请求者分配 IP 地址 |
当主机收到ICMP目的不可达报文时,如何根据”代码”字段判断故障根源?
代码0(网络不可达):路由器无目标网络路由 → 检查路由配置
代码1(主机不可达):ARP解析失败或主机离线 → 排查目标主机状态
代码3(端口不可达):目标服务未监听 → 验证应用进程状态
代码4(需要分片但DF置位):MTU不匹配 → 调整MTU或启用分片
1.ICMP重定向的作用是什么?
当路由器发现数据包当前传输路径并非最优,向原主机发送ICMP重定向报文,更新路径。
2.为什么工程中要关闭重定向,
出于安全性考虑,避免攻击者伪造ICMP报文,劫持流量。
控制权问题:路由器专注于路由策略,并非重定向。
错误的重定向,可能会导致环路。
ICMP和重定向和ARP的qun
dns
常见的dns类型及作用?
记录类型 作用 示例 A 域名→IPv4地址 www → 192.0.2.1 AAAA 域名→IPv6地址 www → 2001:db8::1 CNAME 域名别名→规范域名 blog → www.example.com MX 邮件服务器地址 @ → mail.example.com NS 指定域名的权威DNS服务器 @ → ns1.example.com
DNS域名解析过程
先本地查询——>本地dns服务器(递归查询)——>根域(迭代cn->com.cn->sina.com.cn)
FTP
ftp两种传输模式的区别?
主动模式:服务器主动连接,服务器 TCP 20 → 客户端随机端口,容易被防火墙拦截
被动模式:客户端主动连接,客户端 → 服务器随机端口,穿透防火墙
Telnet
为什么现代网络不建议用Telnet?
不安全。
Telnet与SSH的区别?
特性 Telnet SSH 加密 明文 AES/3DES等强加密 端口 23 22 认证安全 弱密码认证 密钥认证+证书 典型场景 老旧设备调试(逐渐淘汰) 现代服务器管理标准
选择题
题目4:查看ARP表时,Windows系统显示”dynamic”条目说明? A. 静态绑定的永久条目 B. 动态学习且会超时失效 C. 代理ARP生成的缓存 D. RARP服务器下发的记录
答案:B 解析:
文档对比三系统ARP表:Windows中dynamic表示动态学习条目(对比static静态条目),默认超时时间后自动删除。
代理ARP/RARP不改变条目类型特性。
题目5:网络抓包发现某ARP帧的”类型”字段为0x0806,但操作码为3。可能的原因是? A. 非法ARP攻击 B. RARP协议报文 C. 应答型无故ARP D. ICMP协议透传
答案:B 解析:
关键字段解析:
类型0x0806:标准ARP帧标识(文档明确)
操作码3:RFC 903定义RARP请求操作码(文档提到RARP但未详解,需拓展知识)
标准ARP操作码仅1(请求)/2(应答),无故ARP仍用操作码1或2。
题目6:某主机频繁发送目标IP为网关的ARP请求,最可能的原因是? A. 网关开启了代理ARP功能 B. 主机ARP缓存条目老化速率异常 C. 网络中存在IP地址冲突 D. 交换机MAC地址表溢出
答案:B 解析:
文档指出动态ARP条目有老化时间(如Windows默认10-45秒)。若主机频繁请求网关MAC,说明缓存无法持久保存(可能被手动清除或系统加速老化)。
代理ARP(A)不会导致频繁请求,IP冲突(C)通常触发无故ARP,交换机问题(D)影响帧转发而非ARP行为。
题目7:Linux系统中”arp -d”命令的作用是? A. 永久删除静态ARP条目 B. 清空动态学习的所有ARP缓存 C. 仅删除指定IP的ARP条目 D. 禁用ARP协议栈
答案:C 解析:
文档对比系统命令:Linux的arp -d <IP>用于删除指定条目(对比Windows的arp -d *清空全部)。
静态条目需用arp -d+-i参数删除,动态条目默认可删除(B不准确)。
题目8:网络抓包发现某ARP应答帧的源MAC与目标MAC相同,可能暗示? A. 正常的主机自我应答 B. 中间设备NAT转换错误 C. ARP欺骗攻击正在进行 D. 交换机生成树协议故障
答案:C 解析:
合法ARP应答中源MAC应为应答者真实地址。若源/目标MAC相同(即请求者MAC被冒用),属于典型的ARP欺骗(如攻击者伪造应答劫持流量)。
自我应答(A)仅出现在无故ARP请求中,NAT(B)和STP(D)不修改MAC层信息。
题目9:某主机配置了静态ARP绑定,但仍收到动态ARP更新,问题根源是? A. 静态条目格式错误 B. 系统未启用ARP缓存保护 C. 网络中存在冲突的代理ARP D. 防火墙拦截了ARP响应
答案:B 解析:
文档强调静态ARP需配合系统级保护(如Linux的arp -f /etc/ethers加载永久条目)。若系统允许动态覆盖静态条目,说明未启用写保护机制。
格式错误(A)会导致绑定失败而非被覆盖,代理ARP(C)不影响本地缓存优先级。
题目12:某企业网中PC突然无法访问互联网,但本地ARP缓存中网关MAC正确。抓包显示PC持续发送目标IP为DNS服务器的ARP请求,最可能的原因是? A. 核心交换机启用私有VLAN隔离 B. 默认网关配置成DHCP服务器地址 C. 防火墙策略阻断了53端口UDP D. 路由器的ARP代理范围配置错误
答案:D 解析:
当路由器代理ARP作用域错误(如未包含DNS服务器所在子网),PC误认为DNS服务器与自己在同一广播域,持续发送ARP请求而非通过网关路由。
PVLAN(A)影响本地通信,错误网关(B)会导致无法发出ARP,防火墙(C)不影响地址解析阶段。
题目14:某金融网络部署了ARP防火墙,但管理员发现仍有主机被ARP欺骗攻击。可能绕过防护机制的方法是? A. 构造TTL过期的IP分片 B. 发送源MAC为广播地址的ARP应答 C. 利用ICMPv6重定向覆盖NDP缓存 D. 伪装成DHCP服务器下发错误网关
答案:C 解析:
传统ARP防火墙仅监控IPv4 ARP流量。攻击者通过ICMPv6重定向污染NDP缓存(IPv6环境),可间接实现类似ARP欺骗的效果。
广播MAC(B)会被交换机过滤,DHCP欺骗(D)影响IP分配而非直接地址解析,IP分片(A)与ARP无关。
VLAN技术
层次化网络互连
– 层次化网络架构
• 核心层:高速数据交换
• 汇聚层:设备汇聚及流量收敛
• 接入层:终端接入及访问控制
VLAN的概念及应用场景
VLAN:Virtual Local Area Network
VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO 模型的第二
层网络。VLAN的划分不受网络端口的实际物理位置的限制。第二层的单播、广播
和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。
形象地说,交换机VLAN技术就是将1台物理交换机划分为若干台逻辑上完全独立的交换机
VLAN的作用:逻辑隔离广播域、提升安全性、灵活组网。
基于端口,mac地址,子网,协议
允许多个VLAN通过,可以接收和发送多个VLAN的数据帧
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口允许多个VLAN的以太网帧不带标签
Trunk端口只允许缺省VLAN的以太网帧不带标签
原理:基于端口/MAC/IP划分VLAN;Trunk链路(802.1Q标签)跨交换机传输多VLAN流量。
对比表:
设备 工作层 转发依据 主要功能 二层交换机 2 MAC地址 VLAN隔离、帧转发 三层交换机 2+3 MAC/IP地址 VLAN间路由、ACL 路由器 3 IP地址 跨网段路由、NAT、防火墙
用户无法访问同一个VLAN的服务器是什么原因
排错:① 检查物理链路(网线/端口指示灯); ② 确认终端与服务器IP/Mask是否同网段; ③ 验证交换机端口VLAN配置一致性; ④ 检查ARP表是否有服务器MAC记录。
题目1:在层次化网络设计中,接入层交换机使用百兆端口(FE),核心层使用万兆端口(10GE)的主要目的是? A. 降低核心层设备成本 B. 避免广播风暴扩散 C. 实现”千兆骨干,百兆桌面”的带宽优化(参考答案) D. 提高VLAN划分的灵活性
解析: 根据PPT拓扑图”万兆作骨干,百兆到桌面”的设计,核心层高速交换(10GE)保障骨干流量,接入层低速端口(FE)匹配终端需求。选项C符合层次化设计带宽分配原则,其他选项未体现带宽分级思想。
题目4:在网络改造中,原使用HUB连接的20台主机频繁发生卡顿。若替换为交换机但仍保持单广播域,会改善什么问题? A. 彻底消除广播风暴 B. 解决冲突域过大的问题(参考答案) C. 自动划分VLAN D. 提升网络层安全性
解析: PPT中”冲突域”部分强调:HUB所有端口属同一冲突域,而交换机每个端口独立冲突域。替换后虽广播域未变(仍单广播域),但冲突域缩小可解决共享带宽的卡顿问题(选项B)。广播问题需通过VLAN解决(选项A错误)。
题目7:华为交换机Hybrid接口与Access接口的核心区别是? A. Hybrid接口只能加入一个VLAN B. Hybrid接口可灵活指定发送时是否携带VLAN标签(参考答案) C. Hybrid接口必须配合Trunk接口使用 D. Access接口支持802.1Q协议封装
解析: 根据PPT”Hybrid口特性”,Hybrid接口允许同时以tagged(带标签)和untagged(无标签)方式处理多VLAN流量(如同时连接服务器和IP电话),而Access接口仅支持untagged单一VLAN(选项B正确)。A/D描述相反,C为错误限制条件。
题目8:某学校机房频繁调整座位,希望学生换座位后自动归属对应VLAN。最合适的VLAN划分方式是? A. 基于交换机端口 B. 基于MAC地址 C. 基于IP子网(参考答案) D. 基于协议类型
解析: PPT指出”基于IP子网的VLAN适合移动场景”。学生IP地址固定时,换物理端口(不同交换机端口)仍能根据IP自动划分VLAN(选项C)。端口划分(A)需手动修改,MAC划分(B)管理成本高,D适用于特定业务流量隔离。
题目9:部署IP电话时,通常将语音流量与办公数据流量划分到不同VLAN。这样做的主要目的是? A. 降低交换机功耗 B. 保障语音流量低延迟(参考答案) C. 扩大广播域范围 D. 减少IP地址消耗
解析: PPT”VLAN典型应用”中提到”服务质量(QoS)优化”。隔离语音流量(VLAN2)和数据流量(VLAN3)可优先调度语音包,避免数据流量拥塞导致通话卡顿(选项B)。A/D与VLAN无关,C违背VLAN设计初衷。
VLAN间路由技术
VLAN的缺点
VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任
何流量,分属于不同VLAN的用户不能互相通信。
VLAN间互通需求
– 某局域网由5台交换机组成,根据所连接的业务不同,划
分为以下的几个功能区:
• 财务区、办公区、服务器区、来宾区
• 用户希望对财务区和其他区之间进行隔离,财务区和
其他区之间不能互相访问,但都能访问服务器区。
• 财务vlan需要访问服务器vlan;其他vlan也需要访问
服务器vlan。
VLAN间互通原理
• 不同VLAN+不同广播域+不同IP网段+不同路由器接口=三层
路由通信,即VLAN间互通原理=VLAN间路由;
• 在二层交换机上配置VLAN,每一个VLAN使用一条独占的物
理连接连接到路由器的一个接口上
使用VLAN Trunking—–单臂路由
二层交换机和路由器之间相连的接口配置VLAN
Trunking,使多个VLAN共享同一条物理链路连接到
路由器
三层交换机接口介绍
• 三层交换机上的接口
– 二层接口(switchport:Access、Trunk)
– 三层接口(no switchport)
• 关闭了二层转发功能而开启了路由转发功能的物理接
口。
– VLAN路由接口(SVI)
• 三层交换机的内部路由接口,它将特定VLAN连接到
三层转发引擎
适用场景 局限性
单臂路由 小型网络、成本敏感、VLAN数量少 带宽瓶颈(Trunk链路拥塞)、单点故障 三层交换机 中大型网络、高吞吐需求 设备成本高、配置复杂度稍高
单臂路由通过子接口+Trunk实现多VLAN路由,但所有流量集中到单物理链路,易成瓶颈。
三层交换机通过SVI(VLAN接口) 或三层物理接口直接路由,转发效率高(硬件ASIC加速)
问题1:三层交换机如何同时处理VLAN 10与VLAN 20的互访流量?结合其“二层转发引擎+三层路由引擎”架构说明数据流转过程。
1.首包路由:
PC1(VLAN 10)访问PC2(VLAN 20),发送ARP请求网关(SVI 10)。
三层交换机检查目的IP(若跨网段),交由三层引擎路由,生成MAC表项(目标MAC=SVI 20的MAC)。
2.0后续包交换:
后续流量直接由二层引擎按MAC表转发(一次路由,多次交换),无需再经三层引擎。
解析:5
SVI接口是关键:每个VLAN对应一个虚拟路由接口(如interface vlan 10),提供网关并执行路由。
硬件加速: 三层交换机通过TCAM芯片直接转发跨VLAN流量,延迟远低于传统路由器。
问题2:
配置纠错 Q: 工程师在三层交换机上配置VLAN间路由时,写下以下命令:
interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.00 ! interface vlan 10 ip address 10.1.1 255.255.255.255.0
但VLAN 10内主机无法访问其他VLAN。请指出错误并修正。
1.0:错误: 物理接口G0/1未关闭二层模式(默认是二层接口),直接配置IP无效。
修正:
interface GigabitEthernet0/1 no switchport ! 启用三层功能 ip address 192.168.1.1 255.255.255.0
三层交换机的物理接口默认为二层模式(switchport)。若需作为路由接口,必须用no switchport切换为三层模式。
SVI接口(interface vlan X) 本身是三层逻辑接口,无需此操作。
单选题
题目1:某企业划分财务VLAN、办公VLAN和服务器VLAN,要求财务区与办公区隔离,但均可访问服务器区。以下方案可行的是? A. 在二层交换机上将财务VLAN和服务器VLAN加入同一端口 B. 为财务VLAN和办公VLAN配置相同的IP网段 C. 通过三层交换机为各VLAN配置SVI接口并设置ACL D. 将服务器VLAN的端口模式改为Trunk
正确答案:C
题目2:关于VLAN间路由原理,以下描述错误的是? A. 不同VLAN属于不同广播域和IP网段 B. 单臂路由通过物理接口划分子接口实现多VLAN路由 C. 三层交换机的SVI接口本质是虚拟的逻辑接口 D. 三层交换机的物理接口可直接配置IP地址且不需启用路由功能
正确答案:D
题目4:以下关于三层交换机SVI接口的描述,正确的是? A. SVI接口需绑定到特定物理端口 B. 每个VLAN必须创建对应的SVI接口才能互通 C. SVI接口的IP地址通常作为该VLAN内主机的网关 D. SVI接口只能用于VLAN间路由,不能连接终端设备
正确答案:C
解析:
A错:SVI是逻辑接口,不依赖物理端口(如PPT中interface vlan 10)。
B错:仅需为需要跨VLAN通信的VLAN创建SVI(如隔离VLAN可不配)。
C正确:SVI的IP即该VLAN的三层网关(PPT图示中GW地址指向SVI)。
D错:终端设备可通过二层端口接入VLAN,网关指向SVI实现跨网段通信。
题目5:针对财务VLAN需隔离办公VLAN但均能访问服务器VLAN的需求,最优部署方案是? A. 使用单臂路由,在路由器子接口配置ACL B. 使用三层交换机,在SVI接口间配置静态路由 C. 使用三层交换机,在服务器VLAN的SVI接口配置允许访问的ACL D. 使用三层交换机,在财务VLAN的SVI接口配置拒绝访问办公VLAN的ACL
正确答案:D
解析:
A可行但非最优:单臂路由性能低于三层交换。
B错误:静态路由无法实现访问控制。
C不精确:在服务器端配置ACL只能控制入站流量,无法限制财务与办公互访。
D正确:在财务VLAN的SVI出方向配置ACL拒绝访问办公VLAN网段,同时允许访问服务器VLAN(符合PPT中访问控制需求)。
关键点:ACL应部署在流量源所在的SVI接口以实现精准控制。
路由
面试官问:“解释一下什么是浮动路由?”
你可以这样回答:
“浮动路由是一种实现网络冗余备份的技术,核心是为同一个目的网络配置一条主路由和一条或多条备份路由。
它的实现原理是基于管理距离这个参数。我们通过手动设置备份静态路由的管理距离高于主路由,使得备份路由在正常情况下不会出现在路由表中,处于‘浮动’的待命状态。
当主路由因链路故障等原因失效并从路由表中删除后,这条备份路由就会因为成为唯一可选路由而被激活,加入到路由表中,承担起数据转发的任务,从而保证了网络的连续性。当主路由恢复时,由于其管理距离更小,优先级更高,它会自动抢回主导权,而备份路由再次退回浮动状态。
这是一种在中小企业网络中非常经济、常见的提供链路冗余的方案。”
好的,等价路由 是另一个重要的网络概念,与“浮动路由”形成鲜明对比,它用于实现负载均衡。
一、核心定义:一句话理解等价路由
等价路由 是指去往同一个目的地网络,存在多条度量值完全相同的路径。这些路径会被路由器同时加入到路由表中,用于对数据流量进行负载分担。
简单比喻:
想象一个十字路口,去往同一个目的地有两条路:
路径A:一条大路,距离5公里。
路径B:另一条大路,距离也是5公里。
规则:交通指挥系统(路由器)会认为这两条路是完全等价的。它会同时利用这两条路来分流车辆(数据包),以减轻单条道路的拥堵压力,提高整体通行效率。
DHCP技术
问题1: 某企业有跨三栋楼的办公网络,核心层部署唯一DHCP服务器。若要求所有终端自动获取IP,但二层交换机无路由功能,需采用什么关键技术?简述其工作原理和与普通DHCP流程的核心差异。
答:DHCP中继(DHCP Relay)
问题2: 管理员发现某打印机IP频繁变化导致无法连接,需固定其地址。现提供三种方案:
① 配置DHCP静态绑定(Manual Allocation) ② 将打印机设为静态IP ③ 设置DHCP地址池租期为无限长(Automatic Allocation) 请分析三种方案的适用场景及潜在风险。
方案 适用场景 风险 ① 需集中管理IP的设备(如服务器、打印机) DHCP服务器故障导致无法获取IP ② 网络规模小或设备无DHCP功能 易引发IP冲突(若未预留地址) ③ 需保留IP但偶尔下线的设备(如会议室终端) 浪费IP资源(地址无法自动回收)
问题3: 客户端在DHCP流程中发送Request报文时,何时采用广播?何时采用单播?请结合租期机制说明原因。
广播发送:
首次请求IP(回应Offer阶段):客户端需告知所有DHCP服务器已选择某Offer,避免多服务器分配冲突。
租期达87.5%时续租失败:重新广播Discover寻找新服务器。
单播发送:
租期达50%时续租:直接联系原服务器(已知其IP),减少广播流量。
问题5:(高阶陷阱题) 客户端收到DHCP ACK后开始使用IP,但突然收到另一服务器的DHCP ACK报文(IP与前者相同)。此时会发生什么?请解释协议如何解决此冲突。
答: 触发IP地址冲突检测!客户端需立即发送DHCP Decline报文告知当前服务器,并重启发现流程(重新广播Discover)。
冲突根源:
多DHCP服务器环境中,地址池重叠或服务器间同步失效导致重复分配。
STP技术
环路引起的问题之一 —— 广播风暴
环路引起的问题之二 —— MAC地址表不稳定
环路的危害总结
环路的现象
交换机端口指示灯以相同频率快速闪烁
交换机MAC地址表震荡
环路的危害—广播风暴
链路堵塞
广播报文在二层网络中不断泛洪,所有链路都被大量的广播报文充斥
主机操作系统响应迟缓
主机网卡接收到大量的广播报文,操作系统调用大量的CPU进程资源来
识别这些广播报文
二层交换机管理缓慢
大量二层协议广播报文需要二层交换机CPU处理,浪费大量资源,对正
常的请求无法响应
冲击网关设备的CPU
对网关IP地址的ARP请求报文,经过环路的复制转发,不断转发到网关,网关设备压力不断大,直到崩溃。
生成树协议的概念及应用场景
• STP(Spanning Tree Protocol,生成树协议)是用于在局域网
中消除数据链路层物理环路的协议。
• 通过在桥之间交换BPDU(Bridge Protocol Data Unit,桥协议
数据单元),来保证设备完成生成树的计算过程 。
stp的作用
通过阻断冗余链路来消除桥接网络中可能存在的路径环路
当前路径发生故障时,激活冗余备份链路,恢复网络连通性
802.1D生成树的原理:
生成树工作原理
配置了生成树的交换机之间通过传递配置BPDU,比较报文中携带的参数,
完成以下工作:
在一组运STP的交换机中选出一个根网桥(Root Bridge)
每个非根交换机选择一个根端口(Root Port RP)
每个交换网段选择一个除根端口之外的转发端口—指定端口
(Designated Port DP)
堵塞其他(非根非指定端口即阻塞端口)端口。
配置BPDU的比较
交换机遵从下面的比较原则,比较各个端口接收或缓存的BPDU,选择
“最优”BPDU
先比较根网桥ID,越小越好
如果根网桥ID相等,根路径开销越小越好
如果根网桥ID和根路径开销相等,发送网桥ID越小越好
如果根网桥ID和根路径开销相等,发送网桥ID越小越好,发送方端口ID越小越好。
STP端口状态迁移
• STP计时器
– Hello Timer(Hello时间)
• 根网桥发送配置BPDU的周期,默认为2秒。
– Forward Delay(转发时延)
• 配置BPDU传播到全网的最大时延,默认为15秒。
– Message Age(消息老化时间)
• 配置BPDU从根网桥生成开始,到当前为止所经过的时间。
– Max Message Age(最大老化时间)
• 配置BPDU存活的最大时间。
• STP默认为20秒。(10个Hello周期)
问题: STP的核心设计是”主动阻塞端口”,这是否降低网络可靠性?
答案: 不会降低可靠性。
原因:
阻塞端口仅阻断冗余链路(非主干链路),主链路故障时被阻塞端口会立即激活;
避免广播风暴/MAC震荡导致的整体网络瘫痪。
问题: 若某交换机从未收到BPDU,其STP决策会如何?这对网络有何风险? 答案
该交换机会自认为根桥,主动发送BPDU;
若实际存在更低优先级的根桥,会导致多根桥冲突,引发新的环路。
问题: 若SWA到SWB的主链路(E0/10)故障: STP需经过哪些步骤恢复通信? 恢复期间为何仍有短暂断网?
步骤:① SWB检测链路故障 ② 重新计算生成树 ③ 激活原阻塞端口(SWC到SWB的E0/20)。 STP收敛需经历侦听→学习→转发状态(约30-50秒),此间端口不转发数据。
学习/侦听状态不转发数据:
STP为防止临时环路,强制端口在侦听和学习状态时丢弃用户数据帧,仅收集BPDU和更新MAC表。
环路产生的原因:
根本原因 = 物理冗余 + 泛洪机制 + 无自毁机制
问题:STP端口状态迁移逻辑 STP中端口从阻塞状态到转发状态需经历哪些阶段?为何需要设置侦听(Listening)和学习(Learning)状态?
答案:
阶段顺序:阻塞(Blocking)→ 侦听(Listening)→ 学习(Learning)→ 转发(Forwarding)。
必要性:
侦听状态:确认端口参与转发后不会形成环路(仅收发BPDU);
学习状态:构建MAC地址表(避免转发阶段泛洪过多未知帧)。
直接跳过侦听/学习会导致临时环路或MAC表空洞
问题:STP配置错误场景 问题: 某网络配置STP后仍出现广播风暴,可能的原因有哪些?(至少3种)
STP未全局启用(部分交换机禁用STP);
根桥冲突(多个交换机被配置为根桥,导致逻辑拓扑不一致);
端口Cost值误配置(阻塞了正确端口,实际路径仍存在环路)。
链路聚合
问题:静态聚合与动态聚合的参考端口选举机制有何根本区别?若两台交换机采用动态聚合时,其中一台的LACP优先级设置为0,会产生什么影响? 答案:
根本区别:
静态聚合:仅根据本端端口参数(双工/速率/端口号)选举参考端口;
动态聚合:需与对端交换LACP报文,综合两端系统优先级、端口优先级等参数选举。
优先级为0的影响:LACP优先级取值范围为0-65535,数值越低优先级越高。优先级0的设备将成为主动决策方,主导聚合组端口状态协商。
问题:故障排查
动态聚合组中,成员端口物理状态均为UP,但部分端口始终处于Unselected状态。请列出三种可能原因及验证方法。
答案:
原因 验证方法 双工/速率不匹配 检查端口配置 show interfaces status 对端未启用LACP 抓包确认是否有LACP报文
问题 某静态聚合组中存在两条成员链路,但实际仅一条转发流量。请分析可能导致此现象的三种配置原因。 答案: 可能原因包括: ① 两条链路速率/双工模式不一致(如一端1Gbps全双工,另一端100Mbps半双工); ② 端口未加入同一聚合组或组ID配置错误; ③ 设备限制了Selected端口上限(如系统默认限制为8条),超出部分成为备份链路。
rstp
临时环路问题
• 当拓扑结构发生变化,新的配置BPDU要经过一定的时延才
能传播到整个网络,在所有网桥收到这个变化的消息之前可
能会存在临时环路
通过中间状态避免临时环路
•STP为端口定义了五种状态:
–Disabled、Blocking、Listening、Learning、Forwarding
•各端口状态对配置BPDU收发、MAC地址学习以及数据收发的处理有
所不同
RSTP是从STP发展而来,实现的基本思想一致,
• RSTP标准版本为IEEE802.1w
• RSTP具备STP的所有功能,可以兼容STP运行
• RSTP和STP有所不同
– 减少了端口状态
– 增加了端口角色
– BPDU格式及发送方式不同
– 当交换网络拓扑结构发生变化时, RSTP可以更快地恢复网络连通性。
RSTP的端口状态
•RSTP将端口状态缩减为三个
–Discarding
–Learning
–Forwarding
RSTP中BPDU的处理
• 网桥自行从指定端口发送RST BPDU,不需要等待来自根桥的RST
BPDU。发送周期为2sHello Time
• RST BPDU老化时间为3个连续的Hello Time时长
收到低优先级的RST BPDU会发生什么?
当RSTP交换机从一个端口收到低优先级的BPDU时,它会立即响应该BPDU,并向对方端口发送一个包含自身更优信息的BPDU,以宣告自己才是更好的路径。
RSTP快速收敛机制
• STP中端口需要等待两个Forward Delay时长才能进入转发状态,如
果想缩短收敛时间只能手工配置Forward Delay为较小的值,但是这
样可能会影响网络的稳定性
• RSTP提出了快速收敛机制,包括边缘端口机制
– 根端口快速切换机制,指定端口快速切换机制。
边缘端口
• 边缘端口指网桥上直接和终端相连的端口
• 边缘端口可以直接进入转发状态,不需要延时,并且不会触
发拓扑改变
• 边缘端口收到BPDU后,会转变为非边缘端口
根端口-无环路风险情形
指定端口快速切换
• 指定端口可以通过与相连的网桥进行一次握手,快速
进入转发状态。
– 握手请求报文:Proposal
– 握手回应报文:Agreement
• P/A机制条件:握手必须在点到点链路进行
RSTP拓扑改变处理机制
• 拓扑改变触发条件
– 只有非边缘端口转变为Forwarding状态时,产生拓扑改变
• 拓扑改变处理
– 在两倍Hello时间内向所有其它指定端口和根端口发送TC置位
BPDU报文。
– 清除除接收到TC报文的端口之外的所有指定端口和根端口学习
RSTP拓扑改变处理
• 不再使用TCN
• 收敛更快速
RSTP和STP的兼容运行
• RSTP的端口连续三次接收到版本为STP的BPDU,则端口协议
将切换到STP协议
• 切换到STP协议的RSTP端口将丧失快速收敛特性。
• 出现STP与RSTP混用的情况,建议将STP设备放在网络边缘
运行STP的网桥移除后,由RSTP模式切换到STP模式的端口仍
将运行在STP模式,
问题:若某网络从STP迁移到RSTP后发现收敛时间未显著缩短,可能违背了RSTP的哪项核心改进原则?请结合端口状态机制说明原因。 答案: 可能违背 边缘端口(PortFast)的配置原则 或 P/A(Proposal/Agreement)机制失效。
问题:在RSTP中,某端口收到根路径成本(RPC)为20的BPDU,而自身计算的RPC为18。该端口应成为什么角色?若同时收到Designate Bridge ID更小的BPDU,角色会如何变化? 答案:
首先成为 指定端口(因本地RPC更优)
若收到更小Designate Bridge ID的BPDU,则成为 Alternate端口
问题:工程师将链路从100Mbps升级为1Gbps后,RSTP拓扑收敛反而变慢。请从路径成本与P/A机制的角度解释原因。 答案: 链路升级导致根端口切换,触发P/A机制重协商,但新根端口对端未启用边缘端口或存在单向链路问题。
问题:在混合STP/RSTP网络中,RSTP交换机的指定端口持续阻塞。请结合BPDU处理规则分析两种可能原因。 答案: 原因1:收到更优的STP BPDU(TCN置位) 原因2:对端设备为STP且未快速老化BPDU
ospf单区域
RIP的不足,以跳数评估的路由并非最优路径,最大跳数16导致网络尺度小,更新发送全部路由表浪费网络资源
收敛速度慢
• RIP定期路由更新
– 更新计时器:定期路由更新的时间间隔,默认30秒。
– 失效计时器:失效计时器内未收到更新,路由失效,默认180秒。
– 清除计时器:清除计时器内未收到更新,路由清除,默认240秒。
什么是OSPF
– OSPF英文全称Open Shortest Path First (开放式最短路径优先)
– OSPF是IETF 开发的一种链路状态路由协议,使用基于带宽的度量值。
– OSPF采用SPF算法计算路由,从算法上保证了无路由环路。
– OSPF通过邻居关系维护路由,避免了定期更新对带宽的消耗。
– OSPF路由更新效率高,网络收敛快,适用于大中型网络。
OSPF的基本工作原理
OSPF 协议工作原理:
好的,OSPF(开放最短路径优先)协议是一种广泛使用的内部网关协议,它是一种链路状态路由协议。其工作原理可以概括为以下几个核心步骤:
OSPF 工作原理核心步骤
1. 建立邻居关系
2. 交换链路状态信息
3. 构建链路状态数据库
4. 执行SPF算法,生成路由表
详细工作流程
第一步:建立邻居关系
运行OSPF的路由器会从其启用了OSPF的接口发送Hello数据包。
目的:发现直连的OSPF邻居。
关键信息:Hello包中包含路由器自己的Router ID、已知的邻居列表、区域ID和认证信息等。
建立条件:两台直连路由器要成功建立邻居关系,必须在其Hello包中协商一致以下几个参数:
Area ID
认证信息和密码
Hello间隔和Dead间隔
网络掩码(在广播型网络中)
Stub区域标志
一旦参数匹配,路由器就会进入 “2-Way” 状态,这表示邻居关系已初步建立。
DR/BDR选举:在广播多接入网络(如以太网)中,此时会进行一个重要的步骤:指定路由器和备份指定路由器的选举。DR和BDR负责与网络中所有其他路由器交换链路状态信息,以减少网络中的泛洪流量。选举基于最高的Router ID和优先级。
第二步:交换链路状态信息
邻居关系建立后,路由器开始同步它们的链路状态数据库。
ExStart状态:路由器之间通过交换DBD数据包来确定主从关系,以决定由谁主导LSDB的同步过程。
Exchange状态:路由器相互交换DBD数据包,这些数据包就像是LSDB的目录,列出了每一条LSA的摘要信息。
Loading状态:路由器收到对方的DBD后,会将自己的LSDB与收到的“目录”进行比较。如果发现自己缺少某条LSA,或者对方的LSA更新,它就会发送一个LSR数据包,请求完整的LSA。对方则用LSU数据包来回复这个请求,其中包含了完整的LSA信息。
Full状态:当所有LSR请求都得到满足,双方的LSDB完全同步后,路由器进入 “Full” 状态。此时,它们才成为完全的邻接关系。
注意:在广播网络中,只有DRother路由器与DR和BDR会建立邻接关系,DRother路由器之间只保持“2-Way”的邻居关系。
第三步:构建链路状态数据库
当网络中所有路由器都与其邻居建立了邻接关系后,整个区域内的每台路由器都会拥有一个完全相同的LSDB。
LSDB:是一个包含整个区域网络拓扑结构信息的数据库。
LSA:是LSDB中的一条条记录,描述了路由器自身的链路状态(例如:我连接了哪个网络,我的邻居是谁,链路的开销等)。常见的LSA类型有:
Type 1 LSA:由每台路由器产生,描述其在区域内的直连接口和链路状态。
Type 2 LSA:由DR产生,描述广播网络中所连接的路由器列表。
第四步:执行SPF算法,生成路由表
这是OSPF的核心。每台路由器以自己为根节点,使用最短路径优先算法对LSDB进行计算。
构建SPF树:SPF算法会计算出一条到达网络中所有其他节点的最短路径,形成一个以自己为根的“树状”结构图。
计算路径开销:OSPF使用“开销”作为度量值。开销通常与接口带宽成反比(例如,Cost = 参考带宽 / 接口带宽)。算法会累加路径上所有出口接口的开销,选择总开销最小的路径。
生成路由表:根据计算出的最短路径树,路由器将最佳路径(下一跳地址和出接口)填入其IP路由表中。
关键特性与总结
触发更新:当网络拓扑发生变化时(如链路故障),检测到变化的路由器会立即泛洪LSU包,通知其他路由器。其他路由器收到后更新自己的LSDB,并重新运行SPF算法,更新路由表。这是一种高效的事件驱动机制。
定期维护:即使网络稳定,每条LSA也有一个生存时间(通常30分钟),到期后会产生新的LSA进行泛洪,以确保数据库的准确性。
分层设计:OSPF支持多区域结构,可以有效减少LSDB的规模,将拓扑变化限制在单个区域内,提高协议的可扩展性和性能。
支持认证:OSPF邻居间可以配置MD5或明文认证,增强安全性。
核心概念:为什么需要DR/BDR?
在广播多路访问网络中,如以太网,如果所有路由器都两两建立完全的邻接关系,会产生大量的OSPF协议报文,造成网络资源浪费。
DR 和 BDR 的作用就是解决这个问题:
指定路由器:作为该网段的“中心节点”,所有其他路由器只与DR和BDR建立完全的邻接关系,并向它们发送链路状态更新。再由DR负责将这些更新泛洪到网络中的所有其他路由器。
备份指定路由器:在DR发生故障时接替其工作,提供无缝备份。
DROther就是OSPF多路访问网络中那些“只负责听指挥和报告情况”的普通路由器,它们通过DR/BDR来高效地同步网络信息,从而避免了网络资源的浪费。
距离矢量协议:RIP,优先级100,度量值:跳数,端口号udp520,组播地址224.0.0.9。
报文:
链路状态协议:
问题:ospf是怎么解决rip带宽浪费的?
OSPF解决方案:
触发更新:仅在拓扑变化时发送增量更新(LSA)而非定期全量更新;
组播传输:使用224.0.5/6组播地址,减少无关设备处理开销;
LSA压缩:链路状态通告只传播变化链路信息而非整张路由表。
问题2: OSPF的”邻居表→LSDB→路由表”生成流程中,若某路由器突然断电,请推演OSPF网络如何检测故障并收敛?对比RIP的240秒清除计时器,说明OSPF的优势。
OSPF故障收敛流程:
邻居路由器通过Hello包超时(默认10s×4次)检测中断;
立即触发LSA洪泛;
各路由器重新计算SPF生成无环路径。
RIP:RIP需等待240秒清除失效路由,期间可能引发路由黑洞。
问题3: Router ID(RID)在OSPF中至关重要。假设某路由器未手动配置RID且同时存在多个Loopback接口,其RID将如何生成?若所有接口均为物理接口,RID又如何确定?
存在Loopback时:选择数值最大的Loopback接口IP作为RID(如10.0.1 > 192.168.1.1)。
仅物理接口时:选择活动物理接口中最大IP地址(无论接口类型)。
RID选举遵循”手动配置 > Loopback IP最大值 > 物理接口IP最大值”的优先级
问题4: 课件中强调OSPF需划分区域,但小型网络可用单区域(Area 0)。请分析: a) 单区域设计在何种场景下适用? b) 当网络规模扩大时,单区域会导致哪两类关键问题?
a) 适用场景:设备数量少(如≤50台)、拓扑稳定的小型网络。 b) 扩展性问题:
LSDB膨胀:所有路由器存储全网LSA,内存消耗大;
SPF计算风暴:微小拓扑变化触发全网路由器重新计算SPF,CPU过载。
ospf多区域
问题:为什么划分多区域能解决这些问题?
减小LSDB大小:每个区域独立存储LSDB(链路状态数据库),区域内的SPF计算只基于本地拓扑,避免了全网LSDB的膨胀。
限制LSA洪泛范围:LSA(链路状态通告)洪泛仅在区域内进行,拓扑变化(如链路故障)不会影响其他区域
路由汇总优化路由表:ABR(区域边界路由器)可在区域边界汇总路由,减少路由条目
问题:非骨干区域必须直接连接到Area 0(骨干区域)。请解释这一规则的原因,并分析如果设计中出现“Area 2通过Area 1间接连接Area 0”(Area 1为非骨干区域)会引发什么问题?
正确答案: 原因:OSPF要求非骨干区域必须直接连接Area 0,因为区域间路由信息必须通过Area 0中转。ABR(区域边界路由器)负责将区域内的路由转为LSA 3通告到Area 0,再从Area 0通告到其他区域。非骨干区域间不能直接交换路由。 问题:如果Area 2通过Area 1连接Area 0(而非直接),会导致:
路由黑洞:Area 2的路由无法通告到Area 0,因为Area 1的ABR不具备将Area 2路由转为LSA 3的资格(ABR必须同时连接Area 0和本区域)。
连通性中断:Area 0无法学习Area 2的路由,反之亦然,导致跨区域通信失败。
特殊区域
问题:ABR如何传播区域间路由(使用LSA 3)。请详细说明LSA 3的传播过程:ABR在哪个区域生成LSA 3?LSA 3如何在不同区域间传递?
LSA 3(Summary LSA)传播过程:
生成位置:ABR在非骨干区域(如Area 1)计算本区域路由(基于LSA 1和LSA 2),然后为这些路由在Area 0中生成LSA 3。接着,ABR从Area 0向其他非骨干区域(如Area 2)重新生成LSA 3。
传递过程:LSA 3仅在区域间传递,不携带拓扑细节(只含路由前缀和度量)。例如,Area 1的ABR将Area 1路由转为LSA 3发到Area 0;Area 0的另一ABR再将该LSA 3发到Area 2。
LSA3与LSA 1区别:LSA 1(Router LSA)在区域内洪泛,描述路由器接口和拓扑;LSA 3跨区域传递,仅汇总路由,不涉及拓扑细节。
问题:特殊区域(如Stub区域)用于优化OSPF行为。请解释Stub区域的设计目的,并说明它如何限制LSA类型以减少LSDB大小
正确答案: Stub区域的设计目的:减少非骨干区域的LSDB大小和路由表条目,通过阻止某些LSA类型进入该区域。
LSA限制机制:
阻止LSA类型:Stub区域禁止AS-external LSA(LSA 5)进入,由ABR自动注入默认路由(0.0/0)代替。LSDB减小:区域内仅含LSA 1、2(拓扑信息)和LSA 3(区域间路由),无外部路由细节。
需要完全屏蔽外部路由时,应使用Totally Stubby区域(或NSSA的变种)。因为Totally Stubby区域不仅阻止LSA 5,还阻止LSA 3(区域间路由),仅保留默认路由,最大限度减小LSDB。
问题:基于PPT中的多区域配置案例思想,假设一个场景:某公司网络有Area 0(总部)、Area 1(分支A)、Area 2(分支B)。Area 1的ABR配置了路由汇总,将多个子网汇总为10.1.0.0/16通告给Area 0。请分析:
路由汇总如何影响Area 0的LSDB大小?
如果分支A新增子网10.1.3.0/24,但未更新汇总配置,会导致什么问题?
正确答案:
LSDB影响:路由汇总减少了Area 0的LSDB大小,因为ABR将多个子网(如10.1.0/24和10.1.2.0/24)聚合为一个LSA 3(10.1.0/16),而非多个独立条目。
问题:如果新增子网10.1.3.0/24但未更新汇总(如汇总仍为10.1.0.0/16),会导致:
路由黑洞:汇总路由覆盖新子网,但ABR未通告其明细,导致Area 0路由器无法学习10.1.3.0/24,跨区域访问失败。
次优路径:流量可能被错误导向汇总路由,造成延迟或丢弃。
问题: 比较OSPF中LSA 5(AS-external LSA)与LSA 7(NSSA External LSA)的传播范围和适用场景差异。举一反三:若某分支机构(Area 2)需引入本地路由但禁止接收外部路由,应将其配置为何种特殊区域?如何实现? 正确答案:
LSA类型 传播范围 适用场景 LSA 5 全网(除Stub类区域) 由ASBR在普通区域引入外部路由 LSA 7 仅NSSA区域内生成,由ABR转为LSA 5后传入Area 0 NSSA区域内部引入外部路由时使用
题目: 某多区域OSPF网络中,Area 1的ABR已配置路由汇总(10.1.0.0/16)。现发现Area 0路由器无法访问Area 1的新增子网10.1.3.0/24。请分析三种可能原因,
正确答案: 可能原因及验证方式:
汇总未覆盖子网:ABR汇总配置未包含10.1.3.0/24
子网未注入OSPF:Area 1内未将10.1.3.0/24通告进OSPF(如缺少network语句)。
ABR接口故障:ABR连接Area 1的接口宕机,导致路由更新中断。
题目: OSPF要求所有非骨干区域必须直连Area 0。请从路由计算原理角度解释:若不遵守此规则(如Area 2仅通过Area 1连接Area 0),为什么会导致Area 2与Area 0的路由不可达?
正确答案:
OSPF原理:区域间路由依赖Area 0传递LSA 3。若Area 2不直连Area 0:
Area 1的ABR无权将Area 2的路由转为LSA 3发向Area 0(因ABR需直连Area 0);
Area 0路由器无Area 2路由,Area 2路由器也无Area 0路由,形成双向路由黑洞。
vrrp技术
VRRP的概念及应用场景
VRRP的作用
假设某企业网络使用VRRP技术实现网关冗余。当主路由器故障时,备用路由器接管网关功能。请解释: a) 虚拟路由器 在这一过程中扮演什么角色? b) 主机为何无需修改网关配置即可实现故障切换?
答案与解析:
a) 虚拟路由器 是VRRP备份组中多台物理路由器(主/备)共同模拟的逻辑实体,对外提供统一的虚拟IP(如10.1.254)和虚拟MAC地址。主路由器故障时,备用路由器继承该虚拟身份继续提供网关服务。 b) 主机始终将虚拟IP(而非物理路由器IP)配置为网关。当主备切换时,虚拟IP和MAC地址不变,主机感知不到物理设备变化,故无需修改配置。
题目3:状态机与报文 问: VRRP主路由器定期发送Advertisement报文。 a) 若备用路由器连续3个报文超时未收到,会触发何种状态转换? b) 此时备用路由器如何避免多台设备同时成为Master?
答案与解析:
a) 备用路由器状态从 Backup → Master(因判定主路由器失效)。 b) 选举机制:备用路由器切换前会发起新选举:
比较优先级(高者胜,默认100,范围1-254);
题目4:配置逻辑 问: 某公司使用VRRP+MSTP组合(如图)。 a) 为何要部署MSTP而非单纯VRRP? b) 若MSTP阻塞了交换机连接备用路由器的端口,对VRRP主备状态有何影响?
答案与解析:
a) MSTP作用:消除二层环路并优化路径。单纯VRRP无法解决拓扑环路问题,MSTP可阻塞冗余链路,确保主备路由器间唯一活动路径。 b) 无直接影响:VRRP通过三层IP报文通信(非二层)。若MSTP阻塞备用路由器端口:
备用路由器仍能通过其他路径收发VRRP协议报文 → 保持Backup状态;
但用户数据无法通过此端口转发,需依赖主路由器路径。
二阶段
防火墙的定义
防火墙是一个位于内部网络与外部网络之间的安全系统(网络中不同
区域之间),是按照一定的安全策略建立起来的硬件或软件系统,用
于流量控制的系统(隔离),保护内部网络资源免受威胁(保护)。
防火墙的主要用于防止黑客对安全区域网络的攻击,保护内部网络的
安全运行。
防火墙的基本属术语
安全区域和接口
1. 一台防火墙具有多个接口,每个接口属于一个安全区域,每个区域具有唯
一的名称,所以防火墙至少具有两个接口 ;如图:
多安全区域
2.
多接口防火墙的每个接口指定不同的安全区域,
默认安全规则——-ACL与安全级别
• 根据访问控制规则决定网络进出行为:
访问控制规则存在的形式:访问控制列表ACL 和 安全级别(0-100)
防火墙工作层次
掌握防火墙的工作层次
了解防火墙的发展历程
掌握防火墙的分类
防火墙发展与分类
● 根据防火墙的服务层面不同分类:
包过滤防火墙 3、4层
状态防火墙 3、4、5层
NAT防火墙 3、4层
应用网关防火墙 3、4、5、7层
基于主机(服务器和个人)的防火墙 3、4、7层
混合/硬件专用平台防火墙 2、3、4、5、7层 如:PIX、ASA等
理解包过滤的工作过程
学会简单包过滤防火墙的配置
——第一种 简单包过滤防火墙技术
概述
类似交换机、路由器的ACL
工作层面:3 , 4 层
实现原理
检查IP、TCP、UDP信息
—简单包过滤技术续
优点
速度快,性能高,可以用硬件实现实现原理
检查IP、TCP、UDP信息
缺点
不能根据状态信息进行控制
前后报文无关
不能处理网络层以上的信息
ACL过多配置复杂,不能处理应用层的攻击,不支持连接认证,只对某些
类型的攻击比较敏感;
防火墙分类与状态检测
掌握防火墙的分类
理解状态检测的原理
流与会话
流(Flow),是一个单方向的概念,根据报文所携带
的三元组或者五元组唯一标识。根据IP层协议的不同
,流分为四大类:
TCP流:通过五元组唯一标识
UDP流:通过五元组唯一标识
ICMP流:通过三元组 + ICMP type + ICMP code唯一标识
RAW IP流:不属于上述协议的,通过三元组标识
会话(Session),以一个双向的概念,一个会话通常
关联两个方向的流,一个为会话发起方(Initiator)
,另外一个为会话响应方(Responder)。通过会话
所属的任一方向的流特征都可以唯一确定该会话,以
及方向
防火墙分类与应用网关
掌握防火墙的分类
理解ALG检测的原理
透明模式课程
掌握防火墙的部署方式
理解透明防火墙的优势
一、防火墙的三大工作模式(整体框架)
防火墙通过 “安全区域与接口映射” 实现流量控制,根据映射的网络层(二层 / 三层)不同,分为三种核心工作模式,透明模式是其中专为 “最小化改动现有网络” 设计的模式:
| 工作模式 | 核心特征 | 关键能力 |
|---|---|---|
| 路由模式 | 三层设备,接口映射三层安全区域(基于 IP 划分) | 1. 需制定数据转发安全策略 2. 支持目的路由选择、策略路由、NAT(网络地址转换) 3. 依赖 IP 地址进行数据转发 |
| 透明模式 | 二层设备,接口映射二层安全区域(基于 MAC 划分) | 1. 需制定数据转发安全策略(与路由模式逻辑一致) 2. 以 “透明桥” 方式接入网络,依赖 MAC 表转发数据 3. 接口无需配置 IP,仅需配置管理 IP |
| 混合模式 | 同时支持三层 + 二层安全区域映射 | 1. 可在同一防火墙中同时执行路由模式与透明模式的功能 2. 适用于网络结构复杂(既有三层路由需求,又有二层透明接入需求)的场景 |
二、透明模式核心解析
透明模式的核心定位是 “二层安全防护设备”,本质是在不改变现有网络三层结构(IP 规划、路由邻居)的前提下,嵌入网络实现安全隔离,具体可从 “特点、优势、应用场景” 三方面理解:
1. 透明模式的核心特点
二层设备属性:工作在 OSI 模型的二层(数据链路层),转发逻辑与交换机类似,通过学习设备的 MAC 地址生成 MAC 表,再依据 MAC 表将数据帧转发到正确接口。接口无 IP,需配管理 IP:
业务接口(用于转发数据的接口)无需配置 IP 地址 —— 因二层转发不依赖 IP 寻址,仅需识别 MAC 地址;必须配置全局管理 IP(如文档中 CISCO 的
ip address 192.168.1.1
2. 透明模式的核心优势(解决的核心问题)
透明模式的优势完全围绕 “最小化对现有网络的影响” 展开,这是它与路由模式的关键区别:
不改变原网络 IP 规划:企业现有网络已分配好 IP 网段(如内部 192.168.0.0/24,外网出口 202.xx.xx.xx),若用路由模式需调整 IP 网段或配置 NAT,而透明模式直接嵌入,无需修改任何设备的 IP 地址。不改变原路由邻居关系:企业原有路由器、交换机已建立稳定的路由邻居(如 OSPF、BGP 邻居),若用路由模式需重新配置路由协议,可能导致网络中断;透明模式不参与三层路由,原有路由邻居关系完全不受影响。支持非 IP / 多播 / 广播数据转发:在交换环境中(如企业内部局域网),可能存在非 IP 协议数据(如 IPX、SNA 协议)或多播 / 广播数据(如视频会议多播流、ARP 广播),路由模式因基于 IP 转发无法处理这些数据,而透明模式作为二层设备可正常转发。
3. 透明模式的典型应用场景
结合上述优势,透明模式主要用于以下两类场景:
场景 1:替换原有出口设备
当企业需要将老旧的出口路由器 / 防火墙替换为新防火墙时,若用路由模式需重新配置 IP、路由,风险高;用透明模式可直接 “无缝替换”,仅需将新防火墙接入原有出口链路(如外网 – 防火墙 – 内网交换机),无需修改任何现有设备配置,业务不中断。场景 2:嵌入现有网络实现安全隔离
企业原有网络未部署防火墙(仅靠交换机连接内外网),需新增安全防护但不想改动现有网络结构时,可将透明模式防火墙嵌入 “内网交换机” 与 “外网路由器” 之间,实现内外网隔离,同时不影响员工正常上网、服务器正常提供服务。
三、透明模式配置示例(以 CISCO 设备为例)
文档给出了 CISCO 防火墙配置透明模式的核心步骤,每一步均对应透明模式的特性(如无接口 IP、需管理 IP),具体如下:
进入透明模式配置模式
执行命令
firewall transparent
配置业务接口
对用于转发数据的物理接口进行配置,核心要求:
物理接口 “打开”(no shutdown);给接口命名(如 Ethernet0/0);配置安全级别(如 inside(内网,安全级别高,如 100)、outside(外网,安全级别低,如 0),用于区分安全区域);不配置 IP 地址(符合透明模式二层属性)。
配置全局管理 IP
在全局配置模式下执行
ip address 192.168.1.1
补充配置(保证网络正常与安全)
配置 ACL(访问控制列表):放通必要的流量(如企业内部网段访问外网的流量),拒绝危险流量;放通 OSPF BPDU:若现有网络使用 OSPF 路由协议,需放通 OSPF 的 BPDU(生成树协议报文),避免路由邻居中断;配置其他安全策略:如入侵防御(IPS)、应用识别控制等,提升防护能力。
四、总结:透明模式的核心价值
透明模式是下一代防火墙针对 “现有网络改造场景” 的关键解决方案 —— 它以 “二层设备” 的身份嵌入网络,在不改变原有 IP 规划、路由结构的前提下,提供与路由模式同等的安全防护能力,同时支持非 IP / 多播 / 广播数据转发,完美平衡了 “安全增强” 与 “业务连续性” 的需求,尤其适合对网络稳定性要求高、不愿因新增防火墙改动现有配置的企业。
下一代防火墙概述
下一代防火墙概述
部署模式简介
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚
拟网线模式、混合模式、旁路模式。
接口
NGAF有哪些接口?
➢ 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为:路由口、透明口、虚拟网线口、镜像口。
➢ 根据接口工作区域划分为:二层区域口、三层区域口、虚拟网线区
域口。
NGAF的部署模式是由各个接口的属性决定的。
物理接口
物理接口与NGAF设备面板上的接口一 一对应(eth0为manage口),根
据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像
4种类型,前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增,物理接口的数目由硬件型号决定。
Trust 区域(内部可信网络,如企业内网)DMZ 区域(非军事区,部署对外服务的服务器)Untrust 区域(外部非可信网络,连接 Internet)
路
求分析
部署前我们需要做哪些准备工作?
1、现有设备的接口配置
2、内网网段规划,好写回包路由
3、是否有服务器要映射
4、内网有哪些访问权限
5、进行哪些安全策略配置
6、现在拓扑是否完整1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置
接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路
由。
3、配置代理上网:
在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外
的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
由模式
透明模式组网
路由模式
组网
路由模式组网组网路由模式组网
需求分析
部署前我们需要做哪些准备工作?
1、接口定义
2、管理地址配置,还需要配置路由
3、不用配置地址转换
4、安全控制放通
5、安全防护策略配置思路
1、 配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置
接口类型、所属区域、基本属性、IP地址。
2、配置管理接口:
在【网络配置】中,新增管理接口,并分配管理地址。
3、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外
的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
虚拟网线部署
透明部署中另外一种特殊情况:虚拟网线部署
➢ 和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
➢ 虚拟网络接口是成对存在的,转发数据时,无需检查MAC表,直接从虚
拟网线配对的接口转发。
➢ 虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐
使用虚拟网线接口部署。
4.3.1 终端安全风险
4.3.2 终端安全检测和防御技术
基于7层应用的深度数据包检测可实现终端安全可控
终端安全检测和防御技术
应用控制策略可对应用/服务的访问做双向控制。NGAF存在一条默认拒绝所有服
务/应用的控制策略。
基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量
的包通行后才能判断应用类型,然后进行拦截动作的判断。
基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、源端
口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动
作判断。
终端安全检测和防御技术
WEB过滤是指针对符合设定条件的访问网页数据进行过滤。
包括URL过滤、文件过滤。
根据HTTP不同动作进行区分。
可以针对HTTPS URL进行过滤。
4.3.3 网关杀毒技术
网关杀毒实现方式
代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自
身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入
病毒检测引擎进行病毒检测。
流扫描方式
依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本
地签名库进行匹配。
4.3.4 僵尸网络检测和防御技术
僵尸网络
僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指骇客利用自己编写
的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或
肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包,使预定攻击
目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
需要一种事后检测机制用于发现和定位客户端受感染的机器,以降低客户端安
全风险。同时,记录的日志要求有较高的可追溯性。
感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该
流量,并根据用户策略进行阻断和记录日志
云端沙盒检测——检测流程
僵尸网络检测和防御技术
➢ 异常流量检测
通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐
藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现
的攻击。
外发流量异常功能是一种启发式的dos攻击检测手段,能够检测源IP不变的syn
flood、icmp flood、dns flood与udp flood攻击。
外发流量异常功能的原理为:当特定协议的外发包pps超过配置的阈值时,
基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内
容,得出分析结论,并将发现的攻击提交日志显示。
僵尸网络检测和防御技术
➢ 其他检测方式
1. 与僵尸网络连接是最基础的判定方式,信息来源包括:上万台在线设备收
集、与google等机构合作共享
2. 对于未知的僵尸网络(存在大量DGA生成的C&C域名),通过模拟DGA算法
总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络
3. 危险的外联方式检测,如使用已知的(IRC、HFS)与僵尸网络进行通讯
4. 使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
5. 对外发起CC攻击
6. 对外传播恶意文件
7. 对外发送shellcode
8. 检测出下载恶意文件、恶意PDF等行为
9. 检测出下载文件与后缀名不符
10.上下行流量不符
4.4.1 服务器安全风险
4.4.2 DOS攻击检测和防御技术
DOS攻击介绍
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫
痪。
DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
DOS目的
①、消耗带宽
②、消耗服务器性能
③、引发服务器宕机
配置思路
1、【防火墙】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。
2、【源区域】选择外网区域。
3、【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。
4、【内网IP组】选择需要保护的服务器IP组。
5、【DoS/DDoS攻击类型】-勾选所有类型,一般按照默认即可,为体现测试效
果可适当调低封锁阈值。
6、【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项,
一般不建议勾选【IP数据块分片传输防护】,勾选了分片数据包都将被丢弃。
思考总结
SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】指
的是什么?
1、每目的IP激活阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率
数据包超过设定值,则触发AF的syn代理功能。
2、每目的IP丢包阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率
数据包超过设定值,则AF不再启用syn代理,直接丢弃syn包。
4.4.3 IPS入侵检测和防御技术
IDS/IPS介绍
IDS——Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状
况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
IPS——Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行
状况进行监视,并可发现阻止各种攻击企图、攻击行为。
配置思路
①保护客户端:
1、【IPS】-新增IPS策略
2、【源区域】选择内网客户端所在区域,源IP选择需要防护的客户端IP组
3、【目的区域】选择外网区域,目的IP组选择全部
4、【IPS选择】选择【保护客户端】及【恶意软件】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
②保护服务器:
1、【IPS】-新增IPS策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【IPS选择】选择【保护服务器】及【口令暴力破解】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
4.4.4 WEB攻击检测和防御技术
需求背景
2015年04月22日,超30个省市卫生和社保系统爆出漏洞,黑客通过sql注入
,完成数千万用户的社保信息的拖库批量下载。社保系统里的信息包括了居民
身份证、社保、薪酬等敏感信息
SQL注入
动漫视频举栗——SQL注入
SQL注入——就是通过把SQL命令插入到Web表单递交或输入域名或页面
请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
SQL注入
➢ 什么内容才是SQL注入攻击?
SQL注入攻击可以根据其特点分为弱特征、注入工具特征、强特征三种。
弱攻击:类似这种select * from test,这个sql语句中,有两个关键字
select和from执行了一个查询语句,其危险性相对强攻击较低;
注入工具攻击:利用一些专业的SQL注入工具进行攻击,这些工具
的攻击都是具有固定数据流特征的。
强攻击:如insert into test values(lmj,123) 这个语句中有三个SQL关键
字insert、into、values,并且这个语句操作可能导致在test表中添加lmj这个用
户,这种语句被认为是危险的;
强攻击大致具备如下特征:
1、包含三个及以上的SQL关键字,并且这三个关键字组合起来能够成为一条合
法的SQL语句。
2、包含任何的SQL关键字连词,这些连词包括union. “;”, and, or等,并且采取
了常用的sql注入方法来运用这些连词,如数据包中存在 and 1=1 会被认为是强
特征。
SQL注入
➢ 攻击数据出现在哪里?
Web提交数据一般有两种形式,一种是get,一种是post。
1、Get的特点,提交的内容经过URI编码直接在url栏中显示
2、Post的特点,提交的内容不会直接显示在url部分,会在post包的data
字段中
CSRF攻击
CSRF——Cross Site Request Forgery,即跨站点请求伪造,攻击者盗用了
你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合
法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮
件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟
货币转账等。
动漫视频举栗——CSRF跨站请求伪造攻击
信息泄露攻击
信息泄露漏洞是由于在没有正确处理一些特殊文件,通过访问这些文件或
者路径,可以泄露web服务器的一些敏感信息,如用户名、密码、源代码、服
务器信息、配置信息。
常见的信息泄漏有:
1、应用错误信息泄露;
2、备份文件信息泄露;
3、web服务器缺省页面信息泄露;
4、敏感文件信息泄露;
5、目录信息泄露。
信息泄露的几种原因:
1、web服务器配置存在问题
2、web服务器本身存在漏洞
3、web网站的脚本编写存在问题
配置思路
1、【服务器保护】-【web应用防护】新增WAF策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【端口】选择默认,如web服务器使用的是非标准端口80,则将对应端口填
至HTTP选项
5、【防护类型】 选择全部,其他选项默认即可
6、 允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
误判处置
方法一:在【服务器保护】-【WEB应用防护】-【排除列表】中新增URL参数
排除后,WEB应用防护的网站攻击检测将跳过这些参数的检查。主要用于正
常业务下某些请求参数因携带特征串而被检测为攻击的情况,可以只针对这
些参数排除。误判处置
方法二:在【内置数据中心】-【日志查询】-【WEB应用防护】中查询日志
,找出误判日志然后点击日志后面的“添加例外”。
4.4.5 网页防篡改技术
需求背景
网站篡改带来的后果
①经济损失
从媒体报道的事件中我们就能体会到,网站被篡改带来了非常大的经济损失
,尤其对某些Web系统所有者来说可能是致命的。尤其对与银行、证券以及游
戏类网站,不仅给用户带来直接的经济损失,而且会降低用户使用网站服务的
信心,这对企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。
②名誉损失
网站代表着企业、政府机构等组织在互联网用户中的形象,当首页被篡改,
甚至于留有一些侮辱性文字和图片,组织的声誉将因此会受到非常大的影响,
造成持续的名誉损失。
③政治风险
尤其对于政府机构的网站,一旦被反动势力入侵并利用网站散播反动言论,
不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后
果十分严重。。
网页防篡改
深信服网页防篡解决方案采用文件保护系统+下一代防火墙紧密结合,文件监
控+二次认证功能紧密联动,保证网站内容不被篡改,其中文件保护系统采用
了业界防篡改技术中最先进的文件过滤驱动技术。
➢ 文件监控
在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站
目录文件进行的操作,不允许的程序无法修改网站目录内的内容
➢ 二次认证
管理员认证流程:
1. 访问网站后台http://www.xxx.com/dede/
2. AF重定向提交管理员邮箱地址的认证页面
3. 提交接收验证码的管理员邮箱wangboxkillman@sina.com
4. 发送带有验证码的邮件至wangboxkillman@sina.com
5. 管理员登录邮箱获取验证码
6. 管理员提交验证码通过认证
7. 通过验证后自动跳转到后台页面
黑客认证流程:
第3步时,黑客无法提交正确的管理员邮箱
则无法正常登录网站后台,此过程
除非黑客通过社工手段获取
管理员邮箱地址,并且破解管理员
邮箱后才可破解后台登录
配置思路
①配置防篡改客户端
1、下载客户端——AF防篡改配置界面右上角有一个【安装防护客户端】下载链
接,点击下载对应操作系统客户端即可,或者直接
http://sec.sangfor.com.cn/tamper/下载客户端。还可以在配置界面最底部有一个
默认勾选的服务器文件系统防护点击“安全防护客户端”即可下载windows或者
linux客户端软件。
2、安装客户端
3、设置客户端配置思路
②配置二次认证
1、【服务器保护】-【网站篡改防护2.0】新增防篡改策略。
2、【服务器IP】若DNAT是在AF上做的,填写DNAT之后的IP;若DNA不是在AF上
做的,则填写访问服务器数据经过AF时的目的IP。
3、【网站后台登录防护】需要填写访问端口及网站管理URL。
4、【管理员认证方式】IP认证即IP白名单,加入到这个IP认证列表的不需要二
次认证;邮件认证即需要通过邮件验证码形式发送邮件附件填写到页面上才能
访问管理员后台。如果两种认证方式都不勾选则默认全部拒绝。
5、如果使用了邮件认证则必须在【系统】-【邮件服务器】配置发件人。
虚拟私有网络笔记
VPN应用场景
——VPN概述
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,
Virtual Private Network),用于构建VPN的公共网络包括Internet
、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络
一样提供安全性、可靠性和可管理性等
VPN定义:在一个公用网络中,通过某种方式虚拟出来的一条企业内
部专线。
VPN应用场景
——VPN的优点
公网连接的主要优点有:
➢ 费用更低
➢ 业务更灵活
➢ 简单化了管理工作
➢ 扩展性更高
➢ 带宽高
➢ 移动性强
• 公网连接的缺点有:
– 安全性问题
VPN加密技术:
对称密钥算法
− 加密方与解密方采用相同的密钥
− 用于加密用户数据
1. 对称密钥算法
− DES 56-bit keys
− 3DES 168-bit keys
− AES 128、192、256 bit keys
非对称密钥算法
− 加密方通过对端的公钥加密数据
− 解密方通过自己的私钥解密数据
− 用于密钥交换和数字签名
1.
非对称密钥算法
−RSA 512、768、1024、2048 bit keys
−DH 768、1024、1536 bit key
SSL协议简介—工作模型
• SSL是工作在TCP层之上的加密协议。
• SSL协议采用C/S架构。
• SSL服务器端使用TCP协议的443号端口提供SSL服务。
SSL协议简介—协议架构
• 握手层:负责建立SSL连接
• 记录层:负责对报文进行加解密
SSL工作过程
SSL VPN的实现方式
采用SSL加密协议建立远程连接。
SSL VPN的功能与实现—IP接入
实现原理:在远程主机上安装一个虚拟网卡,配上内网的IP地址和可
以访问内网的路由。远程主机与内网服务器之间传送的数据报文通
过路由进行IP层的转发。
静态授权—身份认证
• 几种外部认证
Radius
Ldap
AD
本地认证:用户的帐号和密码保存在网关本地的数据库中,由网关
独立地对用户身份进行认证。
外部认证:用户的帐号和密码保存在外部服务器上。在接收到用户
提交的帐号和密码后,网关将其交给外部服务器进行验证。网关根
据服务器返回的验证结果决定是否允许用户登录SSL VPN。
SSL VPN部署方式
SSL VPN概述
SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览
器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署,从而使得远
程安全接入的使用非常简单,而且整个系统更加易于维护。SSL VPN一般采用插
件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN,
并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
SSL协议介绍
SSL协议主要通过三个协议实现:
• SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户
机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建
立SSL连接时,服务器与客户机交换一系列消息。
• SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每
隔一段时间改变加密规范。
• SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在
通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
AC笔记123
Contents
3.1.1 上网行为安全背景
3.1.2 上网行为安全需求
3.1.3 上网行为管理的应用场景
3.1.3 上网行为管理的应用场景
互联网上网行为管控
一体化网关
无线Wi-Fi管控营销
无线防共享上网
设备以路由模式部署时,AC的工
作方式与路由器相当,具备基本
的路由转发及NAT功能。一般在客
户还没有相应的网关设备或者用
户的网络环境规模比较小,需要
将AC做网关使用时,建议以路由
模式部署。
背景:客户需要用新的上网行为
管理设备来替换旧的出口路由器,
实现行为审计和管控。
路由模式排错思路
(1)检查PC本身的网口IP,子网掩码
(2)检查PC本身的默认网关,首选的DNS服务器
(3)检查AC上给PC做的SNAT
(4)检查AC上给PC做的回包路由
(5)被PC访问的设备本身能否上网 PING /TELNET /WGET
(6)网口兼容性 换网线 换网口 中间加交换机
(7)arp防护和免费arp可能存在冲突
(8)通过ifconfig检查网口错误包或者丢包,ethtool -S 查看丢包类型
设备以网桥模式部署时对客户原有的网络
基本没有改动。网桥模式部署AC时,对客
户来说AC就是个透明的设备,如果因为AC
自身的原因而导致网络中断时可以开启硬
件bypass功能,即可恢复网络通信。
网桥模式设备无法上网
1、AC网线是否反接(在线用户列表出现大量公网IP)
2、网桥地址是否可用,是否和内网冲突
3、网关是否指向靠近出口方向的设备
4、设备上的DNS是否填写正确
5、确认前面设备是否有拦截(可能做ACL拦截了AC),或
者是否对AC做源地址转换代理上网
旁路模式主要用于实现审计功能,完全不
需要改变用户的网络环境,通过把设备的
监听口接在交换机的镜像口,实现对上网
数据的监控。这种模式对用户的网络环境
完全没有影响,即使宕机也不会对用户的
网络造成中断
注意事项
➢1、路由模式可以实现设备所有功能,网桥
模式其次,旁路模式多用于审计,只能对TCP
应用控制,控制功能最弱。
➢2、路由模式对客户原有网络改造影响最大,
网桥模式其次,旁路模式对客户原有网络改造
无影响,即使设备宕机也不会影响客户断网。
防火墙过滤功能
防火墙规则是控制设备各个
网口转发数据的开关。
这里设置的规则可基于IP和
端口进行数据包的转发控制,
和传统的四层防火墙相似
•防火墙端口映射及其应用
端口映射实现原理
端口映射即DNAT,用来设
置对数据包目标IP地址进行
转换的规则。
常用来实现客户内网有服务
器需要发布到公网,或者内
网用户需要通过公网地址访
问内部服务器的需求。
端口映射排查思路
1.检查内网PC到WEB务器的访问是否正常?(判断服务器本身是否OK)
2.检查AC到WEB服务器的访问是否正常?
3.检测外网的访问流量是否到达AC的外网口(运营商会封堵没备案的端口,比
如说80)?
4.检查AC设备的端口映射配置?
5.检查AC设备的防火墙配置?
6.检查AC-WEB服务器中间设备的ACL策略?
7.检查WEB服务器本身的防火墙策略?(是否禁止公网IP访问)
访问网站分析
第一步:浏览器分析超链接中的URL
第二步:DNS请求
PC向DNS服务器222.246.129.80发出DNS QUERY请求,请求www.qq.com的A记
录访问网站分析
第三步:DNS回复
DNS服务器222.246.129.80回复DNS response,解析出www.qq.com域名对应的三条
A记录59.37.96.63、14.17.42.40/14.17.32.211
DNS的A记录:将主机名解析成对应的IP访问网站分析
第四步:PC向解析出的www.qq.com服务器地址发起tcp三次握手
第五步:PC向www.qq.com 服务器发出GET请求,请求主页访问网站分析
第六步:www.qq.com 服务器回应HTTP/1.1 200 OK,返回主页数据包
第七步:完成数据交互过程,四次挥手断开连接
密码认证配置思路
1、 首先为办公区的用户建一个用户组,在【用户认证与管理】-【用户管理】
-【组/用户】中,点新增,选择【组】,定义组名:公共区
2、新增用户,设置本地密码
3、新增【认证策略】,选择认证方式为密码认证
4、【认证高级选项】-【其他选项】勾选【未认证或被冻结时允许访问DNS服
务】
密码认证思考总结
如果“密码认证页面”无法正常弹出,应该如何排查?
数据包五元组
传统行为检测原理:传统的网络设备根据根据数据包的五元组(源IP,
目的IP,源端口,目的端口,协议)这些特征等来识别应用并进行丢弃、
转发、接收、处理等行为。
配置思路
1、 新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用
里面勾选IM,生效时间全天,移动终端设备里面勾选通讯聊天,动作拒绝,在
【适用对象】选择办公区,即对办工区的所有用户关联上这条控制策略。
2、新增【上网策略】-【上网审计策略】-【应用审计】添加,勾选所有选项,
在【适用对象】选择办公区,即对办工区的所有用户关联上这条识别策略。
应用特征识别技术
•从数据包中可以看到,QQ用户的字段在应用层OICQ协议的Data字段。
•该需求需要识别特定的QQ用户,而传统的行为检测只能对链路层、网
络层、传输层进行数据处理,不能对应用层进行操作。
应用特征识别技术
深度包检测(DPI) VS 深度流检测(DFI)
• DFI仅对流量行为分析,因此只能对应用类型进行笼统分类,如对满足P2P流
量模型的应用统一识别为P2P流量,对符合网络语音流量模型的类型统一归
类为VOIP流量,但是无法判断该流量是否采用H.323或其他协议。
• 如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具
体应用,而DFI方式的流控技术则不受影响,因为应用流的状态行为特征不
会因加密而根本改变。
3.4.2 HTTP识别控制技术
HTTP识别工作原理
HTTP网站识别,终端设备通过DNS解析域名后,跟网站服务器三次握手完
成,发给get请求,在get请求数据包中的host字段,就是我们访问网站的具体
URL,我们通过抓取这个字段来识别终端用户是访问的哪个网站,例如,我在
终端设备访问www.youku.com,抓包就可以得到如下数据包。
HTTP控制工作原理
如果我们对该url做封堵,终端设备在发出get请求后(即完成HTTP识别), 设
备会伪装成网站服务器向终端设备发一个状态码302的数据包,源ip是网站 服
务器的ip地址(实际是我们设备发送的,我们设备发送的标识是ip.id为 0x5826
),数据包中的内容是告知终端设备访问网站服务器的拒绝界面,如下 图所示
:访问http://10.1.3.40:80/disable/disable.htm
3.4.3 HTTPS识别控制技术
3.7.1 内容审计需求背景
3.7.2 上网行为审计技术
3.7.3 外发邮件审计技术
3.7.4 SSL内容解密技术
3.7.5 WEB关键字过滤技术
解决思路
1、通过上网权限策略的“web关键字过滤”来禁止通过搜索引擎搜索“法伦功”
2、通过上网权限策略的“HTTP上传”来拒绝外发含“法伦功”关键字的贴子/邮
件/微博
3.7.6 IM聊天内容审计技术
需求背景
QQ客户端聊天内容在网络上是通过OICQ协议传输的,内容是加密的,这种数据业
界都没有办法解密。
如果客户想审计员工的QQ聊天记录,怎么实现?
安全等保复习笔记
信息安全概述
1.2 信息安全的脆弱性及常见安全攻击
• 网络环境的开放性
物理层–物理攻击
• 物理设备破坏
➢ 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
➢ 设备破坏攻击的目的主要是为了中断网络服务
• 物理设备窃听
➢ 光纤监听
➢ 红外监听
自然灾害
• 常见场景:高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。
• 典型案例:
➢ 2010年澳大利亚的Datacom网络中心,当时的大暴雨将Datacom主机代管中心的天花板冲毁,使得
服务器、存储和网络设备都遭损坏。
➢ 2008年3月19日,美国威斯康辛数据中心被火烧得一塌糊涂,该数据中心耗时十天才得以完全恢复
过来,足以说明该数据中心在当时并没有完备的备份计划。
➢ 2011年3月11日,日本遭受了9级大地震,在此次地震中,日本东京的IBM数据中心受损严重。
➢ 2016年,受台湾地区附近海域地震影响,中国电信使用的FNAL海底光缆阻断。
• 常见处理办法:建设异地灾备数据中心。
• 操作系统的脆弱性及常见攻击
操作系统自身的漏洞
• 人为原因
➢ 在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
• 客观原因
➢ 受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程
序效率,重则导致非授权用户的权限提升。
• 硬件原因
➢ 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
终端的脆弱性及常见攻击
勒索病毒
• 定义:
➢ 一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,
直至用户支付赎金使系统解锁。
• 特点:
➢ 调用加密算法库、通过脚本文件进行Http请求、通过脚本
文件下载文件、读取远程服务器文件、通过wscript执行文
件、收集计算机信息、遍历文件。
• 危害:
➢ 勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,
并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳
黑客要求的金额,被锁文件将永远无法恢复。
勒索病毒第一阶段:锁定设备,不加密数据
勒索病毒第二阶段:加密数据,交付赎金后解密
勒索病毒第三阶段:攻陷单点后,横向扩散
勒索病毒第四阶段:加密货币的出现改变勒索格局
勒索病毒第五阶段:RaaS模式初见规模
挖矿病毒
• 定义:
➢ 一种恶意程序,可自动传播,在未授权的情况下,
占用系统资源,为攻击者谋利,使得受害者机器性
能明显下降,影响正常使用。
• 特点:
➢ 占用CPU或GPU等计算资源、自动建立后门、创
建混淆进程、定期改变进程名与PID、扫描ssh文
件感染其他机器。
• 危害:占用系统资源、影响系统正常使用。特洛伊木马
• 定义:
➢ 完整的木马程序一般由两个部份组成:服务器程序与
控制器程序。
➢ “中了木马”就是指安装了木马的服务器程序,若你
的电脑被安装了服务器程序,则拥有控制器程序的人
就可以通过网络控制装有服务器程序的电脑。
• 特点:
➢ 注
蠕虫病毒
• 定义:
➢ 蠕虫是一种可以自我复制的代码,并且通过网络传播,
通常无需人为干预就能传播。蠕虫病毒入侵并完全控
制一台计算机之后,就会把这台机器作为宿主,进而
扫描并感染其他计算机。
• 特点:
➢ 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络
隐藏攻击者的位置。
• 危害:拒绝服务、隐私信息丢失
宏病毒
• 定义:
➢ 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
• 特点:
➢ 感染文档、传播速度极快、病毒制作周期短、多平台
交叉感染
• 危害:
➢ 感染了宏病毒的文档不能正常打印。
➢ 封闭或改变文件存储路径,将文件改名。
➢ 非法复制文件,封闭有关菜单,文件无法正常编辑。
➢ 调用系统命令,造成系统破坏。
流氓软件/间谍软件
• 定义:
➢ 流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运
行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。
➢ 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它
能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。
• 特点:
➢ 强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶
意安装等。
• 危害:
➢ 窃取隐私,影响用户使用体验。
僵尸网络
• 定义:
➢ 采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者
和被感染主机之间所形成的一个可一对多控制的网络。
➢ 僵尸程序:指实现恶意控制功能的程序代码;
➢ 控制服务器:指控制和通信(C&C)的中心服务器
• 特点:
➢ 可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,
它具
➢ 有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计
算机添加到这个网络中来,可以一对多地执行相同的恶意行为。
• 危害:
➢ 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿
• 其他常见攻击
社工攻击
• 原理:
➢ 社会工程攻击,是一种利用”社会工程学” 来实施
的网络攻击行为。
➢ 在计算机科学中,社会工程学指的是通过与他人
的合法地交流,来使其心理受到影响,做出某些
动作或者是透露一些机密信息的方式。这通常被
认为是一种欺诈他人以收集信息、行骗和入侵计
算机系统的行为。
• 防御手段:
➢ 定期更换各种系统账号密码,使用高强度密码等。
人为因素
• 无意的行为
➢ 工作失误——如按错按钮;
➢ 经验问题——不是每个人都能成为系统管理员,因此
并不了解贸然运行一个不知作用的程序时会怎么样;
➢ 体制不健全——当好心把自己的账号告诉朋友时,你
却无法了解他会如何使用这一礼物;
• 恶意的行为
➢ 出于政治的、经济的、商业的、或者个人的目的
➢ 病毒及破坏性程序、网络黑客
➢ 在Internet上大量公开的攻击手段和攻击程序
防范措施
• 1.提升安全意识,定期对非IT人
员进行安全意识培训和业务培训;
• 2.设置足够强的授权和信任方式,
完善最低权限访问模式;
• 3.组织需要完善和落地管理措施,
保障安全管理制度是实际存在的;
• 4.善于利用已有的安全手段对核
心资产进行安全保护等
拖库、洗库、撞库
跳板攻击
• 原理:
➢ 攻击者通常并不直接从自己的系统向目标发动攻击,
而是先攻破若干中间系统,让它们成为“跳板”,再通
过这些“跳板”完成攻击行动。
➢ 跳板攻击就是通过他人的计算机攻击目标.通过跳板实
施攻击。
• 防御手段:
➢ 安装防火墙,控制流量进出。系统默认不使用超级管
理员用户登录,使用普通用户登录,且做好权限控制。
水坑攻击
• 原理:
➢ 攻击者首先通过猜测(或观察)确定特定目标经常访问
的网站,并入侵其中一个或多个网站,植入恶意软件。
最后,达到感染目标的目的。
1.3 信息安全要素
信息安全的五要素
• 保密性—confidentiality
• 完整性—integrity
• 可用性—availability
• 可控性—controllability
• 不可否认性—Non-repudiation
保密性
• 保密性:确保信息不暴露给未授权的实体或进程。
• 目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻
击中的被动攻击。
完整性
• 只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。
完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。
可用性
• 得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问
控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突
然中断。
可控性
• 可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授
权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时
能恢复密钥,实现对网络资源及信息的可控性。
不可否认性
• 不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等
安全机制,使得攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题
提供调查依据和手段,实现信息安全的可审查性。
1.4 整体安全解决方案
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
