日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
詳解IPSG

IPSG是一種基于 IP/MAC 的端口流量過濾技術(shù),它可以防止局域網(wǎng)內(nèi)的 IP 地址欺騙攻擊。IPSG 能夠確保第 2 層網(wǎng)絡(luò)中終端設(shè)備的 IP 地址不會被劫持,而且還能確保非授權(quán)設(shè)備不能通過自己指定 IP 地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓,下面為大家詳細(xì)講解一下IPSG。

成都創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷,包括網(wǎng)站制作、做網(wǎng)站、SEO優(yōu)化、網(wǎng)絡(luò)推廣、整站優(yōu)化營銷策劃推廣、電子商務(wù)、移動互聯(lián)網(wǎng)營銷等。成都創(chuàng)新互聯(lián)為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制及解決方案,成都創(chuàng)新互聯(lián)核心團隊十多年專注互聯(lián)網(wǎng)開發(fā),積累了豐富的網(wǎng)站經(jīng)驗,為廣大企業(yè)客戶提供一站式企業(yè)網(wǎng)站建設(shè)服務(wù),在網(wǎng)站建設(shè)行業(yè)內(nèi)樹立了良好口碑。

IPSG基礎(chǔ)概念

隨著網(wǎng)絡(luò)規(guī)模越來越大,基于源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網(wǎng)絡(luò)資源,取得合法使用網(wǎng)絡(luò)資源的權(quán)限,甚至造成被欺騙者無法訪問網(wǎng)絡(luò),或者信息泄露。IPSG針對基于源IP的攻擊提供了一種防御機制,可以有效的防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

IPSG功能是基于綁定表(DHCP動態(tài)和靜態(tài)綁定表)對IP報文進(jìn)行匹配檢查。當(dāng)設(shè)備在轉(zhuǎn)發(fā)IP報文時,將此IP報文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和綁定表的信息進(jìn)行比較,如果信息匹配,表明是合法用戶,則允許此報文正常轉(zhuǎn)發(fā),否則認(rèn)為是攻擊報文,并丟棄該IP報文。

疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性

部署場景

一般部署在靠近用戶的接入交換機(也可以在匯聚或者核心交換機)上,可以防范針對源IP地址進(jìn)行欺騙的攻擊行為,如非法主機仿冒合法主機的IP地址獲取上網(wǎng)權(quán)限或者攻擊網(wǎng)絡(luò)。主要應(yīng)用場景如下:

場景1:通過IPSG防止主機私自更改IP地址 主機只能使用DHCP Server分配的IP地址或者管理員配置的靜態(tài)地址,隨意更改IP地址后無法訪問網(wǎng)絡(luò),防止主機非法取得上網(wǎng)權(quán)限。 打印機配置的靜態(tài)IP地址只供打印機使用,防止主機通過仿冒打印機的IP地址訪問網(wǎng)絡(luò)。

場景2:通過IPSG限制非法主機接入(針對IP地址是靜態(tài)分配的環(huán)境) 固定的主機只能從固定的接口接入,不能隨意更換接入位置,滿足基于接口限速的目的。 外來人員自帶電腦不能隨意接入內(nèi)網(wǎng),防止內(nèi)網(wǎng)資源泄露。 對于IP地址是DHCP動態(tài)分配的環(huán)境,一般是通過NAC認(rèn)證(比如Portal認(rèn)證或802.1x認(rèn)證等)功能實現(xiàn)限制非法主機接入。

組網(wǎng)拓?fù)?/h3>

疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性

思路

采用如下的思路在Switch上配置IPSG功能(假設(shè)用戶的IP地址是靜態(tài)分配的):

接口使能IP報文檢查功能。連接HostA和HostB的接口都需要使能該功能。

配置靜態(tài)綁定表,對于靜態(tài)配置IP的用戶建立綁定關(guān)系表。

配置步驟

(1) 配置IP報文檢查功能

system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在連接HostA的GE0/0/1接口使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在連接HostA的GE0/0/1接口使能IP報文檢查告警功能并配置告警閾值。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在連接HostB的GE0/0/2接口使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在連接HostB的GE0/0/2接口使能IP報文檢查告警功能并配置告警閾值。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/2] quit

(2) 配置靜態(tài)綁定表項

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA為靜態(tài)綁定表項。

(3) 驗證結(jié)果

在Switch上執(zhí)行命令可以查看綁定表信息。

display dhcp static user-bind all

疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性疫情當(dāng)前 網(wǎng)絡(luò)安全更重要——IPSG特性


網(wǎng)站名稱:詳解IPSG
文章起源:http://www.dlmjj.cn/article/dpgcjic.html