美文网首页
网络设备安全

网络设备安全

作者: Tess鱼丸 | 来源:发表于2023-04-22 02:26 被阅读0次

    信息安全管理与评估技能大赛第一阶段真题解析

    任务1∶SQL注入攻防(55分)

    DCRS :交换机
    DCFW:防火墙
    DCFS :流控
    NETLOG:日志服务器

    RIP v2

    vlan2
    192.168.253.28/27
    vlan10
    192.168.1.254/24
    vlan20
    192.168.254.120/25
    vlan30
    192.168.255.118/25
    vlan110
    192.168.249.100/25
    
    DCRS#config
    DCRS (config)#router rip
    DCRs (config-router) #version 2
    DCRs (config-router) #network 192.168.253.28/32   /vlan2   这里子网可以全部都填/32位
    DCRs (config-router) #network 192.168.1.254/32    /vlan10
    DCRs (config-router) #network 192.168.254.120/32  /vlan20
    DCRs (config-router) #network 192.168.255.118/32  /vlan30
    DCRS (config-router) #network 192.168.249.100/32  /vlan110
    
    DCRS#config
    DCRS (config) #router rip
    DCRS (config-router) #network 192.168.253.5/29      /vlan2   也可以按照地址表明确的掩码来发布
    DCRS (config-router) #network 192.168.252.254/24    /vlan10
    DCRS (config-router) #network 192.168.255.242/23    /vlan20
    DCRS (config-router) #network 192.168.3.29/27       /vlan30
    DCRS (config-router) #network 192.168.2.200/24      /vlan110
    

    第一阶段∶任务二

    1.在公司总部的DCFW上配置,连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域。(6分)

    有些配置可以在命令行做,而有些设备可以在web界面配置,
    防火墙可以设置接口安全域为WAN,或者为LAN。

    2.在公司总部的 DCFW上配置,开启DCFW针对以下攻击的防护功能∶ICMP洪水攻击防护、UDP洪水攻击防护、SYN洪水攻击防护、WinNuke攻击防护、IP地址欺骗攻击防护、IP地址扫描攻击防护、端口扫描防护、Ping of Death攻击防护、Teardrop 攻击防护、IP分片防护、IP选项、Smurf或者Fraggle攻击防护、Land攻击防护、ICMP 大包攻击防护、TCP选项异常、DNS查询洪水攻击防护、DNS 递归音询洪水攻击防护。(6分)

    把LAN域和WAN域的攻击防护全部开启,行为选择为丢弃。

    3.在公司总部的 DCFW上新增2个用户,用户1(用户名:User1 ;密码:User.1 ) :只拥有配置查看权限不能进行任何的配置添加与修改删除。用户2(用户名:User2 ;密码:User.2 ) :拥有所有的查看权限,拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改,删除权限。(6分)

    User1只拥有配置查看权限不能进行任何的配置添加与修改删除
    User2拥有所有的查看权限,拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改,删除权限

    4.在公司总部的 DCFW上配置,内网可以访问互联网任何服务,互联网不可以访问内网。(6分)

    配置策略,trust---untrust

    5.在公司总部的DCFW上配置网页内容过滤∶内网用户不能访问互联网网站︰www.tudou.com ; (6分)

    网页内容过滤中添加黑名单"www.tudou.com",只运行域名访问开启,
    在规则集中做配置,

    6.在公司总部的DCFW上配置,使公司总部的 DCST服务器可以通过互联网被访问,从互联网访问的地址是公网地址的第三个可用地址(公网IP地址段参考“赛场IP参数表”),且仅允许PC-2通过互联网访问DCST设备。(6分)

    反向NAT,就是我们的服务器可以通过公网去访问,以为服务器本身是一个私有地址,不能直接访问,但是可以把他映射到一个公网地址上,然后外网的人就可以访问那个公网地址就可以映射到内部的私有网络去。

    创建三个地址簿
    公网的第三个地址202.100.1.3
    PC2的地址202.100.1.28
    DCST的地址192.168.252.100

    NAT---->端口映射下:
    新建高级配置
    源地址:PC2 ---->
    目的地址:Internet ---->
    行为:NAT ---->
    映射到DCST ---->
    模式:IP地址映射

    7.在公司总部的 DCFW上配置,使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网。(6分)

    正向NAT,内网所以机器都通过FW去访问internet

    为所有内网用户创建地址簿

    NAT---->NAT:
    新建高级配置---一定是高级配置,因为他是一个多对一的情况。

    源地址:User_Segment ---->
    目的地址:any ---->
    出接口:eth1 ---->
    行为:NAT ---->
    NET地址:地址簿 ---->
    地址簿:OutSide_IP ---->
    模式:动态端口

    8.为了保证正常工作,在公司总部的DCFW上配置:对于上班时间( 8∶00-17∶00 )公司总部内网浏览Internet网页,连接总数不超过2000 ; (6分)

    时间限制:(8:00-17:00)
    会话限制:不超过2000

    基于安全域的会话限制,参数如下
    安全域 : LAN
    源目IP : Any
    应用 : HTTP
    时间表 : 调用上一步配置的时间表
    类型 : 会话数2000

    9.在公司总部的 DCFW上配置,使内网访问Internet网站时,不允许访问MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)类型的文件。(6分)

    1.规则集要开启文件类型过滤
    2.网页内容过滤中设置文件类型过滤选项

    10.在公司总部的DCFW 上配置,使内网向Internet发送邮件,或者从Internet接收邮件时,不允许邮件携带附件大于50MB。(6分)

    1.规则集要开启邮件过滤
    2.邮件过滤中设置

    11.在公司总部的 DCFW上启用L2TP VPN,使分支机构通过L2TP VPN拨入公司总部,访问内网的所有信息资源。L2TP VPN地址池x.x.x.x/x(具体IP地址参考“赛场P参数表”)。(6分)

    涉及的知识点∶
    组建L2TP网络需要的三要素:LNS、LAC 和 Client。
    绑定IP为出网口IP
    地址池 192.168.251.2-192.168.251.62 ,本网段第一个可用地址作为L2TP VPN本地地址

    为L2TP创建用户
    用户名:l2tpuser
    密码:l2tpuser

    添加完后,有用户拨号访问就会在拨入列表中显示。

    创建完后到ncpa.cpl中设置VPN连接的属性
    设置完成后再连接
    抓包
    12.在公司总部的 DCFW上启用SSL VPN,使分支机构通过SSL VPN拨入公司总部,访问内网的所有信息资源。SSL VPN地址池x.x.x.x/x (具体P地址参考“赛场IP参数表”)。(6分)

    新建SSL VPN
    地址为内网地址

    私网地址段192.168.0.0/16

    新建用户ssluser,密码ssluser

    资源关联
    把用户与SSL VPN做对应

    创建SSL VPN 的实例

    地址池 192.168.249.2-192.168.249.62 本网段第一个可用地址 SSL VPN 地址池

    此SSL VPN端口是登陆时交互数据访问的端口

    此端口是下载客户端要访问的端口

    到此就SSL VPN就创建完了,
    接下来验证:

    PC2先测试通信


    下载,安装,运行

    此地址是从地址池中获取到的第一个地址

    还要查看有木有反向注入的路由

    SSL VPN资源实际上就是一条路由信息,然后拨号上来的用户,这条路由信息就会注入给他。然后用户就用这条路由来访问我们内网。

    所以他现在是可以ping同内网的地址

    但是现在抓包得到的数据是被加密过的。

    13.在PC2运行Wireshark分别对L2TP VPN和SSLVPN访问内网的流量进行捕获,并对以上两种流量进行对比分析区别。(6分)

    l2tp抓包的数据是可以看到是ICMP数据,是明文流量

    SSL VPN抓包的数据可以看到是乱码,是加密流量

    所以使用SSL VPN对于信息安全更加有保障。
    14.在公司总部的DCFS上配置,使其连接DCFW防火墙和DCR S交换机之间的接口实现二层互通。(6分)

    设置成同一个网桥,就实现了二层互通,就相当于在同一个交换机上

    知识点∶
    桥接( Bridging),是指依据OSI网络模型的链路层的地址,对网络数据包进行转发的过程,工作在OSI的第二层。一般的交换机,网桥就有桥接作用。

    15.在公司总部的 DCFS上配置,使 DCFS能够对由公司内网发起至Internet的流量实现以下操作:会话保持、应用分析、主机统计、会话限制、会话日志。(6分)

    修改接口网络区域
    一个内网,一个外网

    16.在公司总部的DCFS上配置,使工作日内(每周一至周五),阻止PC-1访问迅雷相关应用,并返回TCP Reset数据包。(6分)

    创建时间规则
    再创建控制策略(应用策略)时间和(动作)

    定义应用访问控制控制策略∶
    名称:任意
    操作∶拦截
    拦截返回:RST
    接口:内网->外网
    时间:调用上一步创建的时间表
    高级∶规则生效

    17.在公司总部的DCFS上配置,实现公司内网每用户访问Internet带宽上限为 1Mbps ,全部用户访问Internet带宽上限为100Mbps。(6分)

    策略控制->带宽通道管理->

    策略控制->带宽通道策略->

    服务∶定义为“服务不包含对象”,并且定义为无任何类型的服务

    18.在题目15条件的基础之上,继续在在公司总部的DCFS上配置,实现公司内网每用户访问Internet的FTP 服务带宽上限为512Kbps,全部用户访问Internet的FTP服务带宽上限为20Mbps。(6分)

    策略控制->带宽通道策略->

    19.在公司总部的 DCBI 上配署,设备部署方式为旁路模式,并配置监控接口。(6分)
    20. 在公司总部的 DCRS交换机上配詈SPAN,使内网经过 DCRS 交换机的全部流量均交由DCBI分析。(6分)

    得分要点:
    DCRS 交换机 SPAN配置:
    源端口:除了连接 Netlog 的全部接口
    目的接口:连接Netlog的接口
    源、目的: Session ID 一致

    DCRS-5650 (config) #
    monitor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18  rx
    /要镜像的源接口 发送流量
    moritor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18  tx
    /要镜像的源接口 接收流量
    monitor session 1 destination interface ethernet 1/0/6    
    /再把镜像的流量发送到DCBI的接口,发给他让他分析去。
    
    21.在公司总部的 DCBT上配善,监控内网所有用户的即时聊天记录。(6分)

    规则配置


    22.在公司总部的DCBT上配苦,监控内网所有用户的网站访问记录。(6分)

    同样规则配置


    23.在公司总部的DCRS交换机上运行SSH 服务,客户端PC1运行支持SSH2.0标准的客户端软件如Secure Shell Client或 Putty ,使用用户名和密码方式登录交换机。(6分)

    Secure Shell

    DCRS交换机配置截图包含:
    创建vlan20
    van 20
    Interface Ethernet1/0/9
    switchport access vlan 20
    lnterface Vlan20
    ip address 192.168.255.242 255.255.254.0
    
    启用ssh,并为ssh创建一个用户
    ssh-server enable
    username sshuser privilege 15 password 0 sshuser
    (为SSH 新建用户、privilege 15)
    
    接下来pc就可以通过putty软件进行ssh连接交换机进行配置
    
    
    24.在公司总部的DCRS交换机上启动SSL功能客户端PC1通过浏览器客户端通过 https 登录交换机时,交换机和浏览器客户端进行SSL握手连接,形成安全的SSL连接通道,从而保证通信的私密性。(6分)
    DCRS交换机配置包含:
    ip http secure-server
    username ssluser privilege 15 password 0 ssluser
    (为SSL新建的用户, privilege 15 ) 
    接下来就可以通过浏览器地址栏进行访问https:/ /交换机地址
    
    25.在公司总部的 DCRS上配置除内网P地址段的 RFC3330过滤来限制源P欺骗攻击。(6分)
    DCRS交换机配詈包含:
    firewall enable    开启交换机防火墙功能
    ip access-list standard XXX(任意)
    deny 0.0.0.0      0.255.255.255
    deny 10.0.0.0     0.255.255.255
    deny 14.0.0.0     0.255.255.255
    deny 24.0.0.0     0.255.255.2554
    deny 39.0.0.0     0.255.255.2554
    deny 127.0.0.0    0.255.255.2554
    deny 128.0.0.0    0.0.255.255
    deny 169.254.0.0  0.0.255.255
    deny 172.16.0.0   0.15.255.255
    deny 191.255.0.0  0.0.255.255e
    deny 192.0.0.0    0.0.0.25541
    deny 192.0.2.0    0.0.0.255
    deny 192.88.99.0  0.0.0.255
    
    这个是内网要用的网段要排除出去
    deny 192.168.0.0  0.0.255.255
    //
    
    deny 198.18.0.0   0.1.255.255
    deny 223.255.255.0 0.0.0.255
    deny 224.0.0.0    15.255.255.255
    deny 240.0.0.0    15.255.255.255
    permit any-source
    exit
    
    应用到接口使其生效
    Interface Ethernet 1/0/5
    ip access-group XXX(与上一步ACL名称一致)in
    连接DCFS 的接口应用该列表
    
    26.在公司总部的DCRS 上配置,VLAN110用户可通过 DHCP的方式获得P地址,在交换机上配置 DHCP Server,地址池名称为 pool110,DNS地址为202.106.0.20,租期为8天VLAN110网段最后20个可用地址 (DHCP 地址段参考“赛场IP参数表”)不能被动态分配出去。(6分)
    DCRS交换机配置包含:
    service dhcp   #开启dhcp
    ip dhcp excluded-address 192.168.2.181 192.1682.200 #排除最后20个可用地址
    (该段IP需要匹配参数表中 DCRS 地址池中后20个IP地址)
    ip dhcp pool pool110  #创建pool110的地址池
    network-address 192.168.2.0 255.255.255.0  #分配地址范围
    lease 8 0 0   #租期8天
    default-router 192.168.2.200   #网关
    dns-server 202.106.0.20   #dns
    
    给vlan110也要配置ip地址
    lnterface Vlan110
    ip address 192.168.2.200 255.255.255.0
    
    27.配置公司总部的 DCRS,防止来自VLAN110接口的DHCP地址池耗尽攻击。(6分)
    DHCP Starvation 攻击原理:
    DHCP Starvation 是用虚假的 MAC地址广播DHCP请求。用诸如Yersinia这样的软件可以很容易做到这点。
    如果发送了大量的请求,攻击者可以在一定时间内耗尽 DHCP Servers可提供的地址空间。
    这种简单的资源耗尽式攻击类似于SYN flood。
    接着,攻击者可以在他的系统上仿冒一个 DHCP 服务器来响应网络上其他客户的 DHCP 请求。
    DHCP Snooping工作原理:
    当交换机开偿了DHCP Srooping后,会对 DHCP 报文进行侦听,井可以从接收到的DHCP Request或 DHCP Ack报文中提取并记录IP地址和 MAC地址信息。
    另外,DHCP-Snooping 光许将基个物理端口设善为信任端国或不信任端画。
    信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口全将接收到的DHCP Offer:报文器弃。
    这样可以完成交换机对假冒:DHCP Server 的屏蔽作用,确保客户端从合法的DHCP Server获取P地址。
    
    配置
    启用 DHCP Snooping
    Switch ( config ) #ip dhcp snooping enable
    2、定义启用 DHCP Snooping的 VLAN
    Switch ( config 1 #ip dhcp snooping vlan110
    3、在连接 DHCP客户机的接口限制 DHCP Discovery数据包的发送速度,防止DHCP Starvation 攻击
    Switch ( config ) #ip dhcp snooping limit rate <rate>
    Switch ( config ) #ip dhcp snooping limit rate 5 #大于5后这个接口就回被shutdown
    4交换机启用DHCP Snoqping之后,
    所有的接口默认不能接收DHCP Offer、 DHCP Ack数据包,
    为了能使连接正常 DHCP服务器的接口收到DHCP Offer,DHCP Ack数据包,
    需要将交换机连接正常DHCP 服务器的接口设置为dhcp snooping trust模式
    Switch(config-if-ethernet1/0/4)#ip dhcp snooping trust
    -------
    得分要点:
    DCRS 交换机配置包含:
    lp dhcp snooping enable
    lp dhcp snooping vlan 110
    ip dhcp snooping limit-rate(该数值任意)
    
    28.配置公司总部的 DCRS,防止来自VLAN110接口的 DHCP 服务器假冒攻击。(6分)

    抵御DHCP Offer、 DHCP Ack这两种数据包,来实现抵御DHCP假冒攻击。

    DCR.S-5650(config) #interface ethernet 1/0/4
    DCRS-5650 (config-if-ethernet1/0/4)#no ip dhcp snooping trust     # untrust接口就回不接受DHCP Offer、 DHCP Ack这两种数据包
    DCRS-5650 (config-if-ethernet1/0/4)#ip dhcp snooping action blackhoie recovery  <10-3600> second(该数值任意)   #检测违规
    #检测DHCP Offer、 DHCP Ack后就违规了,就直接扔到黑洞里去,恢复时间10-3600随意设置。
    
    29.在公司总部的 DCRS上配署端口环路检测 (Loopback Detection),防止来自接口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒 (6分)
    多端口环路可以用生成树解决
    单端口环路,使用Loopback Detection
    全局模式下:
    DCRS-5650(config)#loopback-detection interval-time 50 20
    -----
    DCRS-5650(config)#loopback-detection interval-time ?   #存在环路检测时间
    <5-300> Loopback interval time range <5-300>s
    DCRS-5650(config)#loopback-detection interval-time 50 ?   #不存在环路检测时间
    <1-30> No loopback interval time range <1-30>s
    
    30.在公司总部的 DCRS上配置,需要在交换机第10个接口上开启基于MAC地址模式的认证,认证通过后才能访问网络,认证服务器连接在服务器区,IP地址是服务器区内第105个可用地址 (服务器区IP地址段参考“赛场IP参数表”) ,radius key是dcn。
    DCRS交换机配置包含∶
    aaa enable
    dot1x enable    #启用802.1x
    radius-server key 0 dcn   #配置key值
    ------
    先配置这个才能启用 aaa enable
    radius-server authentication host 192.168.252.105  (与参数表一致:服务器场景网段内第105个可用地址)
    ------
    接下来在接口开启802.1x
    Interface Ethernet1/0/10
    dot1x enable    #启用802.1x
    dot1x port-method macbased   #配置基于mac地址的认证
    
    31.黑客主机接入直连终端用户VLAN110,通过 RIPV2路由协议向DCRS注入度量值更低的外网路由,从而代理内网主机访问外网,进而通过Sniffer来分析内网主机访问外网的流量(如账号、密码等敏感信息)。通过在DCRS上配置 HMAC,来阻止以上攻击的实现。(认证Key须使用Key Chain实现) (6分)
    PC2接入router的vlan110,通过主机运行ospf,跟交换机直接运行动态路由协议,从而把默认路由注入给交换机,而且这条默认路由的度量值比firewall更小,所以router就会把所有数据都转发给PC2。
    DCRS 配置 RIPV2 :
    router rip:
    network 192.168.110.0/24
    / Network : VLAN1101P 网络号/前缀(参数表计算结果)
    network 192.168.253.0/29
    / Network : 与 DCFW之间的网络号/前缀(参数表计算结果)
    
    DCRS 的 HMAC配置:
    interface Vlan110
    ip rip authentication mode md5
    ip rip authentication key-chain (名称任意)
    key chain dcn (配上一步 key-chain名称)
     key 10 (任意)
      key-string dcn1234567890 (任意不易被暴力破解的密钥)
    
    32.为方使公司总部网络规模扩展,将公司总部的 DCRS交换机的24端口配置为 Trunk模式,用于将来继续连接其它的交换机,配置公司总部的 DCRS ,使其能够防御由此带来VLAN Hopping (VLAN 跳跃)攻击。(6分)

    打了两成tag,第一层tag与外围交换机管理vlan 5 tag一致,到trunk交换机时,trunk交换机会把外层的管理vlan tag去掉,就只剩第二次vlan tag,第二次vlan tag到里面的交换机后直接就转发给相应vlan了,就实现了外部vlan5 访问到内部vlan96。

    1、设置一个专门的 VLAN ,如VLAN888,并且不把任何连接用户PC的接口设置到这个VLAN;
    vlan 999
    Interface Ethermet1/0/24
    switchport mode trunk
    switchport trunk native vlan 999
    #show vlan
    VLAN999中除了24接口之外没有任何接;
    
    2、强制所有经过 Trunk的流量携带802.1Q标记
    Switch (config) #  vlan dot1q tag native
    
    33.配置公司总部的 DCRS,通过gratuitous ARP来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。(6分)

    发送免费arp信息,如果有arp攻击,是针对网关的,那么网关会主动向主机报告自己的ip和mac。从而可以抵消掉已经被毒化的arp状态。

    DCRS交换机配詈包含:
    interface Vlan110
    ip gratuitous-arp
    
    34.配置公司总部的DCRS 通过ARP Guard来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。(6分)
    将 VLAN110 中全部接口配置:
    DCRs-5650(config)#interface vlan 110
    DCRS-5650(config-if-vlan110)#ip gratuitous-arp   #vlan中要配置
    DCRS-5650(config-if-vlan110)#ip address 192.168.110.200  255.255.255.0
    
    DCRs-5650(config)#vlan 110
    DCRS-5650(config-vlan110)#switchport interface ethernet 1/0/10-15
    set the port Ethernet1/0/10 access vlan 110 successfully
    set the port Ethernet1/0/11 access vlan 110 successfully
    set the port Ethernet1/0/12 access vlan 110 successfully
    set the port Ethernet1/0/13 access vlan 110 successfully
    set the port Ethernet1/0/14 access vlan 110 successfully
    set the port Ethernet1/0/15 access vlan 110 successfully
    DCRS-5650(config-vlan110)#exit
    DCRS-5650(config)#interface ethernet 1/0/10-15
    DCRS-5650(config-if-port-range)#arp-guard ip 192.168.110.200   #接口中也要配置
    DCRS-5650(config-if-port-range)#exit
    
    35.配置公司总部的 DCRS 防止对公司总部服务器的以下3类 (DOS Denial Of Service) 攻击:ICMP Flood 攻击、LAND攻击,.SYN Flood 攻击。(6分)
    DCRS交换机配置包含∶
    dosattack-check icmp-attacking enable
    /防止ICMP Flood 攻击
    dosattack-check srcip-equal-dstip enable
    /防止LAND 攻击
    就是源地址和目的地址相同的包,让自己回复给自己。就是死循环的发送数据包。
    dosattack-check tcp-flags enable
    /防止SYN Flood 攻击
    
    ----
    DCRS-5650(config)#dosattack-check ?
    icmp-attacking         Enable ICMP DoS attack checks
    icmpv4-size            ICMPv4
    iempv6-size            ICMPv6
    ipv4-first-fragment    enable checking on first fragment IP packets
    srcip-equal-dstip      sipequaldip drop
    sreport-equal-dstport  Enable checking TC/UDP L4 port
    tcp-flags              Enable checking TCP Dos attacks on invalid flags
    tcp-fragment           Enable checking TCP DOs fragment attack
    tcp-segment            TCP segment size
    
    36.配置公司总部的 DCRS,通过控制平面(Control Plane)策略,防止 DCRS 受到来目于VLAN110接口的 DOS ( Denial Of Service)攻击;其中 CIR(Committed Information Rate)定义为128Kbps,TC (Time Commit)定义为8192ms,速率大于CIR的流量将被 DCRS 丢弃,其余流量将被正常发送。(6分)
    BC的计算过程;
    BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte 
    
    copp-policy-map (名称任意)·
    class (名称与上一步 Class-Map 名称一致)
    policy 128 (CIR:kbps)  128 (BC:kbyte) confom-action transmit  exceed-action drop
    
    DCRS-5650(config)#class-map van 110
    DCRS-5650(config-classmap-vlan 110)#match vlan 110
    DCRS-5650(config-classmap-vlan 110)#exit
    
    DCRS-5650(config) #copp-poliey-map  copp
    DCRS-5650(config-copp-policymap-copp) #class vlan 110
    DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy ?
    <1-10000000>     CIR (Committed Information Rate) Kbits per second <1-10000000>
    packets-per-second config PPS
    DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 ?
    <1-1000000>      CBS (Committed Burst size) Kbytes <1-100000>
    #这里的第二个参数是BC,就要用到上面的计算方法。
    
    DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128  confom-action transmit   
    在CIR策略内的流量正常转发
    DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128  confom-action transmit  exceed-action drop
    超过就丢弃
    
    
    BC的计算过程;
    BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte 
    CIR是128kbps*一个秒,(8.192)s等于1048.576kb
    1048.576kb*1000=1048576b   #乘1000
    1048576/8byte=131072byte   #除/8转成字节
    131072/1024kbyte=128kbyte  #除/1024转成k字节
    才得出128
    
    37.配置公司总部的 DCRS,通过DCP (Dynamic CPU Protection)策略,防止DCRS受到来自于全部物理接口的 DOS (Denial Of Service)攻击。(6分)

    动态CPU保护策略

    DCRS交换机配置包含:
    dcp enable
    //启用 DCP (Dynamic CPU Protection)策略
    dcp limit-rate 10 (数值任意)
    //进行报文带宽控制
    
    38.在公司总部的WAF上配置,使用 WAF的漏洞扫描功能检测 Web服务器的安全漏洞情况。(6分)
    39.在公司总部的WAF上配置,编辑防护策略,定义 HTTP 请求体的最大长度为128,防止缓冲区溢出攻击,(6分)

    40.在公司总部的 WAF上配置,编辑防护策略,要求客户机访问网站时,禁止访问*.exe的文件。(6分)

    相关文章

      网友评论

          本文标题:网络设备安全

          本文链接:https://www.haomeiwen.com/subject/mbvrjdtx.html