针对网络面临的威胁，加强网络设计、建设和运行过程中的安全保护，ITU在X.805标准中明确提出了基于层和面2个轴线的安全框架，如图2-1所示，并指出了每一个分层，每一个分面应该具有的安全能力和功能。第一个轴线是安全层，分为三层，分别是基础设施层，服务层和应用层；第二个轴线是安全平面，分为三个面，分别是管理平面、控制平面和用户平面。

在路由器中，安全防御体系主要包括如下几种类型：

转发引擎安全防御机制
路由器转发引擎，由于处理性能高，如果能够在转发面实现安全检测，把非法的报文识别出来并合理的处理，对网络安全来说是最好的方案。

但是转发引擎一般都是硬件实现，灵活性不如纯软件。因此，转发引擎只能检测具有固定特征、无需复杂的计算和处理的非法报文，安全处理机制要求较为简单且流程相对固定。

例如：

畸形报文检测，把明显违反协议规则的报文检测出来并丢弃；
广播风暴抑制，检测到广播风暴之后，直接在转发面把风暴来源利用动态ACL等方法，丢弃或者限速广播报文；
URPF直接在这方面查找端口和源地址匹配信息，不匹配直接丢弃；
分片报文泛洪时，由转发面直接进行分片报文限速；
对简单的ARP、ICMP、PPP Keep Alive等报文，直接由转发面应答客户端的请求，避免上送控制面。

采用转发引擎来实施安全策略，由于性能高，因此对流量泛洪攻击类的安全事件，能够非常好的应对，避免转发面把报文发给CPU处理，由于CPU的处理能力局限导致CPU过载，影响路由器可靠性。

路由器控制面安全防御能力
在NetEngine 8100 M控制平面，为了保障控制协议和业务的正常运行，提供了如下的安全防御能力：

应用层联动
畸形报文防攻击
路由协议认证核验
GTSM(Generalized TTL Security Mechanism)
攻击溯源与告警
黑名单和白名单
Session-CAR
微隔离CAR

路由器管理面安全防御能力
在NetEngine 8100 M管理平面，为了保障路由器操作系统和管理应用能够正常运行，提供了如下安全防御能力：

安全启动
系统权限管理控制
账户权限管理控制
日志记录系统
安全管理通道，SNMPv3、SSH、SFTP等
高级加密算法
分级信息隔离
TACACS授权管理
AAA鉴权授权
HWTACACS授权管理

交换机控制面安全防御能力
在交换机的控制平面，为了保障控制协议和业务的正常运行，提供了如下的安全防御能力：

应用层联动
畸形报文防攻击
路由协议认证核验
GTSM(Generalized TTL Security Mechanism)
基于安全认证的安全防御
攻击溯源与告警
CPU报文速率限制(CPU-defend)
黑名单
用户自定义流(基于ACL)
二层环路检测与抑制

交换机转发面安全防御能力
在交换机的转发平面，为了保障交换机的CPU系统能够正常运行，提供了如下的安全防御能力：

ACL访问控制列表
URPF
二层ARP/MAC表项限制
DHCP Snooping
IP Source Guard
广播/组播/未知单播报文速率限制

交换机管理面安全防御能力
在交换机的管理平面，为了保障交换机的操作系统和管理应用能够正常运行，提供了如下的安全防御能力：

系统权限管理控制
账户权限管理控制
日志记录系统
安全管理通道，SNMPv3、SSH、SFTP等
高级加密算法
分级信息隔离
TACACS授权管理
AAA鉴权授权记账

运维安全管理与审计系统（堡垒机）

{

"registry-mirrors": [
    "http://hub-mirror.c.163.com",
    "https://docker.mirrors.ustc.edu.cn",
    "https://registry.docker-cn.com"
]

}

ubuntu 安装docker

华为交换机实现端口隔离功能
端口隔离功能原理：在交换机的接口视图下开启此接口的端口隔离功能，交换机默认是将隔离的端口加入到了一个隔离组中，默认是group 1，处于同一个组中的端口之间是不能互相访问的。不同组之间的端口是可以互相访问的。

这样实现的效果是，1、2口之间的主机即使处于同一个网段中也是不能互相访问的，但是他们和3口之间是可以互相访问的。这属于端口隔离中的双向隔离。需要注意的是，同组中的端口是不能互相访问的，即使没有配置端口隔离的端口，是可以和配置了的端口进行访问的。

ARP安全简介
定义
ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。

目的
ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。在网络中，常见的ARP攻击方式主要包括：

ARP泛洪攻击，也叫拒绝服务攻击DoS（Denial of Service），主要存在这样两种场景：

设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

ARP欺骗攻击，是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害：
会造成网络连接不稳定，引发用户通信中断。
利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口令，造成被攻击者重大利益损失。
为了避免上述ARP攻击行为造成的各种危害，可以部署ARP安全特性。

受益
可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。
可以为用户提供更安全的网络环境和更稳定的网络服务。

配置STP BPDU保护功能
二层网络中部署生成树协议时，建议在边缘端口上配置BPDU保护功能，避免边缘端口受到BPDU报文攻击导致网络拓扑改变及业务流量中断，提高交换网络的可靠性和安全性。
什么是BPDU保护
正常情况下，交换机边缘端口不会收到BPDU。但如果有人伪造BPDU恶意攻击交换机，当边缘端口接收到BPDU时，交换机会自动将边缘端口设置为非边缘端口，并重新进行生成树计算。当攻击者发送的BPDU报文中的桥优先级高于现有网络中根桥优先级时会改变当前网络拓扑，可能会导致业务流量中断。
交换机上启动了BPDU保护功能后，如果边缘端口收到BPDU，边缘端口将被shutdown，但是边缘端口属性不变，因此不会影响网络中生成树拓扑，从而避免业务中断。

在系统视图下执行命令stp bpdu-protection，配置BPDU保护功能。
在任意视图下执行命令display stp active，根据回显中BPDU-Protection字段查看BPDU保护功能的使能状态。

攻击防范分类
畸形报文（abnormal）攻击防范:没有IP载荷的泛洪、IGMP空报文、LAND攻击、Smurf攻击、TCP标志位非法攻击
分片报文（fragment ）攻击防范：分片数量巨大攻击、巨大Offset攻击、重复分片攻击、Tear Drop攻击、Syndrop攻击、NewTear攻击、Bonk攻击、Nesta攻击、Rose攻击、Fawx攻击、Ping of Death攻击、Jolt攻击
泛洪攻击防范：TCP SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击

执行命令anti-attack abnormal enable，使能畸形报文攻击防范功能。
执行命令anti-attack fragment enable，使能分片报文攻击防范功能。
执行命令anti-attack fragment car cir 速率，限制分片报文接收的速率。
执行命令anti-attack tcp-syn enable，使能TCP SYN泛洪攻击防范功能。
执行命令anti-attack tcp-syn car cir 速率，限制TCP SYN报文接收的速率。
执行命令anti-attack udp-flood enable，使能UDP泛洪攻击防范功能。
执行命令anti-attack icmp-flood enable，使能ICMP泛洪攻击防范功能。
执行命令anti-attack icmp-flood car cir 速率，限制ICMP泛洪攻击报文接收的速率。

我们可以通过下列两种接口连接并配置交换机路由器等网络设备。
（1）通过console口接计算机,通过超级终端配置。
（2）通过网络接口,计算机通过telnet,ssh协议连接到交换机路由器等网络设备的VTY用户界面。

用户可以通过Console口、Telnet或STelnet等方式(VTY界面)登录设备，使用设备提供的命令行对设备进行管理和配置。同时用户可以从本设备通过Telnet、STelnet方式来登录其他设备.

用户的认证有两种方式：AAA认证和Password认证。

AAA认证：登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确，如果正确，允许登录，否则拒绝登录。
Password认证：也称密码认证，登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同，允许登录，否则拒绝登录。

配置VTY用户界面的认证方式（通过STelnet登录）
通过STelnet登录设备需配置用户界面支持的协议是SSH，因此必须设置VTY用户界面认证方式为AAA认证，否则执行命令protocol inbound ssh配置VTY用户界面所支持的协议为SSH将不能成功。

配置SSH用户
SSH用户用于STelnet登录，在配置VTY用户界面的认证方式为AAA基础上，还需要配置SSH用户的认证方式。
SSH用户支持Password、RSA、ECC、Password-RSA、Password-ECC和ALL认证方式。

SSH client端
1.如果ssh用户认证模式为password,则需要创建RSA主机密钥对,否则无需创建密钥对

rsa local-key-pair create

显示RSA主机密钥对的公钥

display rsa local-key-pair public

2.启用SSH首次登录认证功能，忽略对ssh服务器RSA公钥的检查。

ssh client first-time enable

3.登录ssh服务器

stelnet  ssh服务器IP

SSH Server端

1.配置VTY用户界面

user-interface vty 0 4 
      authentication-mode aaa  认证模式为aaa
      protocol inbound ssh   允许ssh协议
      user privilige level 15 用户界面用户级别为15

2.创建ssh client端的公钥名称

rsa peer-public-key 公钥名称,并以"peer-public-key end"结束

 

3.使用ssh user命令创建ssh用户

ssh user sshuser authentication-type password/rsa 如果ssh认证模式为password,则需要使用aaa创建对应的用户与密码.
  ssh user sshuser service-type stelnet      用户服务类型
  ssh user sshuser assign rsa-key 公钥名称  分配对应RSA公钥给ssh用户

4.使用aaa创建用户

aaa
       local-user sshuser password simple 123456

5.开启ssh服务器功能

stelnet server enable

信息安全工程师(中级)—重要知识点总结
2022年信息安全工程师考试知识点（汇总）