运维安全管理与审计系统（堡垒机）

{

"registry-mirrors": [
    "http://hub-mirror.c.163.com",
    "https://docker.mirrors.ustc.edu.cn",
    "https://registry.docker-cn.com"
]

}

ubuntu 安装docker

华为交换机实现端口隔离功能
端口隔离功能原理：在交换机的接口视图下开启此接口的端口隔离功能，交换机默认是将隔离的端口加入到了一个隔离组中，默认是group 1，处于同一个组中的端口之间是不能互相访问的。不同组之间的端口是可以互相访问的。

这样实现的效果是，1、2口之间的主机即使处于同一个网段中也是不能互相访问的，但是他们和3口之间是可以互相访问的。这属于端口隔离中的双向隔离。需要注意的是，同组中的端口是不能互相访问的，即使没有配置端口隔离的端口，是可以和配置了的端口进行访问的。

ARP安全简介
定义
ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。

目的
ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。在网络中，常见的ARP攻击方式主要包括：

ARP泛洪攻击，也叫拒绝服务攻击DoS（Denial of Service），主要存在这样两种场景：

设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

ARP欺骗攻击，是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害：
会造成网络连接不稳定，引发用户通信中断。
利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口令，造成被攻击者重大利益损失。
为了避免上述ARP攻击行为造成的各种危害，可以部署ARP安全特性。

受益
可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。
可以为用户提供更安全的网络环境和更稳定的网络服务。

配置STP BPDU保护功能
二层网络中部署生成树协议时，建议在边缘端口上配置BPDU保护功能，避免边缘端口受到BPDU报文攻击导致网络拓扑改变及业务流量中断，提高交换网络的可靠性和安全性。
什么是BPDU保护
正常情况下，交换机边缘端口不会收到BPDU。但如果有人伪造BPDU恶意攻击交换机，当边缘端口接收到BPDU时，交换机会自动将边缘端口设置为非边缘端口，并重新进行生成树计算。当攻击者发送的BPDU报文中的桥优先级高于现有网络中根桥优先级时会改变当前网络拓扑，可能会导致业务流量中断。
交换机上启动了BPDU保护功能后，如果边缘端口收到BPDU，边缘端口将被shutdown，但是边缘端口属性不变，因此不会影响网络中生成树拓扑，从而避免业务中断。

在系统视图下执行命令stp bpdu-protection，配置BPDU保护功能。
在任意视图下执行命令display stp active，根据回显中BPDU-Protection字段查看BPDU保护功能的使能状态。

攻击防范分类
畸形报文（abnormal）攻击防范:没有IP载荷的泛洪、IGMP空报文、LAND攻击、Smurf攻击、TCP标志位非法攻击
分片报文（fragment ）攻击防范：分片数量巨大攻击、巨大Offset攻击、重复分片攻击、Tear Drop攻击、Syndrop攻击、NewTear攻击、Bonk攻击、Nesta攻击、Rose攻击、Fawx攻击、Ping of Death攻击、Jolt攻击
泛洪攻击防范：TCP SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击

执行命令anti-attack abnormal enable，使能畸形报文攻击防范功能。
执行命令anti-attack fragment enable，使能分片报文攻击防范功能。
执行命令anti-attack fragment car cir 速率，限制分片报文接收的速率。
执行命令anti-attack tcp-syn enable，使能TCP SYN泛洪攻击防范功能。
执行命令anti-attack tcp-syn car cir 速率，限制TCP SYN报文接收的速率。
执行命令anti-attack udp-flood enable，使能UDP泛洪攻击防范功能。
执行命令anti-attack icmp-flood enable，使能ICMP泛洪攻击防范功能。
执行命令anti-attack icmp-flood car cir 速率，限制ICMP泛洪攻击报文接收的速率。

我们可以通过下列两种接口连接并配置交换机路由器等网络设备。
（1）通过console口接计算机,通过超级终端配置。
（2）通过网络接口,计算机通过telnet,ssh协议连接到交换机路由器等网络设备的VTY用户界面。

用户可以通过Console口、Telnet或STelnet等方式(VTY界面)登录设备，使用设备提供的命令行对设备进行管理和配置。同时用户可以从本设备通过Telnet、STelnet方式来登录其他设备.

用户的认证有两种方式：AAA认证和Password认证。

AAA认证：登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确，如果正确，允许登录，否则拒绝登录。
Password认证：也称密码认证，登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同，允许登录，否则拒绝登录。

配置VTY用户界面的认证方式（通过STelnet登录）
通过STelnet登录设备需配置用户界面支持的协议是SSH，因此必须设置VTY用户界面认证方式为AAA认证，否则执行命令protocol inbound ssh配置VTY用户界面所支持的协议为SSH将不能成功。

配置SSH用户
SSH用户用于STelnet登录，在配置VTY用户界面的认证方式为AAA基础上，还需要配置SSH用户的认证方式。
SSH用户支持Password、RSA、ECC、Password-RSA、Password-ECC和ALL认证方式。

SSH client端
1.如果ssh用户认证模式为password,则需要创建RSA主机密钥对,否则无需创建密钥对

rsa local-key-pair create

显示RSA主机密钥对的公钥

display rsa local-key-pair public

2.启用SSH首次登录认证功能，忽略对ssh服务器RSA公钥的检查。

ssh client first-time enable

3.登录ssh服务器

stelnet  ssh服务器IP

SSH Server端

1.配置VTY用户界面

user-interface vty 0 4 
      authentication-mode aaa  认证模式为aaa
      protocol inbound ssh   允许ssh协议
      user privilige level 15 用户界面用户级别为15

2.创建ssh client端的公钥名称

rsa peer-public-key 公钥名称,并以"peer-public-key end"结束

 

3.使用ssh user命令创建ssh用户

ssh user sshuser authentication-type password/rsa 如果ssh认证模式为password,则需要使用aaa创建对应的用户与密码.
  ssh user sshuser service-type stelnet      用户服务类型
  ssh user sshuser assign rsa-key 公钥名称  分配对应RSA公钥给ssh用户

4.使用aaa创建用户

aaa
       local-user sshuser password simple 123456

5.开启ssh服务器功能

stelnet server enable

信息安全工程师(中级)—重要知识点总结
2022年信息安全工程师考试知识点（汇总）

信息安全工程师软考笔记汇总目录
信息安全工程师软考笔记汇总--李德春(Andy)