- 博客(44)
- 收藏
- 关注
RSS订阅原创 数据传输安全-IKE工作过程
IKE是一种混合型协议,用于在IPSec通信双方之间,动态地、自动地建立、协商、管理和删除安全关联(SA)。❓“DH交换是在哪个阶段完成的?为什么它不怕被窃听?"DH交换是在IKE阶段一的第3和第4个报文中完成的。它不怕被窃听是因为其安全性基于计算离散对数的数学难题。虽然双方在网络上明文传输了各自的DH公钥(g^a mod p和g^b mod p),但窃听者无法从这些公钥中反算出双方的私钥a和b,因此也就无法计算出双方最终协商出的共享秘密。这个共享秘密本身从未在链路上出现過。
2025-08-27 11:19:01
1555
原创 AAA服务器技术
为什么用UDP而不用TCP?无连接,开销小,速度快。对于大规模接入场景,性能至关重要。实现起来比TCP简单。RADIUS在应用层自己实现了重传机制(通过Identifier字段和超时计时器),弥补了UDP不可靠的缺点。NAS是客户端,负责将用户请求转发给RADIUS服务器。客户端和服务器之间配置一个共享的密钥,用于验证消息的完整性和加密密码(使用MD5哈希)。仅密码被加密,报文头和其他属性是明文传输的。基于无连接的UDP,开销小,速度快,适合大规模用户接入场景。(认证请求)(认证接受)(认证拒绝)
2025-08-25 15:44:01
1145
原创 等保2.0介绍
定义:根据信息系统的重要程度和受侵害后的影响,划分不同安全等级,实施差异化保护与监管。与1.0的区别1.0仅针对信息系统;2.0扩展至云计算、物联网、工业控制、移动互联、大数据等;2.0更强调“实战化、体系化、常态化。
2025-08-23 13:05:11
1439
原创 上网行为安全概述
旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使岩机也不会对用户的网络造成中断。
2025-08-22 12:03:26
1374
原创 内容审计技术
技术模块核心功能关键技术依赖关系/特点1. 上网行为审计记录行为“元数据”(谁、何时、何地、做什么)日志记录与分析审计体系的基础,但不记录具体内容。2. SSL内容解密解密HTTPS加密流量中间人解密(MITM)核心枢纽,是3和4的前提。3. 外发邮件审计审计网页邮箱发送的邮件内容基于SSL解密后解析数据包依赖技术2。主要针对Webmail。4. WEB关键字过滤实时阻断网页中外发的敏感词和文件基于SSL解密后进行内容匹配依赖技术2。实现实时控制。5. IM聊天审计审计QQ等加密IM的。
2025-08-20 11:55:42
1406
原创 应用控制技术
终端要访问 HTTPS 网站(比如),得先和服务器完成TCP 三次握手客户端发SYN 包(请求连接),告诉服务器 “我要连你,这是我的初始序列号(ISN)”;服务器回SYN+ACK 包(同意连接),说 “好的,你的请求我收到了,这是我的 ISN,确认你的序列号”;客户端回ACK 包(确认连接),说 “收到你的确认,咱们连接建立啦”。这一步和 HTTP 一样,是所有网络通信的基础。只有 TCP 连接建好,HTTPS 握手才能开始。
2025-08-19 14:19:12
1481
原创 实验3-DHCP技术
在配置dhcp实验中,我们要设置ip地址池和默认网关,那ip地址池是由谁决定的呢?思路:1.创建vlan10 vlan20 → 2.配置vlan接口地址 → 3.配置f0/1-2接口类型 → 4.f0/3作为纯路由接口,关闭二层交换机接口 ,配置这个接口的ip的地址 → 5.配置中继代理告诉报文要发送到哪里去。这个实验只是在之前实验的基础上加上了pc端能够自动获取ip地址,所以在做dhcp配置之前,首先要保证网络的数据是能通的,所以要创建vlan、设置接口类型、设置网关。
2025-08-17 09:29:20
983
原创 服务器安全检测和防御技术
--专门针对一种特定且常见的攻击类型——拒绝服务攻击(DDoS是其常见形式)。重点讲如何发现和抵御让服务器“瘫痪”的攻击。为什么需要关注DoS/DDoS攻击?它的危害有多大?什么是DoS/DDoS?攻击的目的是什么?有哪些主要类型?它们如何工作?(特别是重点讲解SYN Flood)如何检测和防御这些攻击?核心防御机制是什么?(重点讲解SYN代理)如何在设备(如NGAF)上配置防御策略?如何查看防护效果和攻击日志?理解关键配置参数的含义。
2025-08-14 11:32:04
998
原创 终端安全检测和防御技术
计算机信息系统安全保护条例》:病毒是能破坏计算机功能/数据、自我复制的程序代码。僵尸网络(Botnet):黑客通过恶意程序控制的大规模沦陷主机集群(俗称“肉鸡”)攻击目标:发起DDoS攻击、发送垃圾邮件、窃取数据、挖矿等。
2025-08-13 14:51:53
1671
原创 下一代防火墙概述及组网方案
路由接口是设备(防火墙 / 路由器等)用于网络层数据转发、路由交互的网口,承担 “转发数据包 + 执行路由策略 + 嵌入安全防护” 职责,适配多样网络场景(如静态 IP、ADSL 拨号 )。
2025-08-12 14:37:21
1498
原创 防火墙技术
根据通信和应用程序状态确定是否允许包的通行”本质区别包过滤防火墙 → 只检查单个数据包的IP/端口状态检测防火墙 → 分析历史通信上下文(如TCP握手是否完成)2.流量方向智能识别“识别返回数据流还是首发数据流”动态放行策略内网PC访问服务器 →主动发起连接(创建会话)服务器返回响应 →匹配已有会话直接放行(无需重复检查规则)3.性能优化机制“根据状态表识别判断,无需重复查找规则”会话表 vs 规则表项目规则表(ACL)会话表(State Table)检查方式逐条匹配(可能上百条)
2025-08-11 16:58:46
1215
原创 攻击实验(ARP欺骗、MAC洪范、TCP SYN Flood攻击、DNS欺骗、DHCP饿死)
漏洞靶机集合选择需要的数量和镜像打开设备上的驱动精灵安装网卡安装成功后查看IP地址、网关信息等。
2025-08-10 22:43:19
1121
1
原创 信息安全概述
拖库就是把数据库中的信息全部盗走洗库就是获取数据之后将这些变现撞库就是当获取到用户的某一个账户和密码之后,就会尝试其他地方的登录,容易成功。利用了用户怕记忆各种账号密码的弱点。
2025-08-10 20:26:32
1272
1
原创 PBR技术
路由策略:作用对象是路由信息,主要对路由表的生成和路由的传播进行控制,间接影响数据包的转发路径。策略路由:作用对象是数据包,直接对数据包的转发路径进行干预,不依赖于路由表的信息 ,优先于路由表对数据包进行处理。
2025-08-01 17:53:33
324
原创 STP技术
如果 Message Age 超过 Max Message Age,网桥会认为该 BPDU 已经过期,不再使用这个 BPDU 中的信息,可能会导致端口状态的重新计算和迁移。例如,当网络中的链路出现故障,BPDU 的传递路径发生改变,Message Age 可能会增加,若超过限制,端口可能会重新进入阻塞状态,重新参与生成树计算。在一个网络中,当存在多条路径连接不同的网络设备(如交换机,图中的 SWA、SWB、SWC )时,可能会形成物理环路,这会导致广播风暴、多帧复制等问题,影响网络的正常运行。
2025-07-30 16:56:47
772
原创 OSPF路由协议 多区域
定义:Stub 区域是 OSPF 中的一种特殊区域,它不允许自治系统外部的 LSA(链路状态通告)在其内部进行泛洪传播。作用:在网络中,并非每一台路由器都需要了解所有外部目的地的信息。以第一张图为例,Area 1 中的路由器若要访问外部网络(如 RIPv2 网络 172.16.6.1/24),数据包都必须先发送到 ABR(区域边界路由器,如 R1 ),再由 ABR 转发到 ASBR(自治系统边界路由器,如 R2 )。
2025-07-27 16:19:18
764
原创 ospf路由协议单区域
1.路由器 OSPF 进程刚启动、物理链路未连通或邻居设备未启动 OSPF 进程为Down状态2.当路由器(如 RTB)接收到邻居(如 RTA)发送的 Hello 报文,且在该报文的邻居列表中未检测到自身 Router ID 时,该路由器会将对应邻居的状态标记为 Init。
2025-07-26 15:35:12
1194
原创 动态路由协议基础
二层交换机收到一个生成树的配置BPDU来选举端口是控制层面做的事情,通过ternet协议去远程连接一个交换机是控制层做的事;路由器简单查路由表转发就是转发层面,如果收到ping包回消息就是控制层面。分布式路由管理是指在网络设备中,每个路由进程(如 RIP、OSPF、BGP 等)都独立地维护自己的路由表,然后将各自进程中优选的路由安装到全局路由表中,全局路由表只存储最优的路由,用于数据包的转发。Q2:对于同一个路由协议,这个路由器能不能开启多个进程,对于ospf来说,当前路由器开启了三个ospf进程。
2025-07-23 23:13:56
318
原创 VRRP技术-设备备份技术
在 VRRP(虚拟路由冗余协议)中,将多个路由器逻辑上看作一个路由器时这个虚拟 IP 地址必须与该 VRRP 组内所有物理路由器的接口 IP 地址处于同一网段,且不能是组内任何一台物理路由器的实际接口 IP 地址,同时要确保该虚拟 IP 地址在网络中唯一,不与其他设备的 IP 地址冲突,以便作为整个 VRRP 组的统一标识,为网络中的主机提供稳定的网关服务。
2025-07-23 19:09:28
437
原创 链路备份技术(链路聚合、RSTP)
STP 为了避免网络环路,给交换机端口定义了5 种状态,不同状态下端口的行为(收发 BPDU、学习 MAC、转发数据)不同,目的是有序控制端口角色,逐步放开数据转发,防止环路状态是否发送配置 BPDU是否学习 MAC 地址是否收发数据帧作用 / 说明Disabled否否否端口被管理员手动关闭 / 禁用,不参与 STP 计算,相当于 “物理断开”Blocking否否否端口处于阻塞状态,只接收 BPDU 但不处理,用于防止环路(初始选举或拓扑变化时临时阻塞)Listening是否否。
2025-07-22 16:07:50
1585
原创 可靠性概述及要求
下游设备直接 “失联”,整个网络就崩了。结论:为了避免这种 “单点故障” 把网络搞崩,必须搞—— 多准备几条路、几个设备,一条断了,另一条能立刻顶上!
2025-07-21 10:39:06
719
原创 WAN技术
定义:从运营商传输机房到用户机房的线路 + 设备,是连接用户与运营商骨干网的 “最后一段”。特点:距离短(通常几公里到几十公里),但直接决定用户接入质量(比如光纤、网线、无线基站都可能属于本地环路)。对比之前学的 G.703(E1 专线 )、G.707(POS 专线 )等,明确以太网专线在速率、传输介质、应用场景等方面的不同,比如以太网专线用双绞线、速率相对适配局域网延伸到广域网的常规需求,而E1 用同轴电缆、POS 用光纤等 ,理解不同专线协议在广域网物理层的互补和适用场景区分。
2025-07-18 09:47:40
728
原创 Internet接入技术
用户通过接入网连到城域网,再进入核心交换网 / Internet。通俗说:接入网是 “用户到运营商网络的最后一段路”,解决 “用户怎么连到互联网骨干” 的问题。一对一转换(NAT):内网私网 IP 与公网 IP 一一对应,如 10.1.6.138 固定转 189.7.3.6。多对一转换(PAT,带端口转换):多个内网 IP + 端口,通过同一公网 IP 不同端口区分,如 10.1.6.4:1025 转 189.7.3.2:50001 ,解决公网 IP 稀缺问题,让多内网设备共享公网出口。
2025-07-17 18:23:17
905
原创 ACL与包过滤
ACL 是网络设备里用来 “识别数据包 / 路由” 的工具。包过滤功能(最基础): 决定 “哪些数据包能通过设备(放通),哪些要丢掉(过滤)”,比如禁止某个 IP 访问你的服务器。NAT(网络地址转换): 配合 NAT 用,决定 “哪些内网 IP 要被转换成公网 IP”,常见于企业出口路由器,让内网多设备共享公网 IP。按需拨号: 一些场景下,设备判断 “流量符合条件时,自动触发拨号连接”(比如 VPN 或专线),ACL 负责识别触发条件。QoS 流分类 ACL: 给流量 “分类打标签”,比如把视频
2025-07-16 13:04:08
683
原创 TCPIP协议基础
发起方:客户端(Client,以下用 Host A 表示)。动作:客户端向服务器发送一个带有SYN标志位的 TCP 报文段。该报文段中包含客户端随机生成的初始序列号,假设为x,即 SEQ = x。此时,客户端进入SYN-SENT(同步已发送)状态。
2025-07-09 19:25:59
870
原创 DHCP技术
DHCP(动态主机配置协议)是一种用于的网络协议。它基于客户端 / 服务器模式,允许网络管理员集中管理和分配等网络配置信息,避免手动配置的繁琐和错误。
2025-07-07 23:47:18
783
原创 实验2-vlan划分与通信
在路由器的物理接口上划分出的逻辑接口。以思科设备为例,当使用单臂路由实现 VLAN 间通信时,就会用到子接口。在一个连接交换机 Trunk 端口的快速以太网接口上,可以创建多个子接口, 每个子接口对应一个 VLAN。
2025-07-04 20:24:52
919
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人