亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        終端設(shè)備接入能力控制

        2017-11-22 06:03:02
        網(wǎng)絡(luò)安全和信息化 2017年2期
        關(guān)鍵詞:網(wǎng)絡(luò)安全設(shè)備

        引言:現(xiàn)在網(wǎng)絡(luò)安全防護(hù)中,防止設(shè)備的非法接入,是網(wǎng)絡(luò)安全保護(hù)中的第一道防線。在網(wǎng)絡(luò)安全的防護(hù)中,我們需要在非法終端進(jìn)入網(wǎng)絡(luò)前就能夠?qū)υO(shè)備進(jìn)行識別。在筆者單位的各個項目中,通過終端設(shè)備的控制,保證了服務(wù)安全穩(wěn)定的運(yùn)行。

        現(xiàn)在網(wǎng)絡(luò)安全防護(hù)中,防止設(shè)備的非法接入,是網(wǎng)絡(luò)安全保護(hù)中的第一道防線。我們需要在非法終端進(jìn)入網(wǎng)絡(luò)前就能夠?qū)υO(shè)備進(jìn)行識別。

        經(jīng)常用到的一些接入控制為ACL限制、AAA認(rèn)證等,但除了這種常規(guī)性的接入控制外,我們單位在增強(qiáng)網(wǎng)絡(luò)安全方面,進(jìn)行了更深入的限制,大致分為如下幾種:

        1.DHCP協(xié)議控制;

        2.接入層IPVLAN限定;

        3.終端硬件識別。

        DHCP協(xié)議控制

        1.DHCP過程

        終端設(shè)備可以通過多種方式獲取接入用的IP地址,如PPPOE撥號、L2TPVPN等,這些協(xié)議最終會通過DHCP服務(wù)向終端提供合法的IP信息。設(shè)備進(jìn)行DHCP認(rèn)證中,在RFC2131協(xié)議的VLAN子接口中描述了全部的階段,其中基本階段有四個:

        終端首先向本地子網(wǎng)中廣播發(fā)送“DHCPDIS COVER”,尋找DHCP服務(wù)器。

        DHCP服務(wù)器向終端發(fā)回“DHCPOFFER”響 應(yīng),yiaddr字段中包含可以提供的IP地址,由于網(wǎng)絡(luò)中可能有多臺DHCP服務(wù)器,終端一般只會響應(yīng)第一條。

        終端繼續(xù)向本地子網(wǎng)中廣播發(fā)送“DHCPREQUEST”,包 含“server identifier”用來聲明自己選擇了哪一臺DHCP服務(wù)器,以及“yiaddr”字段聲明自己確認(rèn)使用這個IP地址。

        最終,DHCP服務(wù)器向終端發(fā)送“DHCPACK”,包含相應(yīng)的網(wǎng)絡(luò)配置。

        當(dāng)然,完整的協(xié)議交互中,還包含DHCPNAK、DHCPDECLI NE、DHCPRELEASE、DHCPINFO RM等過程,本文在此不在贅述。

        2.OPTION 60協(xié)議

        DHCP的附加協(xié)議中定義了一些OPTION,可以對DHCP進(jìn)行進(jìn)一步的控制。我們可以選擇使用供應(yīng)商類別識別符來進(jìn)行終端的接入控制。這種方法規(guī)定在RFC2132之中,位于“Vendor class identifier”,其數(shù)據(jù)包中的Code字段為60,故俗稱為“OPTION 60協(xié)議”。

        3.基礎(chǔ)DHCP實(shí)現(xiàn)

        我們使用Centos系統(tǒng)搭建DHCP服務(wù)器,安裝方法只需要利用如下命令即可:yum -y install dhcp。同時,將相應(yīng)的防火墻端口也打開。

        DHCP服務(wù)器的配置文件位于/etc/dhcp/dhcpd.conf中。

        在配置文件中定義一個class,用來標(biāo)識限定用的字符串:

        然后就可以在各個subnet中 啟 用“Vendor class identifier”了。以我們某業(yè)務(wù)為例,定義了一個17位掩碼的子網(wǎng)(為了網(wǎng)絡(luò)安全,相關(guān)的真實(shí)IP地址用C類子網(wǎng)代替):

        然后定義給終端提供的附加網(wǎng)絡(luò)信息:

        然后,不使用東八區(qū)的標(biāo)準(zhǔn)北京時間,也可以剔除部分非法設(shè)備(我們某項目使用電纜傳輸時間,可以完全自定義):

        最后定義一下租約時間,通過設(shè)備認(rèn)證后,IP地址的租約時間可以設(shè)置長一些,筆者設(shè)置了6小時:

        4.OPTION 60實(shí)現(xiàn)

        上一步中已經(jīng)定義好了限制OPTION 60用的class,那么只需要建立一個pool地址池,并在上述subnet中分配地址池的時候指定就可以了。

        最后,再設(shè)置host的識別:

        至此,終端的DHCP接入能力控制就完成了。只有符合規(guī)范的終端能夠獲取IP地址,其他終端申請時,服務(wù)器會用“no free leases”的理由而不響應(yīng)其“DHCPDISCOVER”的 請求,并在日志中保留本次記錄。

        接入層限定

        接入層的限制,最常用的就是限制VLAN和IP,除了上述DHCP自動獲取以外,在項目運(yùn)作中還存在給終端手動設(shè)置IP地址的情況。以某個項目為例,總共有一萬多個終端設(shè)備全部需要手動調(diào)試,為了確保設(shè)備的安全,我們將這個業(yè)務(wù)的IP地址同樣規(guī)劃為手動設(shè)置。其中共需要手動設(shè)置的部分為:

        1.VLAN子接口

        將接入的數(shù)據(jù)業(yè)務(wù)封裝在了各個VLAN中,同時全部的物理端口都啟用聚合,防止單點(diǎn)故障。

        例如某個接口“interface smartgroup3”,里面只配置一個description描述,不做其他配置。

        然后給這個接口啟用VLAN smartgroup3.500的子接口。給這個接口配置VCC,并封裝QinQ為同樣的 VLAN:encapsulationdot1q range 500。

        2.虛接口

        首先啟用用戶側(cè)虛接口,例如“interface vbui3”。在“interface vbui3”之 中開 啟“ARP proxy”來 用于接口之間的通訊,然后給接口分配一個地址“ip address 192.168.0.1” ,“255.255.255.0”來作為網(wǎng)關(guān)(為了保證安全,在這里的全部接口編號以及真實(shí)IP地址用C類子網(wǎng)地址來代替)。

        接下來給這個“interface vbui3”接口設(shè)置一個地址池“ip-pool pool-name leniyspool pool-id 3”,并往地址池中注入多個地址網(wǎng)段:member 1 startip 192.168.0.1 end-ip 192.168.0.254。

        由于我們的目的是通過靜態(tài)IP來增強(qiáng)設(shè)備接入的安全,因此需要將整個地址池中除了網(wǎng)關(guān)以外的其他地址全部標(biāo)記為靜態(tài)。

        最后,接口的綁定就非常簡單了,直接在這個vbui接口中,配置“ip-host 192.168.0.5 smartgroup3.500 vlan 500”,就可以將一個IP地址綁定在這個聚合端口,其他沒有綁定的IP地址則無法通過端口通訊。

        終端硬件識別

        當(dāng)終端成功的接入網(wǎng)絡(luò)中后,我們還需要在向其提供業(yè)務(wù)之前,最后確認(rèn)其合法性。

        互聯(lián)網(wǎng)上經(jīng)常用到的方法,有賬號密碼識別、來源IP識別、工作時間段識別、session識別、cookie識別等。但這些方法都是基于軟件的識別。

        我們除了使用上述識別方法之外,額外添加了終端硬件識別,再次強(qiáng)化終端設(shè)備接入能力。

        首先是終端向服務(wù)器發(fā)起請求時,包含其CAID信 息(Conditional Access Identification),數(shù)據(jù)的調(diào)制方式采用64QAM相正交振幅調(diào)制,然后通過前面所述的DHCP或固定地址,將接收到的認(rèn)證信息和CAID本身利用HTTPS加密發(fā)送給服務(wù)器。

        接下來,服務(wù)器認(rèn)證完畢上述信息后,僅僅允許終端與服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸,但傳輸什么內(nèi)容,還需要再經(jīng)過一步硬件的識別,也即MAC地址判定以及SN序列號判定。只有在兩者與數(shù)據(jù)庫中的數(shù)據(jù)都匹配了,才能正確的判斷出來這個終端屬于哪個權(quán)限組中,然后服務(wù)器才會向其提供相應(yīng)的服務(wù)。

        總結(jié)

        在筆者單位的各個項目中,以上通過終端設(shè)備的控制,保證了服務(wù)安全穩(wěn)定的運(yùn)行。

        在網(wǎng)絡(luò)安全的防護(hù)中,不讓非法終端接入網(wǎng)絡(luò)中,是整個防御網(wǎng)的第一層。而終端設(shè)備接入能力的控制,既減少了多數(shù)非法設(shè)備的接入,又降低了網(wǎng)絡(luò)中設(shè)備的攻擊次數(shù),減緩了網(wǎng)內(nèi)防護(hù)設(shè)備的壓力。

        而且通過上述的各種方法的限制,成功接入網(wǎng)內(nèi)的設(shè)備的來源比較容易定位,從而為今后一旦發(fā)生網(wǎng)絡(luò)安全入侵事件時能夠通過入侵定位、業(yè)務(wù)快速恢復(fù)等提供了幫助。

        猜你喜歡
        網(wǎng)絡(luò)安全設(shè)備
        網(wǎng)絡(luò)安全知多少?
        工會博覽(2023年27期)2023-10-24 11:51:28
        諧響應(yīng)分析在設(shè)備減振中的應(yīng)用
        基于VB6.0+Access2010開發(fā)的設(shè)備管理信息系統(tǒng)
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實(shí)戰(zhàn)化”
        基于MPU6050簡單控制設(shè)備
        電子制作(2018年11期)2018-08-04 03:26:08
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        500kV輸變電設(shè)備運(yùn)行維護(hù)探討
        如何在設(shè)備采購中節(jié)省成本
        我國擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        日本污视频| 国产综合色在线精品| 香港三级精品三级在线专区| 人人妻人人做人人爽| 摸进她的内裤里疯狂揉她动图视频| 国产肉丝袜在线观看| 中文字幕第一页亚洲观看| 国产一区二区三区免费主播| 美女扒开内裤让我捅的视频| 未发育成型小奶头毛片av| 国产大陆亚洲精品国产| 无码AV高潮喷水无码专区线| 亚洲精品综合在线影院| 美女与黑人巨大进入免费观看| 国产乱人伦av在线a麻豆| 亚洲国产高清在线观看视频| 一级无码啪啪| 久久精品国产亚洲av成人文字| 免费a级毛片无码av| 在线亚洲综合| 国产精品很黄很色很爽的网站| av影片手机在线观看免费网址| 国产综合精品| 亚洲一区爱区精品无码| 国产一区二区三区四区色| 免费一区二区高清不卡av| 2021久久精品国产99国产精品| 无码人妻丰满熟妇精品区| 日本一区二区三区专区| 漂亮丰满人妻被中出中文字幕| 欧美牲交videossexeso欧美| 国产成人精品无码播放| 黑丝美女被内射在线观看| 婷婷色国产精品视频二区| 成人免费xxxxx在线观看| 国产精品11p| 国产丝袜精品丝袜一区二区 | 久久香蕉国产线看观看网| 日本看片一区二区三区| 国产性自爱拍偷在在线播放| 久久99久久99精品免观看 |