企业官网建设流程全解析

站长之家查询,网站制作毕业设计,全国信息企业查询系统官网,wordpress安装博客步骤文章目录为什么需要IPSG如何实现IPSGIPSG的典型应用IPSG即IP源防攻击#xff08;IP Source Guard#xff09;是一种基于二层接口的源IP地址过滤技术#xff0c;IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系#xff0c;通过将报文信息与绑定表比对#xf…文章目录为什么需要IPSG如何实现IPSGIPSG的典型应用IPSG即IP源防攻击IP Source Guard是一种基于二层接口的源IP地址过滤技术IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系通过将报文信息与绑定表比对它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。为什么需要IPSG网络规模的扩大与发展带来了便捷但试图从中获利的不法行为也随之出现对网络安全造成了极大影响。一些攻击者通过伪造合法用户的IP地址获取网络访问权限非法访问网络造成了合法用户无法访问网络并且会引起信息泄露。这种攻击是通过伪造源IP地址进行的简称IP地址欺骗攻击。对此IPSG提供了一种防御机制通过维护绑定表对报文进行信息匹配可以有效阻止此类网络攻击行为。在网络中应用IPSG有如下受益可以提供安全的网络环境以及更稳定的网络服务。可以有效降低为保证网络正常运行和网络信息安全而产生的维护成本。如何实现IPSGIPSG中的绑定表IPSG维护了一张绑定表记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IPSG的二层接口收到IP报文时会将报文信息与绑定表信息进行匹配只有匹配关系正确的报文允许通过接口其他报文将被丢弃。绑定表如表1所示包括静态和动态两种。表1-1 绑定表绑定表生成后IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL由该ACL来匹配检查所有IP报文匹配ACL规则的报文允许通过不匹配的报文都将被丢弃。当绑定表信息变化时设备会重新下发ACL。IPSG一般应用在用户侧的接入设备上可以基于接口或者基于VLAN应用。在用户侧的接口上应用IPSG该接口接收的所有IP报文均进行IPSG检查。在用户侧的VLAN上应用IPSG属于该VLAN的所有接口接收到IP报文均进行IPSG检查。如果用户侧的接入设备不支持IPSG功能也可以在上层设备的接口或者VLAN上应用IPSG。IPSG中的接口角色IPSG仅支持在二层物理接口或者VLAN上应用且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说缺省所有的接口均为非信任接口信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。以下是IPSG中各接口角色的样例其中Interface1和Interface2接口为非信任接口且使能IPSG功能从Interface1和Interface2接口收到的报文会执行IPSG检查。Interface3接口为非信任接口但未使能IPSG功能从Interface3接口收到的报文不会执行IPSG检查可能存在攻击。Interface4接口为用户指定的信任接口从Interface4接口收到的报文也不会执行IPSG检查但此接口一般不存在攻击。IPSG中的接口角色IPSG的过滤方式绑定表项包含IP地址、MAC地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。而对于动态绑定表IPSG依据该表项中的哪些信息过滤接口收到的报文由用户设置的检查项决定。常见的几种检查项如表2所示表1-2 IPSG的过滤方式IPSG的实现过程IPSG的实现过程如下图所示非法主机仿冒合法主机的IP地址发送报文到达Device后因报文和绑定表不匹配被Device丢弃。IPSG实现原理图IPSG的典型应用基于静态绑定表的IPSG静态绑定表需要手工创建因此该方式适用于局域网络中主机数较少且主机被分配固定IP地址的情况。如图所示手工将PC1和PC2的IP地址、MAC地址、VLAN ID、入接口信息加入IPSG的绑定表把DeviceA的所有接口都加入VLAN10并在VLAN10上应用IPSG功能。这样就实现了只有真正来自PC1和PC2的IP报文允许通过DeviceA接入网络而其他外来人员电脑即使接入空余接口也无法接入内网。基于静态绑定表的IPSG组网图基于动态绑定表的IPSG基于动态绑定表的IPSG适用于局域网络中主机较多或者主机使用DHCP动态获取IP地址的情况。如图所示在DeviceA接口的VLAN 10下开启DHCP Snooping功能将连接DHCP服务器的接口配置为“信任”模式两者同时生效设备即能够生成DHCP Snooping动态绑定表。主机能通过合法的DHCP服务器获取IP地址并与主机的MAC地址、VLAN ID、入接口信息形成动态绑定表。私自配置静态IP地址的主机将无法访问网络。基于动态绑定表的IPSG组网图