Security技术

数通安全：不是针对非法用户，针对合法用户的非法操作
接入层安全，针对数据包
网络层的安全加密协议
IPv4环境中，IPsec协议

单包攻击防范：
漏洞扫描攻击：利用ICMP报文可以应答，攻击者会向网络中可能存在的IP地址发送请求消息，通过接收到的应答报文来确定网络中这些主机开启了哪些应用，使用了哪些IP地址，为后续攻击做准备
畸形报文攻击
sumful攻击：攻击者发送源IP为目标服务器、目的地址、子网广播地址，主机收到之后，全部向服务器回包，卡死服务器
死亡之ping：缓存1000字节，发1001字节

单包攻击属于拒绝服务攻击的一种，单包攻击分类：
扫描探测攻击：扫描型攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为。如IP地址扫描攻击、端口扫描攻击
畸形报文攻击：畸形报文攻击通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。如LAND攻击，Smurf攻击
特殊控制报文攻击：特殊控制报文攻击通常使用正常的报文对系统或网络进行攻击，通常会导致系统崩溃、网络中断，或者用于刺探网络结构。如超大ICMP报文攻击、ICMP不可达报文攻击

LAND攻击：攻击者发送一个源目IP相同的tcp请求，让服务器收到之后建立大量的TCP连接，占满内存

LAND攻击防范原理：启用畸形报文攻击防范后，设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致，则认为是畸形报文攻击，丢弃该报文

配置：启用畸形报文攻击防范功能（系统视图）：anti-attack abnormal enable
使能所有的攻击防范功能（系统视图）：anti-attack enable

泛洪攻击防范：泛洪攻击也是拒绝服务攻击的一种
例：TCP SYN泛洪攻击
TCP SYN攻击原理：
TCP SYN攻击利用了TCP三次握手的漏洞。在TCP的3次握手期间，当接收端收到来自发送端的初始SYN报文时，向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时，该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包，则重新发送一个SYN+ACK到发送端。如果经过多次重试，发送端始终没有返回ACK报文，则接收端关闭会话并从内存中刷新会话。在这段时间内，攻击者可能将数十万个SYN报文发送到开放的端口，并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷，且无法再接受任何新的连接，并将现有的连接断开

TCP SYN泛洪攻击防范原理：启用TCP SYN泛洪攻击防范后，设备对TCP SYN报文进行速率限制，保证受到攻击时目标主机资源不被耗尽

配置：启用TCP SYN泛洪攻击防范功能（系统视图）
anti-attack tcp-syn enable 来使能TCP SYN泛洪攻击防范功能
anti-attack tcp-syn car cir cir 配置TCP SYN泛洪攻击报文的限制速率。如果收到的TCP SYN泛洪报文数目超过了限速值，设备会丢弃超出限速的报文，保证CPU的正常工作

源IP地址欺骗防范：
源IP地址欺骗：网络中经常基于IP地址信任主机，而源IP地址欺骗就通过伪造源地址获得信任，从而窃取网络信息或破坏系统通信

RPF：检测组播源在路由表中的出接口和接收组播数据的入接口是否一致

URPF技术：单播反向路径转发技术，对数据包进行检查（防止基于源IP地址欺骗的网络攻击行为，主要针对伪造IP源地址的DoS攻击）
工作模式：
严格模式：接收报文的入接口和路由表里去报文源IP的出接口一致（建议在路由对称的环境下使用URPF严格模式）
松散模式：只要接收报文的源IP在路由表里就可以
命令（接口视图）：URPF { loose | strict } [ allow-default-route ] [ acl acl-number ]

IPSG技术：IP源防攻击，基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查防止源IP地址欺骗

IPSG基本原理：
IPSG功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。如图所示，在S1上配置IPSG功能，对进入接口的IP报文进行绑定表匹配检查，合法用户发送报文的信息和绑定表一致，允许其通过；攻击者伪造的报文信息和绑定表不一致，S1将报文丢弃
IPSG命令：
绑定表可以通过DHCP动态绑定，静态IP需要手工进行绑定（user-bind static命令用来配置静态绑定表）：
ip source check user-bind enable 使能IP报文检查功能
ip source check user-bind check-item 配置基于VLAN或接口的IP报文检查项，该命令只对动态绑定表生效

DHCP Soonping：
接口类型：trust、untrust，仅仅针对DHCP服务器而言有效（针对offer、ack消息）
untrust接口：拒绝接受offer、ack消息（默认情况下开启DHCP Soonping之后所有接口都是untrust接口）
绑定表项：记录IP地址、接口MAC地址对应关系

中间人攻击防范：
中间人攻击：攻击者位于客户端和服务器中间，对客户端，攻击者假冒为服务器，对服务器，攻击者假冒为客户端

动态ARP检测DAI（Dynamic ARP Inspection）：利用DHCP Snooping绑定表来防御中间人攻击的。当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和DHCP Snooping绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文

配置：arp anti-attack check user-bind enable命令用来使能接口或VLAN下动态ARP检测功能，即对ARP报文进行绑定表匹配检查功能

数据传输安全：
IPSec VPN简介：
IPsec技术：（Internet 协议安全）是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性

作用：保护从TCP开始的应用数据
1.加密数据2.放重放3.数据的完整性校验

原理：IPSec通过在IPSec对等体间建立双向安全联盟，形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输

IPSec安全联盟：IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA（Security Association）

      SA是通信的IPSec对等体间对某些要素的约定
                      例如：对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密算法、验证算法，对等体间使用何种密钥交换和IKE协议，以及SA的生存周期等
      SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址和使用的安全协议号（AH或ESP）
			![](https://img-blog.csdnimg.cn/f10c9328fc9b451fad8c8c323d3b43f4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5pif56m65LqI6JOd,size_18,color_FFFFFF,t_70,g_se,x_16)

IKE SA：是为IPSec SA服务的，为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务

因特网密钥交换IKE协议（Internet Key Exchange）：建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上，是基于UDP的应用层协议，可为数据加密提供所需的密钥，能够简化IPSec的使用和管理，大大简化了IPSec的配置和维护工作
对等体之间建立一个IKE SA完成身份验证和密钥信息交换后，在IKE SA的保护下，根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后，对等体间的数据将在IPSec隧道中加密传输

ike协议：动态协商安全索引参数和安全密钥
ike定期会更换这两个参数

IPSec安全协议：IPSec通过验证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议实现IP报文的安全保护
AH：报文头验证协议，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能
ESP：封装安全载荷协议，主要提供加密、数据源验证、数据完整性验证和防报文重放功能

主要区别：AH只认证不加密；ESP既认证又加密

AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法
IPSec加密和验证算法所使用的密钥可以手工配置，也可以通过因特网密钥交换IKE（Internet Key Exchange）协议动态协商

封装模式 ：
传输模式：AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载

              传输模式不改变报文头，故隧道的源和目的地址必须与IP报文头中的源和目的地址一致，所以只适合两台主机或一台主机和一台VPN网关之间通信

  隧道模式：AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载
				![](https://img-blog.csdnimg.cn/1e8ae75b61d44bd6b31f43a09f2b02db.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5pif56m65LqI6JOd,size_19,color_FFFFFF,t_70,g_se,x_16)
	
                隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信

传输模式和隧道模式的区别在于：
从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密。隧道模式下可以隐藏内部IP地址，协议类型和端口
从性能来讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带宽

IPSec加解密及验证过程：

IPSec采用对称加密算法对数据进行加密和解密
验证指IP通信的接收方确认数据发送方的真实身份以及数据在传输过程中是否遭篡改
IPSec采用HMAC（Keyed-Hash Message Authentication Code）功能进行验证。HMAC功能通过比较数字签名进行数据包完整性和真实性验证

[Huawei]user-bind static ip-address X.X.X.X mac-address H-H-H interface G<0-0> vlan <1-4094> 将IP地址、MAC地址、VLAN与接口绑定