疫情时刻,网络安全也非常重要,IPSG特性,一分钟了解下

安全 应用安全 网络管理
随着网络规模越来越大,基于源IP的攻击也逐渐增多。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。

一、IPSG基础概念

IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。

随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。

IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。

疫情时刻,网络安全也非常重要,IPSG特性,一分钟了解下

二、部署场景

一般部署在靠近用户的接入交换机(也可以在汇聚或者核心交换机)上,可以防范针对源IP地址进行欺骗的攻击行为,如非法主机仿冒合法主机的IP地址获取上网权限或者攻击网络。主要应用场景如下:

场景1:通过IPSG防止主机私自更改IP地址 主机只能使用DHCP Server分配的IP地址或者管理员配置的静态地址,随意更改IP地址后无法访问网络,防止主机非法取得上网权限。 打印机配置的静态IP地址只供打印机使用,防止主机通过仿冒打印机的IP地址访问网络。

场景2:通过IPSG限制非法主机接入(针对IP地址是静态分配的环境) 固定的主机只能从固定的接口接入,不能随意更换接入位置,满足基于接口限速的目的。 外来人员自带电脑不能随意接入内网,防止内网资源泄露。 对于IP地址是DHCP动态分配的环境,一般是通过NAC认证(比如Portal认证或802.1x认证等)功能实现限制非法主机接入。

三、组网拓扑

疫情时刻,网络安全也非常重要,IPSG特性,一分钟了解下

1. 思路

采用如下的思路在Switch上配置IPSG功能(假设用户的IP地址是静态分配的):

  • 接口使能IP报文检查功能。连接HostA和HostB的接口都需要使能该功能。
  • 配置静态绑定表,对于静态配置IP的用户建立绑定关系表。

2. 配置步骤

(1) 配置IP报文检查功能

  • system-view
  • [HUAWEI] sysname Switch
  • [Switch] interface gigabitethernet 0/0/1
  • [Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在连接HostA的GE0/0/1接口使能IP报文检查功能。
  • [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在连接HostA的GE0/0/1接口使能IP报文检查告警功能并配置告警阈值。
  • [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
  • [Switch-GigabitEthernet0/0/1] quit
  • [Switch] interface gigabitethernet 0/0/2
  • [Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在连接HostB的GE0/0/2接口使能IP报文检查功能。
  • [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在连接HostB的GE0/0/2接口使能IP报文检查告警功能并配置告警阈值。
  • [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
  • [Switch-GigabitEthernet0/0/2] quit

(2) 配置静态绑定表项

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA为静态绑定表项。

(3) 验证结果

在Switch上执行display dhcp static user-bind all命令可以查看绑定表信息。

疫情时刻,网络安全也非常重要,IPSG特性,一分钟了解下

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2020-01-30 11:26:17

QinQVLAN协议

2019-12-24 09:10:43

Ipv6IP址协议

2017-07-06 08:12:02

索引查询SQL

2022-07-18 06:16:07

单点登录系统

2019-11-25 09:44:21

IPv6地址网络

2018-06-26 05:23:19

线程安全函数代码

2020-07-17 07:44:25

云计算边缘计算IT

2020-07-09 07:37:06

数据库Redis工具

2019-11-24 22:09:50

广域网PPPHDLC

2020-03-22 21:32:37

动态路由OSPFLSA

2020-02-10 10:55:37

路由协议OSPFLSA

2017-03-30 19:28:26

HBase分布式数据

2022-06-02 08:46:04

网卡网络服务器

2020-02-26 16:01:22

IP路由路由器

2016-09-14 15:57:53

架构分布式系统负载均衡

2020-05-21 19:46:19

区块链数字货币比特币

2017-02-21 13:00:27

LoadAverage负载Load

2018-07-31 16:10:51

Redo Undo数据库数据

2018-08-17 07:19:34

网络故障硬件软件

2019-11-27 10:03:16

IPv6IPv4网络协议
点赞
收藏

51CTO技术栈公众号