- 博客(31)
- 收藏
- 关注
RSS订阅原创 IPSEC 之单臂部署
从记录看,只有分支机构去往总部的第一个ike包,没有收到总部VPN网关的回应包,表明VPN隧道建立不成功,内网ping不通,也就是这个原因了。因为此时用的是H3C防火墙做的VPN网关,所以需配置安全区域及策略,放通访问防火墙自身的流量(local区域)否则直连都不能访问。从记录看,野蛮模式协商过程正常,表明VPN隧道建立成功,内网互访可达,也就是这个原因了。再次测试分支机构访问总部,也可以访问。分支机构边界VPN网关配置,实现与总部VPN网关建立IPSEC VPN隧道。先从分支机构vpc测试与总部连通性。
2025-07-30 11:31:45
567
原创 Cisco 野蛮模式 配置
抓包分析可知野蛮模式有六个报文IPSec VPN 的 野蛮模式(Aggressive Mode) 是 IKE(Internet Key Exchange)协议中用于建立安全关联(SA)的一种快速协商方式,与 主模式(Main Mode) 相比,它减少了交换消息的次数,从而加快了连接建立速度,但安全性相对较低。
2025-07-28 08:33:58
350
原创 上网行为管理之身份认证实验
某公司需要在企业的公司网络出口使用上网行为管理设备,以审计管理局域网的所有设备,同时,局域网内的所有设备都将通过上网行为代理上网,但是发生过访客外传一些非法信息,所以需要对外来人员进行实名,用户拥有自己 独立的上网账号。为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp已经获得)基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。创建安全区域,默认已创建多个安全区域,如需自定义区域,可以自行创建。接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理。
2025-07-22 13:54:59
1192
原创 H3CACG身份认证实验
我们访问www.sina.com,可以找到访问的dns服务器的数据包。配置完认证策略后,用户访问浏览器需要进行身份认证。添加用户策略后,内网主机上网网页无法显示。1.熟悉并掌握=图形化界面对AC的管理。新建动态NAT策略,让内网可以访问外网。测试内网能否访问外网,如图表示OK。但内网主机仍能ping通外网服务器。身份认证成功后才可以访问浏览器。开启内网的DHCP服务器功能。我们还可以对认证界面进行修改。2.对主机上网行为进行控制。记得写入配置好的策略地址。在创建的项目组中新建用户。添加用户本地认证策略。
2025-07-18 19:37:55
251
原创 上网行为管理之内容审计实验
在日常工作中,通过互联网传文件成为一个主要途径,为了数据安全而进行审计外发文件内容;审计URL访问内容;审计搜索引擎搜索日志和过渡及外发的帖子/邮件/微博,审计邮件内容等。基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。为路由模式,配置路由,包括回程路由和缺省路由。1.内网办公室window主机配置。2.接入层交换机配置。3.核心层交换机配置。4.上网行为管理配置。
2025-07-17 19:42:20
653
原创 下一代防火墙-web防护
近期互联网上爆发了一连串针对服务器的中间件或web框架漏洞(如struts2)、底层操作系统漏洞、僵尸网络等漏洞利用事件、入侵企业内部,窃取数据或破坏服务器正常运行,为保证服务器业务正常运行,客户要求在NGAF开启IPS防护策略。a.基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。g.为路由模式,配置路由,包括回程路由和缺省路由。
2025-07-15 09:24:14
772
原创 下一代防火墙-IPS防护
近期互联网上爆发了一连串针对服务器的中间件或web框架漏洞(如struts2)、底层操作系统漏洞、僵尸网络等漏洞利用事件、入侵企业内部,窃取数据或破坏服务器正常运行,为保证服务器业务正常运行,客户要求在NGAF开启IPS防护策略。a.基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。n.查看日志或icenter中心,对网络安全事件响应工作起到重要的一步。未检测出对方存在漏洞,则证明被IPS防范,断开入侵行为的恶意连接。g.为路由模式,配置路由,包括回程路由和缺省路由。
2025-07-15 09:11:39
633
原创 下一代防火墙-防范DOS攻击
某企业近期的服务器业务有时突然访问不了,一会后自动恢复正常,严重影响正常办公。信息中心人员检查服务器硬件、软件及相关的网络设备均运行正常,后查看系统的流量记录,发现故障时服务器收到异常流量,通过抓包分析判断是DOS攻击。信息中心紧急部署一台下一代防火墙NGAF保护服务器区域,要求配置策略防护DOS攻击。j.接下来,抓取拓扑中交换机e0/1接口数据包,如下情况表明,在没有启动防火墙防范策略前,有多少syn洪水就进来多少包。e)为路由模式,配置路由,包括回程路由和。
2025-07-14 14:46:00
642
原创 渗透测试之木马后门实验
根据CNCERT的监测数据显示,2018年位于美国的1.4万余台木马或僵尸网络控制服务器,控制了中国境内334万余台主机;2018年位于美国的3325个IP地址向中国境内3607个网站植入木马,根据对控制中国境内主机数量及控制中国境内遭植入木马的网站数量统计,在境外攻击来源地排名中,美国独占鳌头。有关专家表示,一直以来,美国都指责中国时美国网络安全的主要威胁,但从上述数据可以看出,美国才是网络攻击的最大来源国。物理主机上的vmnet8网卡的IP就是ftp服务器的IP。
2025-07-11 19:50:40
962
原创 下一代防火墙-终端安全防护
某企业内网用户较多,有时用户反馈中病毒导致PC运行异常,无法办公,信息中心管理员都是通过重装系统解决。近期中病毒的用户越来越多,甚至导致丢了一笔大的订单,公司管理层十分不满,要求信息中心解决。6.为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口和dhcp已经获得)1.基本配置:修改e0/0口属性为管理口且采用http管理模式,默认启动DHCP。编辑之前的安全策略,启用病毒过滤功能,并调好配置好的模板。
2025-07-10 16:34:36
624
原创 奇安信防毒墙实验
奇安信防毒墙是企业级网络安全解决方案的一部分,主要用于网络边界的高级威胁防护。因为下载使用的是https,防火墙不能进行解密,所有没有进行拦截。查看证书发现是防火墙的,表明该病毒文件先经过了防火墙,再到达主机。依次点击“高级”、“添加例外”,会进入如下界面。配置一条untrust访问dmz的安全策略。防毒配置好后,用Kali主机访问病毒。所有需要为防火墙配置SSL解密策略。1.了解奇安信下一代防火墙的配置。Kali可以ping通外网。首先登录防火墙,查看IP。Kali可以获取IP地址。
2025-07-10 14:49:03
508
原创 下一代防火墙混合模式部署
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略让内网网段可以访问公网,即 e0/1区域访问vswitchif1区域,而vswitchif1区域与公网、服务器区同为一个三层untrust区。客户购买1台NGAF,连接内网和DMZ区域,DMZ区域的服务器配置公网IP,要求以混合模式部署,服务器通过网桥模式正常转发业务数据,内网通过防火墙路由模式上公网。需回到命令行配置vswitchif1接口,作为网桥的管理接口及新管理IP,与公网区域及服务器区属于同一子网。
2025-07-09 15:51:12
1179
原创 传统防火墙基础实验(2)
2.创建网桥BVI接口,且配置管理IP(与链路同一子网)此时防火墙为桥接模式,NAT和路由需在边界路由器上配置。5.接下来,测试内网vpc是否可以上网满足需求。6.查看MAC地址表。
2025-07-08 15:32:36
319
原创 传统防火墙基础实验(1)
6.实现禁止外网访问内网和服务器(除web和telnet服务外)默认已经实现低级别到高级别的流量是拒绝的,如同防火墙默认存在deny所有策略。测试一下访问其他端口和服务。
2025-07-08 14:11:33
523
原创 kali之ARP欺骗、DNS欺骗
既然流量可以被转发,那么可以伪造流量吗?流量伪造是可能的,主要通过技术手段模拟或篡改网络流量数据,使其看起来像是来自合法来源或特定用户行为。这种技术可能被用于测试、安全研究或恶意目的。
2025-07-07 19:49:22
1053
2
原创 TCP SYN、UDP、ICMP之DOS攻击
Dos攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。
2025-07-07 13:30:09
419
原创 路由交换 阶段一(Ⅲ)
VRRP(虚拟路由冗余协议)的主要作用是提供路由器冗余,确保网络的高可用性。通过将多台物理路由器虚拟成一个逻辑路由器,VRRP在主路由器故障时自动切换到备用路由器,避免单点故障导致的网络中断。MSTP(IEEE 802.1s)是RSTP的扩展,通过多。,拓扑变化时直接协商端口角色,收敛时间可缩短至1-2s。:设备在两次故障之间正常运行的平均时间,反映其可靠性。是两个核心指标,用于量化系统的稳定性和可维护性。,允许端口快速切换状态,无需等待计时器超时。:从故障发生到恢复正常的平均耗时。
2025-07-03 14:44:19
1252
原创 OSPF单区域LSA分析
1.1.5.1.1.RT1的Loopback 0 配局域网接口配置及测试1.1.5.1.2. RT3的Loopback 0 配置、局域网接口配置及测试1.1.5.1.3. RT5的Loopback 0 配局域网接口配置及测试1.1.5.1.4. RT7的局域网接口配置及测试1.1.5.1.5. RT1——RT3的广域网链路调测1.1.5.1.6. RT1——RT3的广域网链路调测1.1.5.1.7. RT1——RT5的广域网链路调测1.1.5.1.8. RT1——RT7的广域
2025-07-02 14:15:13
390
原创 深入解析OSPF路由协议
什么是OSPFOSPF全称开放式最短路径优先OSPF是IETF开发的一种链路状态路由协议,使用基于带宽的度量值。OSPF采用SPF算法计算路由,从算法上保证了无路由环路。OSPF通过邻居关系维护路由,避免了定期更新对带宽的消耗。OSPF路由更新效率高,网络收敛快,适用于大中型网络。OSPF报文封装与IP,协议号89,组播地址224.0.0.5与224.0.0.6Exstart 和 EXchangeLoading 和FullLoading 和Full(续)OSPF协议包具备超时重传机制。
2025-07-02 10:18:44
1324
1
原创 华为ensp VRRP网关备份
组网拓扑实验任务二层网络全局配置二层链路调测SWA、B、C、D的Trunk链路调测SWC的access接口配置SWD的access接口配置三层设备网关地址配置SWA的网关接口配置SWB的网关接口配置配置VRRP指定被监视的接口。
2025-07-01 19:11:56
149
原创 Cisco VRRP网关备份
1.1.1. 组网拓扑1.1.2. 实验任务1.1.3 基本信息配置1.1.4. 二层网络全局配置1.1.5. 二层链路调测1.1.6. 二层设备网关地址配置SW3SW41.1.7. 三层接口配置及链路测试1.1.8. VRRP主备网关倒换测试(1)(2)(3)
2025-07-01 14:35:43
139
原创 华为ensp MSTP组网实验
组网拓扑及参考配置SWAvlan batch 10 20 30 40stp region-configurationregion-name zhongyuaninstance 1 vlan 10 30instance 2 vlan 20 40active region-configurationstp instance 1 priority 0stp instance 2 priority 4096SWBvlan batch 10 20 30 40stp region-configur
2025-07-01 10:30:33
391
原创 RSTP切换测试
1.1 组网:Cisco快速生成树(RSTP)配置1.1.1组网拓扑1.1.2 实验目标1.1.3 全局配置命令1.1.4 RSTP 二层网络的调试
2025-06-30 20:26:15
199
原创 路由交换 阶段一(Ⅱ)
PPPoE是一种在以太网上建立点对点拨号连接的协议,广泛应用于宽带接入。它不仅提供身份认证功能,还能实现动态IP分配和会话管理。1.PPPoE的工作原理(1)发现阶段客户端通过广播方式寻找PPPoE服务器,并建立会话连接。:客户端发送广播,寻找可用的PPPoE服务器。:服务器响应,提供自己的服务信息。:客户端选择服务器并发起连接请求。:服务器确认会话,分配Session ID。(2)会话阶段建立PPP连接,进行身份认证和IP地址分配:协商链路参数。认证:验证用户名和密码。IPCP。
2025-06-30 14:12:03
1235
原创 路由交换 阶段一(Ⅰ)
四层应用层:负责处理用户与网络应用程序之间的通信。传输层:提供端到端的数据传输服务。网络层:负责数据包的路由和转发。网络接口层:对应于物理层,负责管理网络硬件设备和物理媒介之间的通信。五层应用层传输层网络层数据链路层物理层应用层常见协议HTTP(超文本传输协议)HTTPS(超文本传输安全协议)FTP(文本传输协议)SMTP(电子邮件传输协议)DNS(域名解析协议)SSH(安全外壳协议)Telnet(远程登陆)传输层常见协议。
2025-06-27 22:25:56
1200
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人