智慧司法網(wǎng)絡(luò)培訓(xùn)_第1頁
智慧司法網(wǎng)絡(luò)培訓(xùn)_第2頁
智慧司法網(wǎng)絡(luò)培訓(xùn)_第3頁
智慧司法網(wǎng)絡(luò)培訓(xùn)_第4頁
智慧司法網(wǎng)絡(luò)培訓(xùn)_第5頁
已閱讀5頁,還剩56頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

智慧司法網(wǎng)絡(luò)培訓(xùn)智慧司法網(wǎng)絡(luò)培訓(xùn)

一、項目概況智慧司法內(nèi)網(wǎng)是依托甘肅省政法網(wǎng)建設(shè)省司法廳內(nèi)網(wǎng)云計算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心,實(shí)現(xiàn)資源共享,快速辦公的網(wǎng)絡(luò),各級單位通過現(xiàn)有的政法網(wǎng)接入設(shè)備接入政務(wù)內(nèi)網(wǎng),通過政務(wù)內(nèi)網(wǎng)承載內(nèi)網(wǎng)協(xié)同辦公、電子郵件等系統(tǒng)的應(yīng)用。通過購置移動智能終端使司法系統(tǒng)內(nèi)部人員實(shí)現(xiàn)移動便捷辦公。智慧司法外網(wǎng)是依托移動運(yùn)營商互聯(lián)網(wǎng)專線建設(shè)省司法廳外網(wǎng)云計算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心的網(wǎng)絡(luò),相關(guān)單位通過互聯(lián)網(wǎng)專線接入政務(wù)外網(wǎng),通過政務(wù)外網(wǎng)運(yùn)行國家司法部相關(guān)業(yè)務(wù)系統(tǒng),如行政審批系統(tǒng)、電子監(jiān)察系統(tǒng)、外網(wǎng)辦公、外網(wǎng)門戶網(wǎng)站、律師考試、司法鑒定、法制宣傳、法律援助、公證業(yè)務(wù)、社區(qū)矯正人員管理,實(shí)現(xiàn)跨部門、跨區(qū)域的信息資源共享。一、項目概況智慧司法內(nèi)外網(wǎng)云平臺采用H3C的云計算解決方案,H3云計算解決方案涵蓋了網(wǎng)絡(luò)、云軟件、計算、存儲四大類產(chǎn)品。目標(biāo)是為用戶在以太網(wǎng)和云計算相關(guān)技術(shù)基礎(chǔ)上,實(shí)現(xiàn)數(shù)據(jù)中心資源的高效利用。本次項目建設(shè)中建設(shè)兩套平臺分別承載內(nèi)網(wǎng)辦公業(yè)務(wù)系統(tǒng)和外網(wǎng)辦公業(yè)務(wù)系統(tǒng)

一、項目概況二、智慧司法內(nèi)外網(wǎng)云平臺1、內(nèi)網(wǎng)云平臺

內(nèi)網(wǎng)云平臺主要是承載智慧司法內(nèi)網(wǎng)各辦公業(yè)務(wù)的系統(tǒng)。采用H3CR390、R590及浪潮8420M3系列服務(wù)器,H3CP5730系列存儲以及H3CS5820和S5800系列交換機(jī)。平臺出口使用啟明星辰防火墻,通過主備兩條1000M裸光纖接入省司法廳核心網(wǎng)絡(luò)。其在內(nèi)部兩臺S5820和兩臺S5800之間做堆疊,使得網(wǎng)絡(luò)更具可用性,可擴(kuò)展性和可靠性。二、智慧司法內(nèi)外網(wǎng)云平臺2、外網(wǎng)云平臺外網(wǎng)云平臺主要是承載智慧司法外網(wǎng)各辦公業(yè)務(wù)的系統(tǒng)。采用H3CR390、R590、浪潮8420M3及850系列服務(wù)器,H3CP5730系列存儲以及H3CS5800系列交換機(jī)。平臺出口使用啟明星辰防火墻,通過主備兩條100M裸光纖接入移動互聯(lián)網(wǎng)核心。其在內(nèi)部S5800和移動核心交換機(jī)之間做,使得網(wǎng)絡(luò)更具可靠性。三、智慧司法內(nèi)網(wǎng)1、省司法廳內(nèi)網(wǎng)核心政務(wù)內(nèi)網(wǎng)依托甘肅政法網(wǎng),司法廳中心機(jī)房連接一號樓、二號樓等7個節(jié)點(diǎn)(不同的辦公地點(diǎn)),由運(yùn)營商提供100M光纖鏈路點(diǎn)對點(diǎn)連接,上連甘肅省政法網(wǎng),形成省廳到市(州)司法局,市(州)到縣(區(qū))司法局三級網(wǎng)絡(luò)。市(州)及縣(區(qū))接入拓?fù)浣Y(jié)構(gòu)

S12500核心交換機(jī)作為中心網(wǎng)絡(luò)核心設(shè)備,通過多級交換架構(gòu),提供大容量的轉(zhuǎn)發(fā)能力,完全滿足大型數(shù)據(jù)中心的流量轉(zhuǎn)發(fā)需求,并提供、等高可靠機(jī)制保障核心網(wǎng)絡(luò)的穩(wěn)定可靠;結(jié)合H3C其它交換機(jī)及安全、路由設(shè)備一起組成完善的解決方案。三、智慧司法內(nèi)網(wǎng)2、市州司法局核心市州司法局考慮建設(shè)一個經(jīng)濟(jì)型的局域網(wǎng),部署單核心、二層網(wǎng)絡(luò),主要實(shí)現(xiàn)市州司法局內(nèi)部網(wǎng)絡(luò)互連,同時需要具備一定的縣級司法網(wǎng)絡(luò)管理職能,因此,在方案設(shè)計時主要考慮網(wǎng)絡(luò)連接,兼顧網(wǎng)絡(luò)垂直管理功能。每個市州部署1臺核心交換機(jī),通過政法網(wǎng)專線與省廳內(nèi)網(wǎng)數(shù)據(jù)中心進(jìn)行連接,同時通過千兆鏈路與接入交換機(jī)互聯(lián),在設(shè)備上保留空余接口和槽位以便于擴(kuò)展。交保障市局網(wǎng)絡(luò)的高可靠性,保障各業(yè)務(wù)穩(wěn)定運(yùn)行,通過防火墻以及數(shù)據(jù)加密功能,提供對市局內(nèi)網(wǎng)進(jìn)行安全防護(hù)。三、智慧司法內(nèi)網(wǎng)3、區(qū)縣司法局核心區(qū)縣司法局處于司法廳網(wǎng)絡(luò)系統(tǒng)的末端,數(shù)量龐大,維護(hù)難度大,在該層次部署的設(shè)備應(yīng)具有零配置開局、U盤開局的功能,利用路由器連接政法網(wǎng),兼容各種廣域網(wǎng)接口,便于部署隧道,同時提供安全功能。下掛一臺交換機(jī),提供足夠多的接口以支持司法所及政務(wù)大廳等單位全面接入。每個區(qū)縣部署1臺全千兆接入交換機(jī),上行通過政法網(wǎng)專線直接上聯(lián)至省廳網(wǎng)絡(luò)中心,下行通過交換機(jī)接入終端。四、智慧司法外網(wǎng)1、省司法廳外網(wǎng)核心司法廳外網(wǎng)依托移動運(yùn)營商互聯(lián)網(wǎng)主干鏈路連接,省廳中心節(jié)點(diǎn)在統(tǒng)辦一號樓12樓機(jī)房,向下連接1#樓、2#樓等7個辦公地點(diǎn),由運(yùn)營商提供100M光纖線路點(diǎn)對點(diǎn)連接。通過各市(州)、縣(區(qū))移動互聯(lián)網(wǎng)專線下連市(州)司法局,縣(區(qū))司法局,有條件的鄉(xiāng)(鎮(zhèn))司法所可以通過線路(由運(yùn)營商提供城域網(wǎng))通道接入政務(wù)外網(wǎng)。形成覆蓋全省的三(四)級政務(wù)外網(wǎng)網(wǎng)絡(luò)。四、智慧司法外網(wǎng)2、市州司法局外網(wǎng)核心市州司法局考慮建設(shè)一個經(jīng)濟(jì)型的局域網(wǎng),部署單核心、二層網(wǎng)絡(luò),主要實(shí)現(xiàn)市州司法局內(nèi)部網(wǎng)絡(luò)互連,同時需要具備一定的縣級司法局網(wǎng)絡(luò)管理職能,因此,在方案設(shè)計時主要考慮網(wǎng)絡(luò)連接,兼顧網(wǎng)絡(luò)垂直管理功能。每個市州部署1臺接入路由器、1臺全千兆核心交換機(jī)及部分接入交換機(jī),通過移動互聯(lián)網(wǎng)鏈路與省廳外網(wǎng)數(shù)據(jù)中心進(jìn)行訪問,同時通過千兆鏈路與接入交換機(jī)互聯(lián),在設(shè)備上保留空余接口和槽位以便于擴(kuò)展,要求路由器設(shè)備具備一定的安全防護(hù)及數(shù)據(jù)流量分析功能,以保障市局網(wǎng)絡(luò)的高可靠性及各業(yè)務(wù)穩(wěn)定運(yùn)行;提供數(shù)據(jù)加密功能,以提供移動辦公用戶的遠(yuǎn)程接入。四、智慧司法外網(wǎng)3、區(qū)縣司法局外網(wǎng)核心區(qū)縣司法局因網(wǎng)絡(luò)規(guī)模較小,因此考慮建設(shè)一個適用型局域網(wǎng),部署一個單核心,二層網(wǎng)絡(luò),主要用于區(qū)縣司法局外網(wǎng)互聯(lián),在86個縣(區(qū))級各配置一臺路由器、一臺交換機(jī)、一臺防火墻,結(jié)合綜合布線系統(tǒng),組成縣(區(qū))級的外網(wǎng)網(wǎng)絡(luò)。(同級別的勞教、監(jiān)獄也按此配置組網(wǎng))。五、使用協(xié)議及劃分省內(nèi)網(wǎng)核心及云平臺核心采用。在內(nèi)網(wǎng)的骨干區(qū)域內(nèi),采用了動態(tài)的、基于鏈路狀態(tài)的協(xié)議。為了保證整網(wǎng)的性能,考慮的分域規(guī)劃,區(qū)域的劃分同政法網(wǎng)接入時區(qū)域劃分保持一致。1、省核心兩臺S12508做2虛擬為一臺交換機(jī)和S7606S同政法網(wǎng)6616路由器通過進(jìn)行連接。2、云平臺核心兩臺S5820做虛擬為一臺交換機(jī)通過防火墻同省核心交換機(jī)連接。具體區(qū)域劃分如下:五、使用協(xié)議及劃分省外網(wǎng)核心及云平臺核心采用。在外網(wǎng)核心級市州、區(qū)縣對外采用地址轉(zhuǎn)換方式同運(yùn)營商連接,對內(nèi)采用動態(tài)分配方式為局域網(wǎng)劃分地址。在外網(wǎng)云平臺采用備份方式同運(yùn)營商連接,內(nèi)部各服務(wù)器及交換機(jī)之間采用固定地址分配方式。五、使用協(xié)議及劃分內(nèi)網(wǎng)地址劃分詳見附表:司法廳地址規(guī)劃外網(wǎng)地址劃分,因外網(wǎng)同運(yùn)營商是通過地址轉(zhuǎn)換的方式,所以每個節(jié)點(diǎn)局域網(wǎng)地址使用不受影響,均采用192.168,以自動獲取方式獲得。六、網(wǎng)絡(luò)維護(hù)及處理方法當(dāng)今的網(wǎng)絡(luò)環(huán)境日趨復(fù)雜,主要表現(xiàn)在以下方面:

越來越多的應(yīng)用需要因特網(wǎng)提供支持,包括數(shù)據(jù)、語音、視頻以及它們的集成傳輸。新業(yè)務(wù)發(fā)展使對網(wǎng)絡(luò)帶寬的需求不斷增長,新技術(shù)的不斷出現(xiàn)。例如:十兆以太網(wǎng)向百兆、千兆以太網(wǎng)的演進(jìn);技術(shù)的出現(xiàn)。新技術(shù)在應(yīng)用的同時還要兼顧傳統(tǒng)的技術(shù)。而網(wǎng)絡(luò)環(huán)境越復(fù)雜,網(wǎng)絡(luò)故障發(fā)生的可能性越大,引發(fā)故障的原因也越發(fā)難以確定。重要的是要建立系統(tǒng)化的故障處理思想。1、故障處理思路及原則故障處理系統(tǒng)化是合理地一步一步找出故障原因,并解決故障的總體原則。其基本思想是系統(tǒng)地將故障的所有可能原因縮減或隔離成幾個小的子集,從而使問題的復(fù)雜度迅速下降,有序的故障處理思路有助于解決所遇到的困難網(wǎng)絡(luò)故障處理的基本步驟是:觀察現(xiàn)象、收集信息、判斷分析、原因排查2、一般故障分類及處理方法故障分類:連通性問題硬件、媒介、電源故障配置錯誤不正確的相互作用性能問題網(wǎng)絡(luò)擁塞到目的地不是最佳路由供電不足處理方法:分層法、分塊法、分段法、替換法分層故障排除法。。。。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層所有的技術(shù)都是分層的!關(guān)注電纜、連接頭、信號電平、編碼、時鐘和組幀關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等分塊故障排除法通??紤]故障分塊如下:管理部分(路由器名稱、口令、服務(wù)、日志等)端口部分(地址、封裝、、認(rèn)證等)路由協(xié)議部分(靜態(tài)路由、、、、路由引入等)策略部分(路由策略、策略路由、安全配置等)接入部分(主控制臺、登錄或啞終端、撥號等)其他應(yīng)用部分(語言配置、配置、配置等)分段故障排除法可將網(wǎng)絡(luò)分為若干段,逐段測試,縮小故障范圍,逐段定位網(wǎng)絡(luò)故障,并排除。3、日常維護(hù)概述維護(hù)目的:通過日常的網(wǎng)絡(luò)維護(hù),保證整個網(wǎng)絡(luò)位系統(tǒng)可靠運(yùn)行。維護(hù)方式:突發(fā)性維護(hù)指因?yàn)樵O(shè)備故障、網(wǎng)絡(luò)調(diào)整等原因進(jìn)行的維護(hù)。在網(wǎng)絡(luò)日常維護(hù)中,有時候因設(shè)備斷電、模塊故障、設(shè)備損壞、接口線路故障以及網(wǎng)絡(luò)節(jié)點(diǎn)接入、網(wǎng)絡(luò)拓?fù)湔{(diào)整等原因進(jìn)行維護(hù),在這過程中需要將維護(hù)的整個過程細(xì)節(jié)文檔化。日常例行維護(hù)指每天必須進(jìn)行的維護(hù)項目。在日常維護(hù)中需要對主要接入節(jié)點(diǎn)進(jìn)行連通性測試,它能使維護(hù)人員隨時了解網(wǎng)絡(luò)運(yùn)行情況,以便及時解決問題。在發(fā)現(xiàn)問題時,詳細(xì)記錄相關(guān)故障發(fā)生的位置和現(xiàn)象,以便及時維護(hù)和排除隱患。周期性例行維護(hù)指定周期進(jìn)行的維護(hù)。在一定的時間內(nèi),比如一季度或者半年期將設(shè)備相關(guān)配置進(jìn)行保存,將目前網(wǎng)絡(luò)的運(yùn)行情況,連接模式進(jìn)行總結(jié)匯總。以便維護(hù)人員可以了解設(shè)備的長期工作情況。日常維護(hù)基本原則是:及時發(fā)現(xiàn)、解決問題、防患于未然日常維護(hù)中常用命令命令:用于檢查網(wǎng)絡(luò)連接以及主機(jī)是否可達(dá)。命令:用于探測報文在源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間所經(jīng)過的路線。命令:用于遠(yuǎn)程登錄設(shè)備。命令:

網(wǎng)絡(luò)維護(hù)和故障處理的重要工具,主要用于查看設(shè)備中的相關(guān)信息。4、網(wǎng)絡(luò)故障的判斷及處理使用命令,看能否通目的地址或網(wǎng)關(guān)。如不能通則做如下檢查。打開“網(wǎng)絡(luò)連接”,看是否出現(xiàn)“網(wǎng)絡(luò)電纜被拔出”的連接,如出現(xiàn)著種問題,則表明網(wǎng)線有問題,或者服務(wù)器或交換機(jī)端口故障。檢查網(wǎng)卡的配置是否正確(地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址)。如排查不是電腦問題,轉(zhuǎn)為排查設(shè)備和線路。局域網(wǎng)電腦訪問網(wǎng)絡(luò)故障連通性與網(wǎng)絡(luò)延遲的檢查使用命令或者群軟件檢查網(wǎng)絡(luò)設(shè)備的連接性與網(wǎng)絡(luò)的延遲情況。網(wǎng)絡(luò)設(shè)備的故障包括交換機(jī)故障、路由器故障、光纖收發(fā)器部能正常工作時的狀態(tài)。當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時,通常能從設(shè)備的指示燈上顯現(xiàn)出來。一些交換機(jī)和路由器,當(dāng)使用命令無法登陸時,排除線路、設(shè)備故障等問題時,可以定位為設(shè)備配置問題。網(wǎng)絡(luò)設(shè)備的故障排查網(wǎng)絡(luò)設(shè)備的運(yùn)行情況檢查登陸上所需查看的設(shè)備登陸路由器后查看內(nèi)存的使用率是否正常登陸路由器后查看的使用率是否正常線路指設(shè)備與設(shè)備之間的線路,例如45網(wǎng)線或光纖等。如懷疑45網(wǎng)線故障,可以用測線儀檢查,或者用證明好的網(wǎng)線代替檢查。如果是光纖,可以看連接光纖設(shè)備的指示燈,如出現(xiàn)故障,應(yīng)該聯(lián)系當(dāng)?shù)仉娦胚\(yùn)營商,協(xié)調(diào)檢查。線路故障排查網(wǎng)絡(luò)設(shè)備的鄰居關(guān)系檢查通過檢查互聯(lián)的網(wǎng)絡(luò)設(shè)備的路由鄰居關(guān)系,可以判斷他們的協(xié)議以及協(xié)議是否正常。具體命令如下:

正常的鄰居關(guān)系應(yīng)該處于狀態(tài)。

正常的鄰居關(guān)系應(yīng)該處于狀態(tài)。狀態(tài)表示鄰居關(guān)系正常狀態(tài)表示鄰居關(guān)系正常當(dāng)我們經(jīng)過一系列排查后列出可能的原因,然后根據(jù)所列出的可能原因制定相應(yīng)的故障排除計劃,分析最有可能的原因。當(dāng)針對某一原因執(zhí)行了排錯方案后,需要對結(jié)果進(jìn)行分析,判斷問題是否解決,是否引入新的問題,如果問題解決,可以直接進(jìn)入文檔化過程,如果沒有解決問題,需要再次盡心故障排查過程。排除故障過程中,如果確認(rèn)為協(xié)議、環(huán)路、等邏輯問題,需遠(yuǎn)程解決,如果解決不了,可尋求技術(shù)支持。排除故障過程中,如果確認(rèn)為本地設(shè)備、硬件或者線纜問題,需要聯(lián)系當(dāng)?shù)刎?fù)責(zé)人配合排除故障。排除故障過程中,如果確認(rèn)為主干線路,或者主干線纜問題,需要聯(lián)系電信線路負(fù)責(zé)人,予以解決。1、網(wǎng)絡(luò)設(shè)備地址沖突故障現(xiàn)象:某縣局域網(wǎng)上網(wǎng)時斷時通。組網(wǎng)結(jié)構(gòu):現(xiàn)象觀察:是整個局域網(wǎng)時斷時通還是部分網(wǎng)段時斷時通?是有規(guī)律的通斷還是無規(guī)律的通斷?通過與用戶進(jìn)一步交流,對故障現(xiàn)象描述為:縣局局域網(wǎng)整個網(wǎng)段上網(wǎng)有規(guī)律的時斷時通。信息收集:網(wǎng)絡(luò)結(jié)構(gòu)或配置是否做過修改帶網(wǎng)關(guān)地址觀察現(xiàn)象等命令查看日記記錄,告警信息打開信息后,提示有和網(wǎng)關(guān)地址沖突的告警信息??赡茉颍汗簦刂分貜?fù)排查步驟:1,針對攻擊,用命令查看設(shè)備表有無異常,結(jié)果為多了網(wǎng)關(guān)項,其他正常,排除攻擊。2,針對地址重復(fù),使用命令確認(rèn)網(wǎng)關(guān)地址及對應(yīng)端口。3、找到端口后跟用戶聯(lián)系確認(rèn)為下連設(shè)備配置同網(wǎng)關(guān)相同的管理地址,斷開后網(wǎng)絡(luò)正常故障處理過程文檔化。2、局域網(wǎng)防范工作機(jī)制協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎(chǔ)協(xié)議,負(fù)責(zé)完成地址到硬件地址的映射。

工作過程簡述如下:

(1)當(dāng)主機(jī)或者網(wǎng)絡(luò)設(shè)備需要解析一個地址對應(yīng)的地址時,會廣播發(fā)送請求報文。

(2)主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到請求后,會進(jìn)行應(yīng)答。同時,根據(jù)請求發(fā)送者的地址和地址的對應(yīng)關(guān)系建立表項。

(3)發(fā)起請求的主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到應(yīng)答后,同樣會將應(yīng)答報文中發(fā)送者的地址和地址的映射關(guān)系記錄下來,生成表項。攻擊類型攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為:

會造成網(wǎng)絡(luò)不穩(wěn)定,引發(fā)用戶無法上網(wǎng)或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故。

利用攻擊可進(jìn)一步實(shí)施攻擊,非法獲取游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的

帳號和口令,使被攻擊者造成利益上的重大損失。從工作機(jī)制可以看出,協(xié)議簡單易用,但是卻沒有任何安全機(jī)制,攻擊者可以發(fā)送偽造報文對網(wǎng)絡(luò)進(jìn)行攻擊。偽造報文具有如下特點(diǎn):

偽造的報文中源地址/目的地址和以太網(wǎng)幀封裝中的源地址/目的地址不一致。

偽造的報文中源地址和源地址的映射關(guān)系不是合法用戶真實(shí)的映射關(guān)系。

目前主要的攻擊方式有如下幾類:

仿冒網(wǎng)關(guān)攻擊

仿冒用戶攻擊(欺騙網(wǎng)關(guān)或者其他主機(jī))

泛洪攻擊

仿冒網(wǎng)關(guān)攻擊如圖所示,因?yàn)橹鳈C(jī)A仿冒網(wǎng)關(guān)向主機(jī)B發(fā)送了偽造的網(wǎng)關(guān)報文,導(dǎo)致主機(jī)B的表中記錄了錯誤的網(wǎng)關(guān)地址映射關(guān)系,從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。仿冒網(wǎng)關(guān)攻擊是一種比較常見的攻擊方式,如果攻擊源發(fā)送的是廣播報文,或者根據(jù)其自身所掌握的局域網(wǎng)內(nèi)主機(jī)的信息依次地發(fā)送攻擊報文,就可能會導(dǎo)致整個局域網(wǎng)通信的中斷,是攻擊中影響較為嚴(yán)重的一種。仿冒用戶攻擊欺騙其他用戶如圖所示,主機(jī)A仿冒主機(jī)B向主機(jī)C發(fā)送了偽造的報文,導(dǎo)致主機(jī)C的表中記錄了錯誤的主機(jī)B地址映射關(guān)系,從而正常的數(shù)據(jù)報文不能正確地被主機(jī)B接收。

泛洪攻擊網(wǎng)絡(luò)設(shè)備在處理報文時需要占用系統(tǒng)資源,同時因?yàn)橄到y(tǒng)內(nèi)存和查找表效率的要求,一般網(wǎng)絡(luò)設(shè)備會限制表的大小。攻擊者就利用這一點(diǎn),通過偽造大量源地址變化的報文,使設(shè)備表溢出,合法用戶的報文不能生成有效的表項,導(dǎo)致正常通信中斷。

另外,通過向設(shè)備發(fā)送大量目標(biāo)地址不能解析的報文,使設(shè)備反復(fù)地對目標(biāo)地址進(jìn)行解析,導(dǎo)致負(fù)荷過重,也是泛洪攻擊的一種。

攻擊防范攻擊源一般來自于主機(jī)側(cè),因此接入交換機(jī)在攻擊防范中是一個關(guān)鍵的控制點(diǎn)。針對攻擊的特點(diǎn),接入交換機(jī)上的防范主要從兩個方面考慮:

建立正確的映射關(guān)系、檢測并過濾偽造的報文,保證經(jīng)過其轉(zhuǎn)發(fā)的報文正確合法。

抑制短時間內(nèi)大量報文的沖擊。

由于防范措施部署在接入側(cè),因此無需在網(wǎng)關(guān)上部署,可以減輕網(wǎng)關(guān)負(fù)擔(dān)。

如果接入交換機(jī)上不支持攻擊防范功能,或者主機(jī)直接接入網(wǎng)關(guān),則需要在網(wǎng)關(guān)上部署防范措施,部署思路從兩個方面考慮:

建立正確的表項,防止攻擊者修改。

抑制短時間內(nèi)大量報文或者需觸發(fā)解析的報文的沖擊。

直接在網(wǎng)關(guān)上進(jìn)行部署對接入交換機(jī)的依賴較小,可以較好的支持現(xiàn)有網(wǎng)絡(luò),有效地保護(hù)用戶投資。

訪問控制.單純依靠或來建立信任關(guān)系是不安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論