(网络安全)CCIE-Security_基础设施与局域网安全
原创
©著作权归作者所有:来自51CTO博客作者lww_51CTO的原创作品,请联系作者获取转载授权,否则将追究法律责任
网络设备平面
1、管理平面(Mangement Plane)
- 管理层面是指与设备管理相关的协议,例如Telnet、SSH、SNMP、HTTP、HTTPS、SFTP等
- 管理层面的索引流量都需要经过CPU处理,没有例外
- 若管理层面安全存在隐患,将直接面临安全防控失效问题
2、控制平面(Control Plane)
- 控制层面指各种网络协议的流量,例如ARP、OSPF、BGP、RIP等
- 绝大部分控制层面都需要CPU处理,例如OSPF建立邻居
- ARP可以在网络层解决,无需经过CPU
3、数据平面(Data Plane)
- 数据层面用于提供数据转发功能
- 数据层面的流量是指穿越网络设备的流量
- 思科设备基于ASCI芯片使用硬件转发表实现数据流量的转发而不是CPU,可以避免遭受泛洪攻击CPU不受直接影响
4、数据层面安全
1)DHCP 攻击,恶意发送DHCP地址给客户端
- 使用DHCP SNOOPING技术防御
2)ARP毒化通过DAI防御,指定接口状态为信任或者非信任
- 静态IP配置静态ARP访问控制列表实现静态ARP监控,
- 动态IP引用DHCP SNOOPING Binding数据库实现动态ARP监控
3)MAC地址泛洪攻击、MAC地址欺骗攻击,通过Port-Security端口安全技术
- 当特定接口设定的MAC地址表溢出产生violation或当一个MAC地址在同VLAN不同接口学到时产生violation
- violation方式:直接关闭接口并告警;丢掉违规数据包产生告警(推荐);丢掉违规数据包不产生告警
5、控制层面安全
1)管理进程、路由协议进程
- 数据包需要调用CPU时,有序发送给CPU处理的队列
2)慢数据路径进程
- 地址转换第一个数据包首先需要产生转换槽,查路由表,然后转换
- 使用COPP技术防御
