为什么使用双机热备技术？ 对于网络需求不是太高的小中型网络架构，通常部署一台防火墙提供各种服务，可以接受短暂的网络中断。但是，对于网络需求高的小中大型网络架构，网络出现中断的情况是不能接受的，一般会使用多个运营商的线路以及两台或以上防火墙来实现冗余备份，当一台设备或者一个运营商线路出现故障时，可以切换到另外一台设备的运营商线路不间断持续提供服务。 …

拓扑图 规划信息： 配置互联网接入G1/0/0： 10.0.3.1/24 局域网 G1/0/1: 172.16.3.1/24 DHCP:172.16.3.100 - 172.16.3.200 Server1: 10.0.3.10/24 PC1: 172.16.3.100/24 配置 配置G1/0/0，Server1位于安全区域dmz，模式为路由： …

无论是华为USG防火墙还是其他厂商的防火墙都有安全区域的概念，理解并掌握这部分很重要。 什么是安全区域？ 一个或多个接口的集合，通过安全域划分网络，安全区域（Security Zone），通称区域，一般情况下，同一个区域间的数据报文不使用安全策略进行控制，在不同区域间传送的数据报文才使用安全策略进行控制。 注意：一个接口只能加入一个安全域 默认提供…

配置WEB是便于图形化管理，推荐使用命令行。 官方参考资料：HUAWEI USG6000V V500R001C10SPC100 典型配置案例 配置 USG6000V Username:admin Password: [FW]interface GigabitEthernet 0/0/0 [FW-GigabitEthernet0/0/0]ip add…

什么是 Mac黑洞 ？ 黑洞MAC地址表项：由用户手工配置的一类特殊的MAC地址，当交换机接收到源地址或目的地址为黑洞MAC地址的报文时，会将该报文丢弃。 配置Mac黑洞 <BW-S5720-BG-JR-HUAWEI-SW01> system-view [BW-S5720-BG-JR-HUAWEI-SW01] mac-address b…

继上一篇博文 DHCP欺骗攻击概述 实现控制只能获取企业内部合法的DHCP服务分配的地址，而其余的DHCP服务器则不能通过。 DHCP的工作原理是最先响应的服务器，PC就获取该服务器分配的IP地址，这样的话有些恶意的人把网关指向自己的电脑，然后通过抓包工具等实现抓包分析等功能，这样造成不安全，另外就是网段不一致了，导致访问公司内网或外网出现问题，所…

什么是DHCP欺骗攻击？ 继上一篇博文 华为交换机之DHCP基本配置 相关学习，很多欺骗攻击都是在利用协议自身缺乏的认证机制的缺陷，因为通信机制本身无法让通信参与方相互确认身份，所以攻击者有机会将自己伪装成某一个通信方，在网络中设法窃取通信信息或者使得通信无法正常进行。 DHCP欺骗的常见两种手段 对于DHCP机制来说，一般可以通过冒充DHCP服务…

配置DHCP交换机服务 [DHCP]dhcp enable #打开dhcp功能 [DHCP]vlan batch 10 20 #创建两个vlan vlan 10和 vlan 20 [DHCP]ip pool vlan10 #t添加一个名为vlan10的地址池 [DHCP-ip-pool-vlan10]gateway-list 172.16.100.…

H3C交换机，通过snmpwalk获得OID值。 [xiaoshuai.zhu@devops-centos7-shanghai-area0 ~]# snmpwalk -c public -v 1 172.16.0.1 sysObjectID # 获取OID [xiaoshuai.zhu@devops-centos7-shanghai-area0 ~…

需求 为落实好内网安全，将二层接入层网络设备升级为三层交换机，将所有流量进行端口镜像流量分析，以备后续网络安全核查。 什么是端口镜像？ 端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口，使用户可以利用数据监测设备分析这些复制过来的报文，以进行网络监控和故障排除。 什么是镜像源？ 指被监控的对象，该对象为设备上的端口，我们称为源端口。经由被…