目录
第1章ACL配置命令 (1)
1.1 absolute-periodic/periodic (1)
1.2 absolute start (2)
1.3 access-list(ip extended) (2)
1.4 access-list(ip standard) (4)
1.5 access-list(mac extended) (4)
1.6 access-list(mac-ip extended) (5)
1.7 access-list(mac standard) (7)
1.8 clear access-group statistic (7)
1.9 firewall (8)
1.10 firewall default (8)
1.11 ip access extended (8)
1.12 ip access standard (9)
1.13 ipv6 access-list (9)
1.14 ipv6 access standard (9)
1.15 {ip|ipv6|mac|mac-ip} access-group (10)
1.16 mac access extended (10)
1.17 mac-ip access extended (11)
1.18 permit | deny( ip extended) (11)
1.19 permit | deny(ip standard) (12)
1.20 permit | deny(ipv6 standard) (13)
1.21 permit | deny(mac extended) (14)
1.22 permit | deny(mac-ip extended) (15)
1.23 show access-lists (17)
1.24 show access-group (18)
1.25 show firewall (19)
1.26 show ipv6 access-lists (19)
1.27 show time-range (20)
1.28 time-range (20)
第2章802.1x配置命令 (22)
2.1 debug dot1x detail (22)
2.2 debug dot1x error (22)
2.3 debug dot1x fsm (23)
2.4 debug dot1x packet (23)
2.5 dot1x accept-mac (23)
2.6 dot1x eapor enable (24)
2.7 dot1x enable (24)
2.8 dot1x ipv6 passthrough (25)
2.9 dot1x guest-vlan (25)
2.10 dot1x macfilter enable (26)
2.11 dot1x max-req (26)
2.12 dot1x user free-resource (27)
2.13 dot1x max-user macbased (27)
2.14 dot1x max-user userbased (27)
2.15 dot1x port-control (28)
2.16 dot1x port-method (28)
2.17 dot1x privateclient enable (29)
2.18 dot1x re-authenticate (30)
2.19 dot1x re-authentication (30)
2.20 dot1x timeout quiet-period (30)
2.21 dot1x timeout re-authperiod (31)
2.22 dot1x timeout tx-period (31)
2.23 dot1x unicast enable (31)
2.24 dot1x web authentication enable (32)
2.25 dot1x web redirect (32)
2.26 dot1x web redirect enable (33)
2.27 show dot1x (33)
第3章端口、VLAN中MAC数量限制命令 (36)
3.1 switchport mac-address dynamic maximum (36)
3.2 vlan mac-address dynamic maximum (36)
3.3 mac-address query timeout (37)
3.4 show mac-address dynamic count (37)
3.5 debug switchport mac count (38)
3.6 debug vlan mac count (38)
第4章AM配置命令 (39)
4.1 am enable (39)
4.2 am port (39)
4.3 am ip-pool (39)
4.4 am mac-ip-pool (40)
4.5 no am all (40)
4.6 show am (41)
第5章安全特性配置命令 (42)
5.1 dosattack-check srcip-equal-dstip enable (42)
5.2 dosattack-check ipv4-first-fragment enable (42)
5.3 dosattack-check tcp-flags enable (42)
5.4 dosattack-check srcport-equal-dstport enable (43)
5.5 dosattack-check tcp-fragment enable (43)
5.6 dosattack-check tcp-segment (44)
5.7 dosattack-check icmp-attacking enable (44)
5.8 dosattack-check icmpV4-size (44)
5.9 dosattack-check icmpv6-size (45)
第6章TACACS+命令 (46)
6.1 tacacs-server authentication host (46)
6.2 tacacs-server key (46)
6.3 tacacs-server timeout (47)
6.4 debug tacacs-server (47)
第7章RADIUS配置命令 (48)
7.1 aaa enable (48)
7.2 aaa-accounting enable (48)
7.3 aaa-accounting update (48)
7.4 debug aaa packet (49)
7.5 debug aaa detail attribute (49)
7.6 debug aaa detail connection (50)
7.7 debug aaa detail event (50)
7.8 debug aaa error (50)
7.9 radius nas-ipv4 (51)
7.10 radius nas-ipv6 (51)
7.11 radius-server accounting host (51)
7.12 radius-server authentication host (52)
7.13 radius-server dead-time (53)
7.14 radius-server key (53)
7.15 radius-server retransmit (53)
7.16 radius-server timeout (54)
7.17 radius-server accounting-interim-update timeout (54)
7.18 show aaa authenticated-user (55)
7.19 show aaa authenticating-user (55)
7.20 show aaa config (56)
7.21 show radius count (57)
第1章ACL配置命令
1.1 absolute-periodic/periodic
命令:[no] absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday}
[no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily| weekdays |weekend}
功能:定义一周内的各种不同要求的时间范围,每周都循环这个时间。
参数:
Friday Friday(星期五)
Monday Monday (星期一)
Saturday Saturday (星期六)
Sunday Sunday (星期日)
Thursday Thursday (星期四)
Tuesday Tuesday (星期二)
Wednesday Wednesday (星期三)
daily Every day of the week (每天)
weekdays Monday thru Friday (星期一到星期五)
weekend Saturday and Sunday (星期六到星期日)
start_time 开始时间点,HH:MM:SS (小时:分钟:秒)
end_time 结束时间点,HH:MM:SS (小时:分钟:秒)
注:time-range轮询时间是1分钟一次,所以时间的误差<=1分钟。
命令模式:时间范围模式
缺省情况:没有时间范围配置
使用指南:周期性的时间和日期,周期是定义每周的1~6 和周日的具体时间段,可以同时配置多个周期性时段,它们之间是“或”的关系。它的形式是:
day1 hh:mm:ss To day2 hh:mm:ss 或者
{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily} hh:mm:ss To hh:mm:ss
举例:使能在Tuesday到Saturday内的9:15:30到12:30:00时间段内配置生效
Switch(config)#time-range dc_timer
Switch(Config-Time-Range-dc_timer)#absolute-periodic tuesday 9:15:30 to saturday 12:30:00
使能在Monday、Wednesday、Friday和Sunday四天内的14:30:00到16:45:00时间段配置生
效
Switch (Config-Time-Range-dc_timer)#periodic monday wednesday friday sunday 14:30:00 to 16:45:00
1.2 absolute start
命令:[no]absolute start
功能:定义一个绝对时间段,这个时间段是根据本设备的时钟运行。
参数:start_time:开始时间点,HH:MM:SS (小时:分钟:秒)
end_time:结束时间点,HH:MM:SS (小时:分钟:秒)
start_data:开始日期,格式是,YYYY.MM.DD(年.月.日)
end_data :结束日期,格式是,YYYY.MM.DD(年.月.日)
注:time-range轮询时间是1分钟一次,所以时间的误差<=1分钟。
命令模式:时间范围模式
缺省情况:没有时间范围配置
使用指南:绝对时间及日期,指定具体开始的年,月,日,小时,分钟,不能配置多个绝对时间及日期,重复配置时,后配置的覆盖以前配置的绝对时间及日期。
举例:使能在2004.10.1到2005.1.26内从6:00:00到13:30:00配置生效
Switch(config)#Time-range dcn_timer
Switch(Config-Time-Range-dcn_timer)#absolute start6:00:00 2004.10.1 end 13:30:00 2005.1.26
1.3 access-list(ip extended)
命令:access-list
access-list
access-list
no access-list
功能:创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表,如果已有此访问列表,则增加一条rule表项;本命令的no操作为删除一条数字扩展IP访问列表。
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:当用户第一次指定特定
17(0x11):IGMP QUERY报文
18(0x12):IGMP V1 REPORT报文
22(0x16):IGMP V2 REPORT报文
23(0x17):IGMP V2 LEA VE报文
34(0x22):IGMP V3 REPORT报文
19(0x13):DVMRP报文
20(0x14):PIM V1报文
特别提示:这里所指的报文类型是指不含有IP OPTION情况下的报文类型,在通常情况下,IGMP报文是包含有OPTION字段的,这样的设置对这种报文没有作用。如果希望对包含OPTION的报文进行配置,请直接使用配置OFFSET的方式进行。
举例:创建编号为110的数字扩展访问列表。拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
Switch(config)#access-list 110 deny icmp any-source any-destination
Switch(config)#access-list 110 permit udp any-source host-destination 192.168.0.1 d-port 32
1.4 access-list(ip standard)
命令:access-list
no access-list
功能:创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条rule表项;本命令的no操作为删除一条数字标准IP访问列表。
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:当用户第一次指定特定
举例:创建一条编号为20的数字标准IP访问列表,允许源地址为10.1.1.0/24的数据包通过,拒绝其余源地址为10.1.1.0/16的数据包通过。
Switch(config)#access-list 20 permit 10.1.1.0 0.0.0.255
Switch(config)#access-list 20 deny 10.1.1.0 0.0.255.255
1.5 access-list(mac extended)
命令:access-list
no access-list
功能:定义一条扩展数字MAC ACL规则,No命令删除一个扩展数字MAC访问表规则
参数:
命令模式:全局配置配置模式
缺省配置:没有配置任何的访问列表
使用指南:当用户第一次指定特定
举例:允许任意源MAC地址任意目的MAC地址的tagged-eth2包通过。
Switch(config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2
1.6 access-list(mac-ip extended)
命令:
access-list
{host-source-mac
{any-destination-mac|{host-destination-mac
{{
{host-destination
access-list
{host-source-mac
{any-destination-mac|{host-destination-mac
{{
{host-destination
access-list
{host-source-mac
{host-destination-mac
{{
access-list
{host-source-mac
{host-destination-mac
{{
[precedence
access-list
{host-source-mac
{any-destination-mac|{host-destination-mac
{{
{{
{host-destination
功能:定义一条扩展数字MAC-IP ACL规则,No命令删除一个扩展数字MAC-IP ACL访问表规则
参数:num访问表号。这是一个从3100-3199的十进制号;deny如果规则匹配,拒绝访问;permit如果规则匹配,允许访问;any-source-mac任何源MAC地址;any-destination-mac任何目的MAC地址;host_smac ,smac源MAC地址;smac-mask源MAC地址的掩码(反掩码);host_dmac ,dmac目的MAC地址;dmac-mask目的MAC 地址的掩码(反掩码);protocol名字或IP协议的号。它可以是关键字eigrp, gre, icmp, igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP,TCP和UDP)使用关键字ip;source-host-ip, source包发送的源网络或源主机号。32位二进制数,点分十进制表示;host-source 表示地址是源主机IP地址,否则是网络IP地址;source-wildcard 源IP的掩码。用四个点隔开的十进制数表示的32位二进制数,反掩码;destination-host-ip,destination包发送时要去往的目的网络或主机号。32位二进制数,点分十进制表示;host-source 表示地址是目的主机IP地址,否则是网络IP地址;destination-wildcard 目的IP的掩码。用四个点隔开的十进制数表示的32位二进制数,反掩码;s-port(可选) 表示要匹配TCP/UDP源端口;port1(可选)TCP/UDP源端口号值,端口号是一个0到65535的数字;
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:当用户第一次指定特定
举例:允许源MAC为00-12-34-45-XX-XX,任意目的MAC地址,源IP地址为:100.1.1.0 0.255.255.255,任意目的IP地址,且源端口是100的TCP报文通过
Switch(config)# access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 100.1.1.0 0.255.255.255 s-port 100 any-destination
1.7 access-list(mac standard)
命令:access-list
no access-list
功能:定义一条标准数字MAC ACL规则,No命令删除一个标准数字MAC访问表规则
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:当用户第一次指定特定
举例:允许源MAC地址为00-00-XX-XX-00-01的数据包通过,拒绝源地址为00-00-00-XX-00-ab的数据包通过。
Switch(config)# access-list 700 permit00-00-00-00-00-01 00-00-ff-ff-00-00
Switch(config)#access-list 700 deny00-00-00-00-00-ab 00-00-00-ff-00-00
1.8 clear access-group statistic
命令:clear access-group statistic [ethernet
功能:清空指定接口的包过滤统计信息
参数:
命令模式:特权用户模式
缺省情况:无
举例:清空接口的包过滤统计信息
Switch#clear access-group statistic
1.9 firewall
命令:firewall { enable | disable}
功能:允许防火墙起作用或禁止防火墙起作用。
参数:enable表示允许防火墙起作用;disable表示禁止防火墙起作用。
缺省情况:缺省为防火墙不起作用。
命令模式:全局配置模式
使用指南:在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口。使防火墙不起作用后将删除端口上绑定的所有ACL。
举例:允许防火墙起作用。
Switch(config)#firewall enable
1.10 firewall default
命令:firewall default {permit | deny}
功能:设置防火墙默认动作。
参数:permit表示允许任何类型的报文通过;deny表示禁止任何类型报文通过。
命令模式:全局配置模式
缺省情况:缺省动作为permit。
使用指南:此命令只影响端口入口方向的所有数据包。
举例:设置防火墙默认动作为允许数据包通过。
Switch(config)#firewall default permit
1.11 ip access extended
命令:ip access extended
no ip access extended
功能:创建一条命名扩展IP访问列表;本命令的no操作为删除此命名扩展IP访问列表(包含所有表项)。
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:第一次调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。举例:创建一条名为tcpFlow的命名扩展IP访问列表。
Switch(config)#ip access-list extended tcpFlow
1.12 ip access standard
命令:ip access standard
no ip access standard
功能:创建一条命名标准IP访问列表;本命令的no操作为删除此命名标准IP访问列表(包含所有表项)。
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:第一次调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。举例:创建一条名为ipFlow的命名标准IP访问列表。
Switch(config)#ip access-list standard ipFlow
1.13 ipv6 access-list
命令:ipv6 access-list
no ipv6 access-list
功能:创建一条IPv6数字标准访问列表,如果已有此访问列表,则增加一条rule表项;本命令的no操作为删除一条数字标准IPv6访问列表。
参数:
缺省情况:缺省没有配置任何的访问列表。
使用指南:当用户第一次以特定
举例:创建一条编号为520的IPv6数字标准访问列表,允许源地址为2003:1:2:3::1/64网段的数据包通过,拒绝其余源地址为2003:1:2::1/48网段的数据包通过。
Switch (config)#ipv6 access-list 520 permit 2003:1:2:3::1/64
Switch (config)#ipv6 access-list 520 deny 2003:1:2::1/48
1.14 ipv6 access standard
命令:ipv6 access-list standard
no ipv6 access-list standard
功能:创建一条IPv6命名标准访问列表;本命令的no操作为删除此IPv6命名标准访问列表(包含所有表项)。
参数:
命令模式:全局配置模式
缺省情况:没有配置任何的访问列表。
使用指南:第一次调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。举例:创建一条名为ip6Flow的命名标准IPv6访问列表。
Switch(config)#ipv6 access-list standard ip6Flow
1.15 {ip|ipv6|mac|mac-ip} access-group
命令:{ip|ipv6|mac|mac-ip} access-group
no {ip|ipv6|mac|mac-ip}access-group
功能:在端口的某个方向上应用一条access-list,并且根据可选项决定是否对ACL规则加上统计计数器;本命令的no操作为删除绑定在端口上的access-list。
参数:
命令模式:物理端口配置模式
缺省情况:端口没有绑定ACL。
使用指南:一个端口可以绑定一条入口规则。
基于关心的包头字段ACL可以分为四种:MAC ACL,IP ACL, MAC-IP ACL,IPV6 ACL;某种情况下,当一个数据包匹配四条ACL中的多条时,ACL的过滤动作(permit,deny)会发生冲突。基于结果确定性的考虑,为每一种ACL指定了严格的优先级。当过滤动作发生冲突时,可以依据优先级决定包过滤的最终动作,
当绑定ACL到端口时,有如下限制:
1.每个端口入口可以绑定一条MAC-IP ACL,一条IP ACL,一条MAC ACL和一条IPV6 ACL;
2.当同时绑定四条ACL且数据包同时匹配其中多条ACL时,优先关系从高到低如下,如果优先级相同,则先配置的优先级高:
入口IPV6 ACL;
入口MAC-IP ACL
入口MAC ACL
入口IP ACL
举例:将名为aaa的访问列表绑定到端口的入方向上。
Switch(Config-If-Ethernet1/5)#ip access-group aaa in
1.16 mac access extended
命令:mac-access-list extended
no mac-access-list extended
功能:定义一个命名方式的MAC ACL表或进入访问表配置模式,no命令删除命名方式的ACL表。
参数:
命令模式:全局配置模式
缺省配置:没有配置任何的访问列表
使用指南:第一次以调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。举例:创建一个名字为mac_acl的MAC ACL
Switch(config)#mac-access-list extended mac_acl
Switch(Config-Mac-Ext-Nacl-mac_acl)#
1.17 mac-ip access extended
命令:mac-ip-access-list extended
no mac-ip-access-list extended
功能:定义一个命名方式的MAC-IP ACL表或进入访问表配置模式,no命令删除命名方式的ACL表。
参数:name访问表的名字,不包括空格或引号,必须用字母字符开头。长度最大为16(注:大小写敏感)
命令模式:全局配置模式
缺省情况:没有命名的MAC-IP访问表
使用指南:第一次调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。举例:创建一个名字为macip_acl的MAC-IP ACL
Switch(config)#mac-ip-access-list extended macip_acl
Switch(Config-MacIp-Ext-Nacl-macip_acl)#
1.18 permit | deny( ip extended)
命令:[no] {deny | permit} icmp {{
[no] {deny | permit} udp {{
功能:创建一条匹配特定IP协议或所有IP协议的命名扩展IP访问规则;
参数:
命令模式:命名扩展IP访问列表配置模式
缺省情况:没有配置任何的访问列表。
使用指南:
举例:创建名为udpFlow的扩展访问列表。拒绝igmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
Switch(config)#ip access-list extended udpFlow
Switch(Config-Ext-Nacl-udpFlow)# deny igmp any-source any-destination
Switch(Config-Ext-Nacl-udpFlow)# permit udp any-source host-destination 192.168.0.1 d-port 32 1.19 permit | deny(ip standard)
命令:{deny | permit} {{
功能:创建一条命名标准IP访问规则(rule);本命令的no操作为删除此命名标准IP访问规则(rule)。
参数:
命令模式:命名标准Ip访问列表配置模式
缺省情况:没有配置任何的访问列表。
使用指南:
举例:允许源地址为10.1.1.0/24的数据包通过,拒绝其余源地址为10.1.1.0/16的数据包通
过。
Switch(config)# ip access-list standard ipFlow
Switch(Config-Std-Nacl-ipFlow)# permit 10.1.1.0 0.0.0.255
Switch(Config-Std-Nacl-ipFlow)# deny 10.1.1.0 0.0.255.255
功能:创建一条匹配特定IPv6协议或所有IPv6协议的IPv6命名扩展访问规则;
参数:
命令模式:IPv6命名扩展访问列表配置模式
缺省情况:没有配置任何的访问列表。
使用指南:
举例:创建名为udpFlow的扩展访问列表。拒绝icmp报文通过,允许目的地址为2001:1:2:3::1目的端口为32的udp包通过。
Switch(config)#ipv6 access-list extended udpFlow
Switch(Config-Ext-Nacl-udpFlow)# )#deny icmp any-source any-destination
Switch(Config-Ext-Nacl-udpFlow)#permit udp any-source host-destination 2001:1:2:3::1 d-Port 32
1.20 permit | deny(ipv6 standard)
命令:[no] {deny | permit} {{
功能:创建一条IPv6命名标准访问规则(rule);本命令的no操作为删除此IPv6命名标准访问规则(rule)。
参数:
命令模式:IPv6命名标准访问列表配置模式
缺省情况:没有配置任何的访问列表。
使用指南:
举例:允许源地址为2001:1:2:3::1/64的数据包通过,拒绝其余源地址为2001:1:2:3::1/48的数据包通过。
Switch(config)# ipv6 access-list standard ipv6Flow
Switch(Config-Std-Nacl-ipv6Flow)# permit 2001:1:2:3::1/64
Switch(Config-Std-Nacl-ipv6Flow)# deny 2001:1:2:3::1/48
1.21 permit | deny(mac extended)
命令:
[no]{deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
[no]{deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
[untagged-eth2 [ethertype
[no]{deny|permit}
{any-source-mac|{host-source-ma c
{any-destination-mac|{host-destination-mac
[untagged-802-3]
[no]{deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
[tagged-eth2 [cos
[no]{deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
[tagged-802-3 [cos
功能:定义一条扩展命名MAC ACL规则,No命令删除一个扩展命名MAC ACL访问表规则。
参数:any-source-mac:任何源MAC地址;any-destination-mac:任何目的MAC地址;
host_smac ,smac:源MAC地址;smac-mask 源MAC地址的掩码(反掩码);host_dmac ,dmac目的MAC地址;dmac-mask目的MAC地址的掩码(反掩码);untagged-eth2: 未标记的ethernet II包格式;tagged-eth2: 标记的ethernet II包格式;untagged-802-3: 未标记的ethernet 802.3包格式;tagged-802-3: 标记的ethernet 802.3包格式;cos-val:cos值,0-7;cos-bitmask:cos掩码,0-7反掩码且掩码比特连续;vid-value: vlan号,1-4094;vid-bitmask:vlan掩码,0-4095,反掩码且掩码比特连续;protocol:特定的以太网协议号,1536-65535;protocol-bitmask:协议掩码,0-65535,反掩码且掩码比特连续
注意:掩码比特连续是指,掩码有效位必须从左第一位开始连续有效,不允许中间插入无效位,例如:一个字节的反掩码形式为:00001111b ;正掩码形式为:11110000;不允许00010011。命令模式:命名扩展MAC访问列表配置模式
缺省配置:没有配置任何的访问列表
使用指南:
举例:不允许转发源MAC地址是00-12-11-23-XX-XX的802.3的数据报文。
Switch(config)#mac-access-list extended macExt
Switch(Config-Mac-Ext-Nacl-macExt)# deny 00-12-11-23-00-00 00-00-00-00-ff-ff
any-destination-mac untagged-802-3
Switch(Config-Mac-Ext-Nacl-macExt)# deny 00-12-11-23-00-00 00-00-00-00-ff-ff
any tagged-802
1.22 permit | deny(mac-ip extended)
命令:
[no] {deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
icmp{{
{{
[no]{deny|permit}
{any-source-mac|{host-source-mac
{any-destination-mac|{host-destination-mac
igmp{{
1.网络安全设计的新技术 移动网络安全、大数据、云安全、社交网络和物联网等成为新的攻击点 2.网络安全面临的主要危险 有人为因素、系统和运行环境等,其中包括网络系统问题和网络数据的威胁和隐患。 3.网络安全威胁主要表现为: 非法授权访问、窃听、黑客入侵、假冒合法用户、病毒破坏、干扰系统正常运行、篡改或破坏数据等。 4.威胁性攻击的分类,其中典型的被动攻击是什么 威胁性攻击主要分主动攻击和被动攻击,嗅探是典型的被动攻击。 5.防火墙的局限性及风险: 防火墙能够较好地阻止外网基于IP包头的攻击和非信任地址的访问,却无法阻止基于数据内容的黑客攻击和病毒入侵,也无法控制内网之间的攻击行为。 6.数据库安全的种类 数据库安全不仅包括数据库系统本身的安全,还包括最核心和关键的数据(信息)安全7.信息安全的定义 信息安全是指系统的硬件、软件及其信息受到保护,并持续正常地运行和服务。 8.信息安全的5大特征: 确保信息的保密性、完整性、可用性、可控性和可审查性 9.网络安全的定义: 网络安全是指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。 10.网络空间安全: 网络空间安全是研究网络空间中的信息在产生、传输、存储和处理等环节中所面临的威胁和防御措施,以及网络和系统本身的威胁和防护机制。 11.网络安全包含的方面: 网络系统的安全、网络信息的安全 12.网络安全涉及的内容包括: 实体安全(物理安全)、系统安全、运行安全、应用安全、安全管理 13.网络安全技术的定义 网络安全是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的技术手段。 14.网络安全主要主要包括什么 实体安全技术、网络系统安全技术、数据安全、密码及加密技术、身份认证、访问控制、防恶意代码、检测防御、管理与运行安全技术等,以及确保安全服务和安全机制的策略等。 15.主要通用的网络安全技术 身份认证、访问管理、加密、防恶意代码、加固监控、审核跟踪、备份恢复 16.常用的描述网络安全整个过程和环节的网络安全模型为 PDRR模型:防护(Protection)、检测(Detection)、响应(Reaction)、恢复(Recovery)17.实体安全的内容主要包括哪几方面: 环境安全、设备安全、媒体安全
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
Top、vmstat、w、uptime、 ps 、 free、iostat、sar、mpstat、pmap、 netstat and ss、 iptraf、tcpdump、strace、 /Proc file system、Nagios、Cacti、 KDE System Guard、 Gnome System Monitor https://www.doczj.com/doc/5616555530.html,stat -a列出所有正在运行程序的端口如下: Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:90 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED https://www.doczj.com/doc/5616555530.html,stat -ano列出所有正在运行程序的端口及PID 如下: Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:90 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1120 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING 1680 TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING 2880 TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING 1680 TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED 3368 TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED 1680 TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1433 127.0.0.1:1141 ESTABLISHED 2880 TCP 127.0.0.1:1433 127.0.0.1:1143 ESTABLISHED 2880 TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING 3468 UDP 0.0.0.0:445 *:* 4 https://www.doczj.com/doc/5616555530.html,stat -anb列出所有正在运行程序的端口,PID及使用这个端口的进程( ):
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
XP组策略命令大全 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加。任务栏和开始菜单设置详解 用户配置-管理模板-任务栏和开始菜单 从「开始」菜单删除用户文件夹 隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。其它项目出现,但文件夹会被 隐藏。 这个设置是为了转发文件夹而设计的。被转发的文件夹会出现在「开始」菜单的主要区域中。但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。 请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。 如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。 如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。 删除到“Windows Update”的访问和链接 防止用户连接到Windows Update网站。 这个设置阻止用户访问地址为: https://www.doczj.com/doc/5616555530.html,的Windows Update 网站。这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update超链接。 Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。 还可参阅“隐藏‘从Microsoft 添加程序’选项”设置。 从「开始」菜单删除公用程序组 在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。 默认情况下,程序菜单包括从所有用户配置文件项目和用户配置文件项目。如果您启用这项设置,只有用户配置文件上的项目会出现在程序菜单上。 窍门: 要查阅在所有用户配置文件中的程序菜单项目,请在系统驱动器上转到Documents and Settings\All Users\Start Menu\Programs。
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。 1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口,如图1。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口),Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,图中LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。上图中本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了4个组件(RPCRT4.dll、rpcss.dll、svchost.exe、KvWspXP_1.dll)来完成创建工作。如果你发现本机打开了可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改时间,如果发现异常,就可能是中了木马。
2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,如果你上网时启动这类软件,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全。
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
Win +R 命令大全 常用命令已经做好了标记,如有统计不周敬请见谅! Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff--------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc-----本机用户和组 services.msc-----本地服务设置 oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本 cleanmgr-------**整理 net start messenger----开始信使服务 net stop messenger-----停止信使服务 compmgmt.msc-----计算机管理 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表 diskmgmt.msc----磁盘管理实用程序 calc-----------启动计算器 dfrg.msc-------磁盘碎片整理程序 chkdsk.exe-----Chkdsk磁盘检查 devmgmt.msc---设备管理器 regsvr32 /u *.dll----停止dll文件运行 drwtsn32------系统医生 rononce -p ----15秒关机 dxdiag---------检查DirectX信息 regedt32-------注册表编辑器 Msconfig.exe---系统配置实用程序 rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况 regedit.exe----注册表 winchat--------XP自带局域网聊天 progman--------程序管理器 winmsd---------系统信息 perfmon.msc----计算机性能监测程序 winver---------检查Windows版本 sfc /scannow-----扫描错误并复原 taskmgr-----任务管理器(2000/xp/2003) wmimgmt.msc----打开windows管理体系结构(WMI)
Display location mac-address /通过MAC查询业务流位置 Display ont optical-info 1 all /查询光衰减值 MA5680T(config-if-gopn-0/1)#display port state 0 //查看pon板端口状态 Disp lay interface brief / 带宽利用率 Display port traffic 0 / 查看上行口状态和流量情况 Display port state /查询口的状态 Ping -s 1000 -c 1000 IP / IPping 包 display current-configuration service-port 46 /查看端口配置数据root 默认登陆用户名 admin 默认登陆密码 MA5680T> enable 进入特权模式 MA5680T # config 进入终端配置 MA5680T (config)# switch language-mode 中英文切换 MA5680T (config)#display board 0 /查看所有的单板 0 是框号 MA5680T (config)# interface gpon 0/1 /进入GPON命令模式 1是PON口号 MA5680T(config-if-gpon-0/1)# port 0 ont-auto-find enable MA5680T (config)#display ont autofind all /查看自动发现的ONU(如果存在自动发现的ONU则如下所示) 进入config终端配置下查看命令
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
网络安全基本命令 想学会网络安全,就必须学会基本的网络常用命令,才能更好的去掌握网络,保护自己的系统,防止入侵。我们必须学会的基本的网络命令主要是基于Windows NT平台下的基本命令,也就是说windows 98/windows ME的下部分命令是不能运行的。所以说,如果你想学习网络安全,就一定要想学会抛弃windows 9x,当然你的电脑配置太低,那就当别论了。 我们下面说的命令一般都是在win2000/XP/Server2003的“命令提示符”(CMD)下执行的,有部分命令也是可以在windows 9x下的DOS下执行。 (本文比较长,差不多有两万多字吧,希望如果想学习网络安全的读者能够认真的去阅读学习,打好坚实的基础,如果在学习过程中碰到问题,希望自己能够去思考,或者查找资料去解决,养成良好的自学习惯,这将对你学习网络安全有重要帮助!本文无截图,否则文件将跟长!) 以下列出在NT系统中基本的网络命令和使用方法: 一、ipconfig命令: ipconfig命令应该是最最基础的命令了,主要功能就是显示用户所在主机内部的IP协议的配置信息等资料。 它的主要参数有: all:显示与TCP/IP协议相关的所有细节信息,其中包括测试的主机名、IP地址、子网掩码、节点类型、是否启用IP路由、网卡的物理地址、默认网关等。 renew all:更新全部适配器的通信配置情况,所有测试重新开始。 release all:释放全部适配器的通信配置情况。 renew n:更新第n号适配器的通信配置情况,所有测试重新开始。 例如: C:\>ipconfig Windows IP Configuration Ethernet adapter 本地连接: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.14 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 二、Net命令: Net命令主要是在windows NT平台中完成一些网络工作,它的功能非常强大,可以这么说如果你想学习windows平台下的网络安全,必须熟悉使用该命令。该命令的语法很多,功能强大,我们只是介绍一些简单常用的。
利用命令查看端口及对应程序 利用 netstat 命令查看本机开放端口 netstat 是 windows 自带命令,用于查看系统开放的端口,主要参数只有 -a 和 -n ,前者表示显示所有连接和侦听端口,而后者表示以数字格式显示地址和端口号。 在“ 命令提示符” 中输入“ netstat -an ”, 即可显示本机所有开放端口。 其中 active connections 是指当前本机活动连接, proto 是指连接使用的协议名称 local address 是本地计算机 IP 地址和连接正在使用的端口号 foreign address 是指连接此端口的远程计算机的 IP 地址与端口号 state 则表示 TCP 连接状态 注意如果后面的 UDP 协议有异常连接,则可能有木马正使用端口号,正处于监听状态,如冰河木马的默认监听端口号是 7626 利用 netstat 命令查找打开可疑端口的恶意程序 先用命令提示符 " netstat -ano " 命令显示端口状态,再在结果中找到可疑端口,然后根据其 PID 在输入“ tasklist ” 命令显示中查找其对应程序,就可知道其程序名,进而查明程序的来源,采取适当的措施。 直接查看端口与程序 ( 以上两个命令的结合效果 ) 在命令提示符后输入“ netstat -anb ” 回车,即可显示所有端口及所对应的进程信息,用来查找木马非常方便 用第三方端口查看工具 FPORT fport 是 foundstone 出品的一个用来查看系统所有打开 TCP/IP 和 UDP 端口,及它们对应程序的完整路径, PID 标识,进程名称等信息的小工具
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
石河子大学信息科学与技术学院 网络安全课程实验 实验名称:使用任选工具进行网络检测与扫描 学生姓名:刘金红 学号:05 学院:信息科学与技术学院 专业年级:计算机科学与技术专业2012级 指导教师:曹传东老师 完成日期: 目录 1 实验环境 .......................................................................................................错误!未定义书签。 2 实验目的 .......................................................................................................错误!未定义书签。
3 实验步骤 .......................................................................................................错误!未定义书签。 4 实验内容 .......................................................................................................错误!未定义书签。 DOS窗口中常用网络命令的操作使用及IPCS攻击实践.....................错误!未定义书签。 DOS窗口中ping 命令及其常见带参数子命令的用法实践......错误!未定义书签。 DOS窗口中IPconfig 命令及其常见带参数子命令的用法实践 ..错误!未定义书签。 DOS窗口中nslookup命令及其常见带参数子命令的用法实践 .错误!未定义书签。 DOS窗口中netstat命令及其常见带参数子命令的用法实践.....错误!未定义书签。 DOS窗口中arp命令及其常见带参数子命令的用法实践...........错误!未定义书签。 DOS窗口中route命令及其常见带参数子命令的用法实践 .......错误!未定义书签。 DOS窗口中tracert命令及其常见带参数子命令的用法实践 .....错误!未定义书签。 DOS窗口中ftp命令及其常见带参数子命令的用法实践 ...........错误!未定义书签。 DOS窗口中telnet命令及其常见带参数子命令的用法实践 ......错误!未定义书签。 DOS窗口中sc命令及其常见带参数子命令的用法实践.............错误!未定义书签。 DOS窗口中nbtstat命令及其常见带参数子命令的用法实践 ....错误!未定义书签。 DOS窗口中net命令及其常见带参数子命令的用法实践...........错误!未定义书签。 DOS窗口中at命令及其常见带参数子命令的用法实践.............错误!未定义书签。 使用课本第四章各案例中介绍的工具软件进行网络信息收集和扫描检测错误!未定义书签。 在虚拟机系统Window200x中使用GetNTuser工具扫描本机系统上存在的用户名,并猜解其中具有空密码和弱口令的用户;在该软件中使用自定义字典文件穷举 猜解某个用户的口令(爆破);......................................................错误!未定义书签。 使用Port Scan 工具软件进行对某目标机开放端口的扫描;....错误!未定义书签。 在虚拟机系统中使用Shed 工具软件扫描某个目标主机的共享目录信息;错误! 未定义书签。 编译执行课本中案例4-4介绍的代码,并利用抓包工具进行验证;错误!未定义书 签。 使用漏洞扫描工具X-Scan对指定IP 地址段或单机进行全面的安全漏洞扫描和检 测;....................................................................................................错误!未定义书签。 使用嗅探工具Win Sniffer 监听客户端登陆FTP服务器的用户和密码信息;错误! 未定义书签。 使用自选的任一款扫描工具进行网络攻击前的信息收集 ....................错误!未定义书签。 使用CIS工具对本机系统进行安全风险评估...............................错误!未定义书签。 使用Superscan扫描工具实现秘密端口扫描 ...............................错误!未定义书签。 实验一:使用任选工具软件进行网络检测和扫描 1 实验环境 1台带有活动网络连接(插有网卡且工作正常)、安装有VMware虚拟机软件的PC机,其中主机环境配置如表1-1所示: 表1-1 本机环境:主机操作系统的配置(作为客户机端)
如何查看本机所开端口如何获得一个IP地址的主机名 (2007-03-03 14:15:46) 转载▼ 1)如何查看本机所开端口: 用netstat -a —n命令查看!再stat下面有一些英文,我来简单说一下这些英文具体都代表什么 LISTEN:侦听来自远方的TCP端口的连接请求 SYN-SENT:再发送连接请求后等待匹配的连接请求 SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认 ESTABLISHED:代表一个打开的连接 FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN-WAIT-2:从远程TCP等待连接中断请求 CLOSE-WAIT:等待从本地用户发来的连接中断请求 CLOSING:等待远程TCP对连接中断的确认 LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED:没有任何连接状态 2)如何获得一个IP地址的主机名? 利用ping -a ip 命令查看!再第一行的pinging后面的『ip』前面的英文就是对方主机名! 同样道理,利用ping machine_name也可以得到对方的ip 获得一个网站的ip地址的方法是:ping www.***.com
比如想知道sohu的ip,就用ping https://www.doczj.com/doc/5616555530.html,/来查看就可以了 顺便说一句:如果返回:Reply from *.*.*.*: TTL expired in transit的话,呵呵,代表TTL(生命周期)在传输过程中过期 什么意思呢?我来解释一下! 导致这个问题出现的原因有两个:1)TTL值太小!TTL值小于你和对方主机之间经过的路由器数目。 2)路由器数量太多,经过路由器的数量大于TTL值! 呵呵,其实这两点是一个意思!只不过说法不同而已!
第14章端口安全配置 本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: ●端口安全介绍 ●端口安全配置 ●监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。 Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。 这三种规则的配置如下:
组策略命令大全(全) 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核
4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目