内网安全技术之如何防止非法接入
mac绑定ip , mac绑定端口,你想帮还帮不上呢。
如果是网页的路由器带lan口的那种的话,就选择强制绑定,只有arp缓存表里静态绑定的才能连接到网络中,否则拒绝。
如果是CISCO的交换机,或3层交换
第一句是限定最大MAC数只有一个,第二句是一旦有违反的情况就自动关闭端口,
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
最后一句可以有2种写法,上面的是自动绑定连接上的第一个设备的MAC,第二种是手动绑定,比较麻烦。
Switch(config-if)#switchport port-security mac-address sticky
或
Switch(config-if)#switchport port-security mac-address h.h.h
ip + mac 只能保证,局域网内被绑定的设备能够访问internet。非绑定的设备不能访问internet。
但新接入的设备仍能访问局域网内的设备。
1.原理:绑定。就是说一个网络设备,只认他地址列表中绑定了的设备,没绑定的不认。
1.1 若是路由器做的绑定,则路由器只认绑定的电脑,让他们通过路由器去访问。
1.2 若是电脑做的绑定,则该电脑只认绑定的电脑。非绑定的电脑访问不了该电脑。
2.所以,您若在路由器上绑定,也只能限制他们访问外网,内网要限制,必须在每台电脑上做绑定。很麻烦哟。
3.只要新来的设备接入交换机,而且知道该局域网的ip地址段,就能访问该局域网的电脑。
4.最简单的就是,物理限制:不让接网线,不让接交换机、不让接路由器、不让连无线设备。就是工作上要辛苦点。
ARP(Address Resolution Protocol是地址解析协议),是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)。简单说,IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
ARP欺骗阻断:在同一个IP子网内,数据包根据目标机器的MAC地址进行寻址,而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表,在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方,容易造成ARP欺骗的情况发生。
由于ARP欺骗的阻断方式技术实现较简单,就被国内大部分厂商所采用,特别是针对未注册阻断、非法访问的阻断等,往往都采用ARP欺骗的阻断方式。
二、ARP欺骗阻断的不足
首先,采用ARP欺骗阻断方式对网络的负荷影响很大。
ARP工作时,首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中,一个ARP请求可能会收到数十个、设置数百个ARP应答,有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗,因此,在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的,可能导致网络设备性能下降,影响用户正常的业务。
其次,ARP欺骗阻断方式准入效果不可靠。
ARP欺骗并不能100%保证有效,比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者,请求者是否被欺骗还存在一定的机率,或者客户端安装了防ARP欺骗的软件,如果采用ARP欺骗包来实现终端设备的准入控制,效果就可想而知,其自身的缺陷,使得准入的可靠性大为降低。
最后,ARP欺骗阻断和真正的ARP欺骗难以区分。
在一个网络内如果启用了ARP欺骗阻断,当真的发生ARP欺骗时,后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗,将给用户的故障排除带来极大的困难,严重影响用户业务。另一方面,在大多数的ARP欺骗阻断实现中,往往是子网内的所有电脑同时对目标电脑进行欺骗,如果目标电脑无需受欺骗后,要求所有电脑停止对其进行欺骗,而此时如果个别电脑没有收到停止欺骗的指令,将导致目标电脑持续不能正常访问网络,导致用户运维事故。
三、内网安全产品的新型阻断方式
综上所述,ARP欺骗的阻断方式存在很多问题,因此内网安全产品应该辨证地使用这一方式,启明星辰在其天珣内网安全风险管理与审计系统中提出了不同的思路。
1. 避免单一,采用多种阻断方式
天珣内网安全风险管理与审计系统在终端接入边界交换机,可以通过网络准入控制手段阻断不合法的终端接入内网,同时,在后台重要服务器中,通过应用准入控制,实现阻断不合法的终端访问重要服务器和服务资源。也就是说,从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下,天珣产品虽然也使用了ARP欺骗的阻断方式,但是,这种阻断方式被大大规范和限制,特别是在个人防火墙只要拦截到ARP欺骗的攻击,就会立即制止客户端向其他客户端发送欺骗包,从而彻底改变了ARP欺骗的不利局面。除此之外,启明星辰天珣内网安全系统与天清汉马USG一体化安全网关(UTM)形成UTM平方统一安全套件,提供外网边界准入控制,可以实现阻断不合法的终端访问internet。
2. 主动防御ARP欺骗
启明星辰天珣内网安全系统通过检查IP数据包包头,可确保数据包欺骗不能发生。通过监控网络行为的发起进程,防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包,自动绑定网关MAC,拒绝延迟的ARP应答包等方式,防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。
3. 基于终端网络行为模式的威胁主动防御
启明星辰天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每台计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全状态控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问。
启明星辰天珣内网安全系统紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。天珣内网安全系统引领了内网安全管理模式的新变革,在行使终端安全管理职能的同时,更与天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。 启明星辰天珣“五维内网合规管理模型”
如何确保公司内网安全?
答:在访问控制方面,应建立严格的身份认证和权限管理机制。所有用户和设备在接入内网前,必须经过身份验证,并赋予相应的访问权限。例如,可以使用多因素身份验证技术,结合用户名、密码和生物识别等方式,提高身份验证的安全性。同时,通过权限管理,可以限制用户访问特定资源,防止敏感信息的泄露。安全审计和日志...
在计算机网络中什么是用于防止非法访问的安全设备?
答:允许合法的网络数据传递,拒绝非法网络通信;可以根据会话状态信息为数据流提供明确的允许/拒绝访问;控制端口以及对会处于非活跃一定时间内或会话结束后终止连接;屏蔽内部端口,防止来自外部网络的扫描探测和非法攻击;拦截病毒攻击事件,对事件的源、目的信息逐条记录,可视化技术协助用户了解病毒攻击详情。
NAT私接的威胁有哪些?如何防止NAT私接?
答:花生壳是一个动态域名解析软件,支持端口映射和内网穿透,从2006年面世起十多年间累计为全球1450多万用户提供动态域名解析服务。2016年5月,全新改版客户端花生壳3.2发布,以颠覆式的nat-DDNS创新技术、全新的交互界面及功能体验,搭配Web、微信远程管理,全面满足广大用户的多元化需求。
如何防止网络入侵
答:防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.防火墙...
如何让我的无线网络不被别人蹭网
答:很多用户不了解甚至不知道路由器还有管理密码,因此会长期使用Admin、root等路由器出厂默认的弱密码,给黑客攻击大开方便之门。2、设置高强度密码 了解了无线路由器不设防的风险后,我们需要为自己的无线路由器设定可靠的无线密码。需要强调的是密码不能过于简单,有国外安全研究公司曾做过被盗用的密码分析...
防止蹭网安全上网的方法步骤
答:也许大家以为蹭网只是会造成无线网路的不稳定,其实更为严重的是个人资讯泄露,那么如何解决呢? 下面我介绍快速让WiFi网路变得更为安全的防蹭网小方法,以及被蹭的原因,危害和如何防止被蹭网供大家参考选用。防止蹭网,安全上网方法:路由器设定密码 有很多使用者为了图省事不给无线路由器设定密码,任其...
内网安全的保障措施
答:为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的;现今应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。 使用...
如何做好局域网的安全维护
答:一旦使用了DHCP监听技术,我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数,并以此绑定表作为每个上网端口接受数据包的检测 过滤标准,来将没有授权的DHCP服务器发送的数据报文自动过滤掉,那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。维护局域网安全2、预防Dos攻击 大家知道,...
保证企业内网安全应该怎么做?
答:1、注意内网安全与网络边界安全的不同 内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部...
如何保护内网安全
答:内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。今天就给大家脑补一下内网安全的保护方法。对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当的...
