HCNAsecurityUSG①環境準備權限 Admin@123 （abc-<>resetsaved-configuration③⑤CE6800OSIOSI模型：opensysteminterconnection（七mac三層：網絡層：IP地址四層：傳輸層：端口號（TCPUDP）osi目前已經被淘汰。目前tcp/ip已經取代osi模型。TCP/IPipv4version版本：4ipv4IHL（header）：ipv4（變化）TOS（dDSCP差分服務代碼點）：服務質 將流量進行totallength：總長 總長度-頭部長度=高層數標識、標記、分片偏移用來對數據包進行分片和重組flagsfragmentoffsetTTL（timetolive）：生存周期 現在用來記錄傳輸的跳數防止三層路由環路報文通過三層設備時才會減一protocol協議字段：標識上層協議 1ICMP 6TCP headerchecksum頭部校驗：校驗ipv4報頭在傳輸的時候是否options選項位：對于ipv4報文的高級功能（如松散源路由等）進行定義可有可無padding填充位：在options不足32bit時，使用padding填充0。二層type:0x0800 二層type: 三層protocol 三層protocol 三層protocol typeprotocolkali踩點掃描篇工具：nmap 對6.1-6.120ping行掃描3-5s即可完成zenmap：圖形界面語言編寫的，能夠在Windows、Linux、UNIX、MacOS等不同系統上運行。開發Zenmap的目的主要是intense：強烈的認真的細致的scan：掃描comprehensive20個地址大概需要掃描5mannmapnmapScanPortpassword…3.rarScanPortpassword…3.rar（此版本只能在xp中使用scanportxscan利用報文 arp請 tcpsynkalilinux攻擊之斷網：（原理arp欺騙攻擊機kali6.50受害者win7arpspoof-ieth0-t16-i網卡 arp簡介：（AddressResolutionProtocol）,地址解析協議，通過arpcmd - 顯示arp - *清空arparp① arp請求包 廣dynamic② arp響應包reply單播 arp-s01c-87-2c-61-ff-arp欺騙注意使用arp總結：arparp原理：利用虛假的arprelaypcarp,arpreplykaliarpspoof-t0欺騙6.1聲稱自己就是6.80（將6.80的mac偽裝成B，通過arprelay報文發送給6.1） -t0欺騙6.80聲稱自己就是6.1（將6.1的mac偽裝成B，通過arprelay報文發送給開啟kali ctrl+shift+ linux攻擊時通不攻擊時也通防御：dhcpsnooping+ip源防護+DAIarp限速360安全dhcpdhcpsnoopingenable全局dhcpsnoopingenablevlan1intxxdhcpsnoopingenablevlandhcpsnoopingintdhcpsnoopingdisplaydhcpsnoopinguser-arp執行命令arpspeed-limitsource-macmaximummaximum，址進行ARP執行命令arpspeed-limitsource-ipmaximummaximum，配行ARP執行命令arpanti-attackrate-limitenable，使能ARP報文限速缺省情況下，未使能ARP（可選）執行命令arpanti-attackrate-limitalarmenable，使DAIarpintxxxarpanti-attackcheckuser-bindarpanti-attackcheckuser-bindalarmenable，使能動態arpanti-attackcheckuser-bindalarmthreshold方法A：不啟用dhcp-snooping，使用user-bindstatic靜態建立ip-mac-接口檢查表項（這種方法適用于企業靜態給用戶配全局user-bindstaticip-addressmac-address0021-cccf-1d28interfaceEthernet0/0/2interfaceipsourcecheckuser-bind即可接在e0/0/2口的PC只能是31.7mac是1d28才可以通過e0/0/2口若ip和mac不匹配則報文將被直接丟棄方法dhcpDHCP（DynamicHostConfigurationProtocol）動態主機配置協議，給用戶自動分配ip地址、網關、DNS等參數。可以提供DHCP功能的設備：路由器、家用路由器（小米、tp-link等）、防火墻、三層交換機、服務器用戶上網滿足參數：IP地址、網關、DNS等。dhcpenabledhcp功能inte0/0/0ipadddhcpselectglobaldhcpippoolqq創建地址池qqgateway-listnetworkmaskipdns-list14disippoolnameaa 查看dhcpdhcp55廣播用戶請求地址的時候，macdhcpmac來區分不同的計算機，進而分配不同的ip地址。dhcpdhcpenabledhcpsnoopingenablevlan1dhcpsnoopingintgi0/0/1將上聯口設置為信任接口（默認所有的接口都是非dhcpsnoopingdhcpkali攻擊機偽裝各種dhcp請求報文將dhcp地址池耗盡，使得win7虛機里面運行ensp，使用路由器搭建dhcp服務，kali通過云彩橋接到交換機進行dhcp耗盡攻擊.kali執行攻擊指令：pig.py路由器dhcpippoolaagateway-listnetworkmaskdns-list14interfaceipaddress54dhcpselect查看指令：disippoolnameaa防御 snooping端口dhcp請求限速（個數DHCPDOS攻擊工具yersinia是一款底層協議入侵工具，它能偽裝多種協議的報文并實施欺騙和攻擊。例如：奪取生成樹stp的根角色，生成虛擬cdp（cisco發現協議）鄰居。在一個hsrp冗余型網絡環境中偽裝成一個活動的路由器、制造假dhcp報文反饋，耗盡dhcp池等等。SpanningTreeProtocol(STP)CiscoDiscoveryProtocol(CDP)DynamicTrunkingProtocol(DTP)DynamicHostConfigurationProtocol(DHCP)HotStandbyRouterProtocol(HSRP)IEEE802.1QIEEE802.1XInter-SwitchLinkProtocol(ISL)VLANTrunkingProtocol(VTP)啟動工具 -由于大量dhcp廣播(2萬個/s)攻擊報文發出，導致路由器和其他針對dhcpDOS針對dhcpDos攻擊防御：storm-control6.7或者dhcpsnooping+dhcpsnooping 針對dhcp針對dhcp耗盡攻擊防御： dhcpsnooping+dhcpsnoopingmax-user-number9.7.4或者端口安全8.6.1Kalilinux攻擊之捕獲妹子相冊抓 網關（6.1）先來個arparpspoof-t17開啟kali的路由轉發能（臨時 driftnet-ieth0開啟抓圖即可win7打開新浪首頁然后kali注意：只針對http的流量，httpsKalilinux win7上面： 主要登陸http帳戶進入個人后臺KalilinuxDNS欺騙釣魚網站：0（server①修改DNSecho1>/proc/sys/net/ipv4/ip_forward開啟kali②運行攻擊工具③選擇網卡掃描④執行arp選中攻擊目標：將網關6.1添加到target將受害者6.113添加到target執行arp毒害，使得網關6.1認為受害者6.113的mac是1a95(攻擊者mac），同時使得受害者6.113認為網關的mac就是受害者arp⑤dns攻擊后結果：受害者訪問任何網站都會解析成原理：首先發送arp欺騙報文對網關路由器和受害者進行arp欺騙，得手后利用dns欺騙工具對受害者的dns請求進行偽裝應注意：經測試win10安裝360arp欺騙報文：DNS瀏覽的網站、獲取目標主機cookie登陸其個人隱私空間或論壇、dhcp欺騙等等等。防御措施：dhcpsnooping+DAI+IPSG端口安全以上攻擊防御機制：360簡單攻擊工具cainCain4.9…Cain4.9…3.rar選擇網卡和ip必須要發現ip先點擊網卡然后再點擊嗅探器否則會說嗅探器未激活（在嗅探arpP2P終結者4.1.3pa3.rarP2P終結者4.1.3pa3.rar注意：默認全局限速規則下行100K上行限速前：受害者使用360瀏覽器ie百度qq下載保存限速后建議在xp環境下安裝（安裝winpcap3.0軟件自帶注意：該軟件只能使用winpcap3.0不兼容其他版本winpcap。3s掃描原理：大量的arp設置關鍵主機（可以設置多臺，一般可以將網關設置為關鍵主機對用戶進行管理：設定權限（復雜管理）手工簡單管理（中等復雜）鎖定和解鎖（簡單管理UDP攻擊器V2.1paUDP攻擊器V2.1pa3.rar攻擊可以是個人pc也可以是服務器（殺敵一千自損800）端口可以是80445135等消耗服務器60%DD…3.zipDD…3.zip 31f西刺代理簡單攻擊工具④ScanPortScanPortScanPortpassword…3.rar（此版本只能在xp中使用scanportxscanwindows安全公告網站：/zh-nessus/products/nessus/select-your-operating-激活官網/products/nessus-灰鴿子2008破解版灰鴿子2008破解版3.zipPC（6.116）攻擊 PC受害者生成木馬程序6.116屬于監聽的ip[]web-managerenable開啟web界面管理（缺省配置：已web界面：默認 修改后密碼統一為：abc-1234abc-SecureCRT注意：遠程SSH、telnet工作模式：①透明網橋模式（二層交換機模式②路由模式（三層路由模式功能：包過濾防火墻（老acl功能少狀態防火墻（新墻功能多用防火墻）、上網行為管理設、網閘、堡壘機（審計）等等默認區域 untrust DMZ：demilitarizedzone 隔離區非軍事化區域停火區一般firewallzone gi1/0/0將接口加入trust允許接口被ping： gi1/0/0service-managepingrulenamelocal_anysource-zonelocaldestination-zoneanyactionpermit<>resetsaved- 停止②接口ip④基于源地址轉換的 route- nat配置nat-rulenametrust_ISPsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ipdefaultaction內容。這個“狀態”就是我們平常所述的會話表項(sessiontable)。這種機基于會話（狀態）session首包：建立會話的過程去包disfirewallsessiontablerulenametrust_dmzsource-zonetrustdestination-zonedmzactionpermitrulenametrust_dmzsource-zonetrustdestination-zonesource-addressdestination-address32servicetelnetserviceicmpaction多通道協議（多信道，多會話單通道協議：http多通道協議server-map表：server主要：數據一旦匹配了“特殊通道”（server-map表查看servermap表：disfirewallserver-map端口識別、端口映射aclnumberrulepermitsource0匹配訪問的ftpport-mappingftpport31acl 安全策略：只允許tcp31ftpweb源NATnat-rulenametrust_untrustsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip端口映射（nat將內網地址的23端口映射成公網地址的命令行：natserveraa0protocoltcpglobalwwwinsidewwwno-reverseTelnettelnetserverintgiservice-managetelnetuser-interfacevty04protocolinboundauthentication-modesetauthenticationpasswordcipherabc-1234userprivilegelevel15telnetserverenable（注意：默認防火墻telnet服務關閉）manager-userservice-typetelnetuser-intervty04authenticationmodeaaaprotocolinbound intgiservice-managetelnetpermitSSHrsalocal-key-paircreateintgiservice-managesshuser-intvty04authentication-modeaaaprotocolinbound 默認就是允許manager-userxiaogepasswordcipherXiaoge123service-typesshlevel防火墻需開啟sshstelnetserverenable開啟ssh服務sshusersshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typestelnet客戶端路由器：stelnetCCNPa1234，且不能使用歷史密碼。更改密碼后會被踢出然后注意1：ssh注意2：允許防火墻對tracert配置防火墻允許tracert回顯：icmpttl-exceededsend x.x.x.xtracert原理：發送探測報文（UDP報文）ttl=1（第一跳）ttl=2（第二跳）。。。依次類推，當中間的三層設備收到ttl值icmp的報文通知源端。因此tracert時，會有 *出現是多數是防火墻intgi portlink-typeaccess互訪。如果想阻止互訪可以配置例如：trust_trust動作為deny例如：配置安全策略只允許pc1telnet訪問pc5，其他流量在防火墻上面配置vlanintgi link-typeaccess defaultvlan例如：只允許trust1< telnet流vlanbatch1525interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1525interfaceportlink-typeaccessportdefaultvlan15interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan25vlaninterfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan10注意1：由于vlan10用戶跨越多個安全區域，因此將SVI虛擬接口vlan10劃分在trust區域。如果想做trust1（vlan10用戶在區域）svi1（vlan15用戶）互訪的安全策略時，只需做>svi1區域的策略即可。即vlan間互訪時使用三層SVI接口所在的安全區域配置策略。但是相同vlan互訪（如：trust1和trust2區域）還需要配置相應的安全策略，這樣方便實施更加精注意2：防火墻配置安全策略對vlan間的互訪報文做控制時，安對物理接口和SVI接口劃分在了不同區域）。ip放行local_to_any傳統vrrpvrrp需要解決的兩個問題：左右vrrp（VGMPvgmp組，左右vrrp組要切一起切）（HRP)VRRP配置：intvrrpvrid1virtual-ipactiveintgi1/0/1vrrpvrid2virtual-ipintgivrrpvrid1virtual-ipintgivrrpvrid2vritual-ipHRPhrphrpinterfacegi1/0/6remotehrphrpstandby-hrpintgi1/0/6remote注意1：standby狀態的設備不允許配置安全策略，只允許在主設standbyconfigenable+B注意2：hrp注意3：trust_to_untrust放行策略，才可通信dishrp1R1pingR22R1telnetR2FWwebHRP：HuaweiRedundancy賬號分類1賬號分類2或者vpnGREVPNvpn：virtualprivatenetwork原理：封裝兩層IP包頭，私網包頭+公網包頭利用公網包頭穿越防火墻-vpn防火墻-vpnGREvp…成.zipFWlocal_anyFWFWpingGREvpn路由配置(感興趣流量interfaceipaddresstunnel-protocolgresourcedestinationgrekeycipher123grechecksumaliasundoservice-manageenable（默認隧道口地址不允許FW1:iproute-static加密三個要素：①數據②算法對稱加密算法：rc4des3desaes非對稱加密算法：rsa非對稱密鑰加密算法：rsa（公鑰、私鑰公鑰加密例如防火墻上：rsalocal-key-paircreate指令產生密鑰對用于對稱加密：優點速度快缺點不安全非對稱加密：安全缺點散列算法：md5sha校驗數據完整性（不可逆哦）Hash_md5Hash_md5校驗.exeipsecvpn簡單配置GREvpn前提：接口區域公網地址可達ipsecvpnIKE：InternetkeyexchangeISAKMP：InternetSecurityAssociationKeyManagementIKE為IPSec協商生成密鑰,供ipsec三個階段：①IKE密鑰協商階段（建立IKE②IPsec參數協商階段（建立IPsec③加密傳輸數據（加密傳輸數據階段①disike resetike階段②disipsec resetipsec階段③disipsecstatistics查看經過ipsec建立，則觸發IKE進行協商。IKE首先建立第一階段的安全聯盟，即IKESA。IKEv1主模式協商過程：（了解即可IKEv1野蠻模式協商過程：（了解即可常見IPsec報文封裝模式：（了解即可隧道模式ESP+AH+ESP+AH+DH（Diffie-Hellman）Diffie-Hellman算法是一種公共密鑰算法。通信雙方在不傳送密完美向前保密（PFS：PerfectForwardipsecvpn排錯和診斷（特別注意：不同廠商ipsecvpn前提：兩邊公網接口確保可以ping②防火墻上面公網接口運行③local_anyvpn2.46IPsecvpnipsecvpn配置：精細化的安全策略配置①放行隧道協商的安全策略IKE和創建IPsec公網口允許ping：方便檢測路由ipsecUSG：UnifiedSecurityGateway統一安全網關（防火墻firewall）UTM：UnifiedThreatManagement IPS：IntrusionPreventionSystemIDS：IntrusionDetectionSystem入侵檢測系統AV：AntiVirus反病毒/cn/products/enterprise-networking/security/firewall-http:上網網頁https：上網網頁SMTP:SimpleMailTransferProtocol即簡單郵件傳輸協議上傳POP3：PostOfficeProtocol3，即郵局協議的第3個版本下載IMAP:InternetMailAccessProtocolNFS：NetworkFileSystemSMB：ServerMessageBlock共享信息塊 cifs（CommonInternetFileSystem）、samba。CC攻擊：ChallengeCollapsar，主要用來攻擊網頁，攻擊者借助代理服務在創建IPS策略時，如果策略模板能夠滿足應用場景或者與應用場景相似，則可直接在策略中時簡化配置。AVSACG：SecurityAccessControlGateway安全準入控制網關SM：管理服務器，管理AD服務器、防病毒服務器等聯通/14移動注意：多出口選項建議勾選缺省路由生成優先級為70的缺省路由用來備用！策略路由PBR：Policybasedrouting即：案例vlanbatch20interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan20interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlaninterfaceipaddressinterfac