- 博客(318)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 Secure 第三天作业
实验需求:1.参考以上拓扑所示,完成以下需求:1配置各设备IP地址2配置ZBFWInside-1和nside-2属于内部ZoneOutside-1属于外部Zone!!测试:3监控Outbound的in-out-anyoutboundin-out-anyinspectdropoutbound测试:4针对Inbound的ICMP流量为为1MBinspectdrop测试:5监控内部Zone的。
2025-08-12 16:10:13
702
原创 Secure 第四天作业
2) 配置 Zon -Base Policy Firewall,Zone Nname 为 Inside/Outside,并配置 VRF,名字为 QYT,监控 Inbound 的 ICMP/Telnet 流量。4) 配置 User-Base FW,Use name=user1,Group=group1,监控 PC 去往 10. 1.1.1的 HTTP 流量。5) 配置 Radius,在满足需求 4 的同时,Reset掉 uri 中的“who”关键字。
2025-08-12 16:05:50
531
原创 Secure 第五天作业
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。公钥体制涉及一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,较好的方案是。非对称加密与算法的加密和解密密钥不同,加解密的计算量大,但不存在密钥的交换问题,安全性好,主要用在数字签名,对称密钥的加密、数字封装等方面。当然在数字证书认证的过程中证书认证中心(CA)作为权威的,公正的,可信赖的第三方,其作用是至关重要的。
2025-08-12 15:39:20
896
原创 Secure 第二天作业
1)IN路由器Telnet Out路由器,并在密码输入错误后,屏蔽回显的“登录无效“通知。##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##如果 60 秒内,CPU 利用率高于 50%,则产生通告。
2025-08-12 15:30:41
844
原创 Secure 第一天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2025-08-12 15:28:30
554
原创 PKI证书系统
每一个实体需要获取证书服务器的根证书,里包含证书服务器的公钥。时间是整个PK系统的重中之重,必须要先确保参加PK系统的设备和主机的时间同步。才能开始PKI的部署。2.收到的公钥都是被CA的公钥所确认的,CA的公钥在每一个实体本地必须是有效的。证书服务器是整个PK系统的核心,我们可以选择CiscoIOS或者微软的证书服务器。在使用任何基于RSA服务之前,一个实体需要真实可靠的获取其他实体的公钥。3.因为密钥数量过多,对密钥的管理和存储是一个很大的问题。每一个实体在申请证书之前,需要预先产生RSA的密钥对。
2025-08-12 15:26:55
466
原创 Zone-base Policy 高级
此外,监控器可以验证HTTP协议的遵守,一些内置的签名来检测或防止节点到节点,即时消息,和其他隧道。所有路由决策均通过邻接的路由器和主机来完成。能够粒度的分析HTTP请求和回应,并且允许特殊的值和正则表达式来匹配。·可以配置Zones到VRF激活的接口上,来实现虚拟化的ZBF策略。路由模式(默认):3层防火墙,基于IP地址转发流量。Zone-Base Policy FW可以运行两种模式。ZBF支持基于在线认证(认证代理)的用户策略。·不需要特殊的ZBF配置。ZBF对运用层访问的控制。
2025-08-12 15:26:23
183
原创 Zone-base Policy 基础
6. Associate class maps with policy maps to define actions applied to specific policies.(配置policy maps关联class maps匹配的流量,并且运用适当的actions)7. Assign policy maps to zone pairs.(在zone pairs指派policy maps)6.创建监控类型的policy-map,调用class-map,并做相应的行为。
2025-08-12 15:25:34
538
原创 Cisco IOS Classic Firewall
2.Configure Generic TCP and UDP Inspection(配置普通TCP和UDP监控)1. 创建Outbound流量的IP ACL匹配ICMP/TCP/UDP/HTTP的流量(可选配置)5.在IOSFW设备F1/0接口的出向调用监控列表,入向调用Inbound的IP ACL。3. 创建Inbound流量的IP ACL,deny掉Outbound的返回流量。c.注意:先检查ACL后检查监控策略,如果ACL没有放行,也就没有必要监控。1.(可选)放行内部合法流量访问外部非信任网络。
2025-08-12 15:24:57
869
原创 路由器数据控制管理层面安全
FPM是CisCOIOS新一代的ACL根据任意条件,无无状态的匹配数据包的头部负载,或者全部分析协议,更易于规则的创建用于替代传统ACL,对特定恶意流量的基础架构过滤。·NetFlow是某种形式上的遥感技术,路由器和交换机作为一个感应器,推送流量信息到NetFlow collector。·通过学习话单,你可以学习到很多:谁在和谁进行通话,通过什么协议和端口,多长时间,速度如何,持续多久等等。可以过滤抵达设备的管理访问,使用多重的独立机制:接口ACL、服务特殊的ACL、CoPP、MPP。
2025-08-12 15:23:48
626
原创 局域网安全
2. DHCP snooping功能在交换机上被激活后,以构建一个表项,这个表项映射:客户端MAC地址,IP地址,VLAN以及端口ID的对应关系。4.一旦激活IP Source guard所有IP流量都被阻止,只允许DHCP Snooping允许的DHCP流量。3.在连接静态配置地址的主机端口上配置一个静态的IPsource guard的映射或PACLs(可选)2.在启用DHCP snooping的端口上激活IP源防护功能(可选)2.在相同的交换机上,被保护的端口不能转发流量到其他的被保护端口。
2025-08-12 15:22:59
813
原创 网络基础设施保护
1.Data Plane e (数据层面)数据层面主要的责任是转发数据,数据层面决定数据包转发的目的接口,转发这个过程一般都是硬件实现的,并且实现线速交换。2.Control Planee (控制层面)控制层面决定了控制层面的数据是怎样发送的,控制层面的数据是直接抵达设备本身的,他们改变和影响着网络设备的决定 (控制层面消耗CPU。3.Management Plane(管理层面)管理层面主要处理网管相关的一些数据,主要有 SSH SNMP等等,管理层面的数据包直接接受CPU的处理。网络基础保护的部署模型。
2025-08-12 15:22:19
440
原创 SEC_FirePower 第四天作业
三台路由器(Outside、Inside和DMZ);FireAMP上层: username:[email protected] password:Cisc0123。##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
2025-07-29 10:38:59
757
原创 SEC_FirePower 第三天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2025-07-25 17:11:44
495
原创 SEC_FirePower 第二天作业
FireAMP上层: username:[email protected] password:Cisc0123。##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
2025-07-25 16:52:17
616
原创 SEC_FirePower 第一天作业
初始化管理接口地址 sudo /usr/local/sf/bin/configure-network。TMC:入侵检测和防御、文件控制、安全智能过滤、高级恶意软件防护、URL过滤。##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##TM:入侵检测和防御、文件控制、安全智能过滤、高级恶意软件防护。TC: 入侵检测和防御、文件控制、安全智能过滤、URL过滤。##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2025-07-25 16:48:32
506
原创 Firepower 基础
configure Manager add 10.1.1.100 cisco 将FTD 注册到FMC。存在多台FTD设备 要引用同一个对象,但是对象内容是不同的比如打印机、dns等公共资源。多台 FTD 使用想同公网地址注册到FMC 使用 NAT-ID 字段去区分。可以使用override 功能 将对象的内容为每一天FTD设备指定特定的内容。FTD 使用TCP 8305 端口 主动注册到FMC。expert 进入专家模式。在FMC查看FTD的命令。
2025-07-25 15:41:46
240
原创 第五天上课 SSLPolicy策略和Network Discovery技术
场景1:拥有自家服务器的私钥,解密访问自家服务器的ssl流量。场景2: 内部用户访问互联网的ssl流量,需要解密并重签名。
2025-07-25 09:17:46
294
原创 第四天上课 Secuirty Integlligence策略和lntrusionPolicy策略
功能:文件存储、检查;文件分析(引擎:spero analysis 方式:本地、公有云);IPS规则如果不能从snort2 转换到snort3 则手动编写上传。FTD 是什么版本 则对应版本的snort2、3的 IPS规则生效。1.链路状态传播 串联进网络 接口对状态保持一致。检查、存储、追踪、分析和阻止恶意软件在网络中的传播。没有AMP 的文件控制 只能通过文件类型控制。
2025-07-24 09:53:34
191
原创 第三天上课 用户认证以及基于用户的应用和URL过滤
6.ISE通过PxGrid分享(EndPointProfileMetada、SessionDirectory 和TrustsecMetaData)到FMC上。3.ISE与FMC的PxGrid联动(两个证书+Approval)7.FMC通过SGT(Employee)Tag控制穿越防火墙的流量。5. ISE授权VPN用户SGT(Employee) Tag。1.FMC同步时间与集成域,下载用户。2.ISE与AD域集成,提取域用户组。4.ASAVPN通过ISE认证授权。放行ISE 到FMC 流量。
2025-07-24 09:52:36
594
原创 第二天上课 Firepower防火墙 基本访问控制,PxGrid联动
Monitor:监控行为并不会影响流量,匹配使用监控行为的规则的流量不会被permit或者deny。流量会被继续匹配,直到遇到非监控行为的规则来决定自己是被permit还是deny。匹配的流量不一定会被block,和页面交互后即可通过。都会拒绝流量,并且不做任何监控,只不过Block with reset会重置连接。因此,monitor行为的目的在于跟踪流量,并且放在其他rules 的前面。Trust行为允许流量通过,并且不做任何监控。多厂商跨平台,网络系统的协同工作。角色: 发布者、控制者、订阅者。
2025-07-24 09:51:20
197
原创 第一天上课 FP 介绍 license介绍
思科收购SourceFire后推出FP AnyConnect安全平台,整合IDS/IPS功能,支持工控网络安全。其授权模式分为基础、入侵防御、恶意软件防护等多层级方案,提供URL过滤、智能分析、文件控制等安全功能。设备支持DHCP、NAT、路由交换等基础网络功能,采用智能许可证管理。安全策略实施顺序包括智能过滤、URL黑白名单、SSL加解密及网络行为分析等,通过预过滤策略和访问控制策略实现威胁防护。初始账号为admin/Admin123。
2025-07-23 17:20:00
331
原创 Docker 实现MySQL 主从复制
记得打开安全组,虚拟机的话记得处理好防火墙。后,从机也随之就有了。(这里的命名是确定的,因为在配置文件中说明了复制。当然这些还是有看不出到底有没有复制的话,咱们直接测试函数,就能知道啦。这就可以看出主从复制确实是成功的,但是在使用函数上有数据不一致的问题。注意:此步骤后不要再操作主服务器MySQL,防止主服务器状态值变化。,将mysql的配置文件夹和宿主机的文件夹挂载起来的。搭建过程中,为了减少错误的产生,就多了这一步的测试。:如果在这里出现错误,先重置。测试启动成功后,我们再来进行下一步。
2025-01-20 15:29:34
1256
2
原创 ASA A/A模式
标识设备:prompt priority state context。ASA1、2 需先切换到mode到 multiple。所需接口 no shutdown。
2025-01-09 14:37:14
554
原创 CCNP_SEC_ASA 第八天笔记
1.一对物理接口可以捆绑进入一个余接口并提供接口级别的余2.这些组成冗余接口的物理接口叫做成员(members)3.一个成员是主用接口,另一个成员是备用接口。如果主用坏掉了,备用将变为主用。4.在冗余接口下可以执行所有的接口配置如何部署冗余接口1.可以配置多达8个余接口对2.不能够指派子接口到一个余接口3.两个成员接口必须是一样的物理类型部署余接口物理链接实例1.当使用余接口时,你可以把防火墙连接到一台交换机上2.使用两个交换机来实现额外的冗余冗余接口的切换。
2025-01-09 10:21:35
904
原创 CCNP_SEC_ASA 第七天笔记
系统配置没有可转发流量的接口,它使用管理子墙的策略和接口来和其他设备通信管理子墙用于查询其他子墙的配置和发送系统级别的日志消息用户登入管理类型的子墙上可以访问系统配置和所有的其他子墙管理类型的子墙去除掉它对系统的意义,它可以像一个普通防火墙一样被使用。1.你能够使用所有的访问控制技术。2.CiscOASA也有一个系统配置,它包含CiscOASA的基本设置,包括一个关于子墙的列表 (创建子防火墙,关联接口,存盘目录)4.当使用共享接口(或子接口)的时候,要为每一个子防火墙的共享接口指定不同的MAC地址。
2025-01-06 17:33:54
881
原创 CCNP_SEC_ASA 第七天作业
五台路由器的 E0/0口分别接入交换机的 E1/1 – 3和 E2/1 - 2接口,ASA防火墙的 G0/0 – 1接口分别接入交换机的 E0/0 – 1接口,交换机如图所示,为各台设备划分 VLAN,并在 ASA防火墙上配置 Bridege-group。四台路由器的 E0/0口分别接入交换机的 E1/0 – 3,ASA防火墙的 G0/0 – 1接口分别接入交换机的 E0/0 – 1接口,交换机如图所示,为各台设备划分 VLAN。##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
2025-01-06 17:33:02
1303
原创 ASA第六天笔记
DynamicInsideNAT(动态内部装换):为一个本地IP地址到一个全局IP地址创建一个临时的转换1.lnsideNAT转换一个位于高安全级别接口的本地地址到一个位于低安全级别接口的全局地址2.当内部地址发起第一个连接时,在转换表项里动态创建转换槽位3.转换项一直存在,直到配置的闲置时间到期。DynamicInsidePAT(动态内部PAT):创建一个临时的动态转换,把一个本地地址和端口转换到一个全局地址和全局端口。1.为每个4层连接创建转换槽位(最多65535-1023个槽位)
2025-01-03 14:55:42
1133
原创 ubuntu 如何使用vrf
在Ubuntu或其他Linux系统中,您使用命令和命令配置的网络和内核参数通常是临时的,这意味着在系统重启后这些配置会丢失。为了将这些配置持久化,您需要采取一些额外的步骤。对于命令配置的网络接口和路由,您可以将这些配置添加到网络管理工具的配置文件中,或者创建一个启动脚本来在系统启动时重新应用这些配置。然而,对于VRF(Virtual Routing and Forwarding)这样的高级配置,通常需要特定的网络管理工具或自定义脚本来处理。以下是一些可能的步骤来持久化您的配置:使用Netplan(如果适用)
2024-12-31 13:53:59
873
原创 网络培训第一期
ISP区域 202.100.1.0/28地址段 互联地址使用/30掩码ISP1、2、3 使用rip 互联 不能使用静态server 开启DNS 、HTTP配置解析分支1区域 10.1.0.0/16 IP地址 自行分配FZ1-SW傻瓜交换机FZ1-CORE、FZ1-JR交换机使用 MSTP、VRRP组网FZ1-CORE、FZ1-AR、ISP2使用OSPF分支2区域 10.2.0.0/16 IP地址 自行分配分支3区域 10.3.0.0/16 IP地址 自行分配。
2024-12-31 10:32:42
227
原创 CCNP_SEC_ASA 第六天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2024-12-27 16:18:13
1025
原创 CCNP_SEC_ASA 第五天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2024-12-18 17:32:00
675
原创 CCNP_SEC_ASA 第四天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2024-12-18 12:49:13
1081
原创 CCNP_SEC_ASA 第三天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2024-12-15 13:58:30
607
原创 SEC_ASA 第二天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
2024-12-13 13:52:40
813
原创 SEC_ASA 第一天作业
#此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图####此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##按照拓扑图配置VLAN连接。
2024-12-10 17:12:56
891
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人