Cisco网络基础保护框架（三）

　　其实，现代网络安全威胁是非常的多的，而且数据平面的流量主要由用户生成的在路由器之间转发的流量组成。数据平面的安全可以使用它可以为网络提供用作管理用途的AAA服务。那么，我们就来了解一下具体的内容吧。

　　其实，ACL通过执行数据包过滤来控制哪些数据包通过网络传输,以及哪些数据包可以放行。ACL.用来防欺编机制和二层安全特性来实施。阻止不需要的流量或用户:ACL可以过滤结构式行的入向或出向数据包。它可以基于源地址保护数据平面的安全的方法有多种,如下所示。目的地址和用户认证来控制访间。

　　减少DoS攻击的机会:ACL.可以用来指定流量是来自主机、网络,还是由用户访间网络而产生。也可以TCP拦截特性,以防止服务器遭受连接请求的泛洪。

　　缓解欺骗攻击:ACL.允许安全实践人员来实施推荐的做法,以缓解欺骗攻击。对流量进行分类。

　　以保护管理平面和控制平面:可以在VTY线路上应用ACL。ACL通过丢弃具有无效源地址的流量的方式,ACL.也可以用作一种防欺骗机制。这将迫使攻击由有效而且可达的P地址发起,从而允许通过追踪数据包而找到攻击的发起者。诸如单播逆向路径转发(UnicastReversePathForwarding,uRPF)这样的特性可以用来辅助防欺骗策略。CiscoCatalyst交换机可以使用集成的特性来保护二层的基础设施。

　　下面是集成到CiscoCatalyst交换机中的二层安全工具。

　　端口安全:防止MAC地址欺骗和MAC地址泛洪攻击。

　　DHCP欺骗:防止DHCP服务器和交换机上的客户端攻击。动态ARP检测(DynamicARPInspection,DAI)通过使用DHCP欺骗表格,以将ARP中毒攻击和欺骗攻击的影响降低最低的方式,保护了ARP的安全。

　　IP源保护:通过使用DHCP欺骗表格的方式来预防P地址欺骗本书主要关注的是用来保护管理平面和数据平面的各种技术和协议。

　　小编结语：主要的ACI的几个危险就是减少DoS攻击的机会，以保护管理平面和控制平面，ACL.用来防欺编机制和二层安全特性来实施等等。所以这些安全我们需要端口安全，DHCP欺骗，IP源保护。