可能存在安全威胁的端口及操作建议
可能存在安全威胁的端口及操作建议
1、21端口:
端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器,建议关闭21端口。
2、23端口端口说明:23端口主要用于Telnet(远程登录)服务。操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。
3、25端口端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件
端口漏洞: 1. 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。 2. 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。
4、53端口端口说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析。端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。
5、67与68端口端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址,而不需要每个用户去设置静态IP地址。端口漏洞:如果开放Bootp 服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。操作建议:建议关闭该端口。
6、69端口端口说明:69端口是为TFTP(Trival File Tranfer Protocol,
次要文件传输协议)服务开放的。端口漏洞:很多服务器和Bootp服务一起提供TFTP 服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。操作建议:建议关闭该端口。
8、79端口端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机https://www.360docs.net/doc/f29753422.html,上的user01用户的信息,可以在命令行中键入“finger user01@https://www.360docs.net/doc/f29753422.html,”即可。端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。操作建议:建议关闭该端口。
9、80端口端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的。端口漏洞:有些木马程序可以利用80端口来攻击计算机的,比如Executor、RingZero等。操作建议:为了能正常上网冲浪,我们必须开启80端口。
10、99端口端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。操作建议:建议关闭该端口。
11、109与110端口端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。
端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server 合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。操作建议:如果是执行邮件服务器,可以打开该端口。
12、111端口端口说明:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC 在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞,通过该漏洞允许攻击者远程或本地获取root权限。
113端口端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专门的IAS 组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。操作建议:建议关闭该端口。
13、119端口端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。
14、135端口端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。
15、137端口端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS 名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS 服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。操作建议:建议关闭该端口。
16、139端口端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议
(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
17、143端口端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。操作建议:如果不是使用IMAP 服务器操作,应该将该端口关闭。
18、161端口端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。在Windows 2000/XP 中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。操作建议:建议关闭该端口。
19、443端口端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。
20、554端口端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器发布的,包
括有.rm、.ram。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。
21、1024端口端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。
22、1080端口端口说明:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于HTTP代理服务,它是以通道方式穿越防火墙,可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中,比如限制了QQ,那么就可以打开QQ参数设置窗口,选择“网络设置”,在其中设置Socks代理服务。另外,还可以通过安装Socks代理软件来使用QQ,比如Socks2HTTP、SocksCap32等。端口漏洞:著名的代理服务器软件WinGate 默认的端口就是1080,通过该端口来实现局域网内计算机的共享上网。不过,如Worm.Bugbear.B(怪物II)、Worm.Novarg.B(SCO炸弹变种B)等蠕虫病毒也会在本地系统监听1080端口,给计算机的安全带来不利。操作建议:除了经常使用WinGate来共享上网外,那么其他的建议关闭该端口。
23、1755端口端口说明:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS),该协议是由微软发布的流媒体协议,通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等,可以使用Windows Media Player等媒体播放软件来实时播放。其中,具体来讲,1755端口又可以分为TCP和UDP的MMS协议,分别是MMST和MMSU,一般采用TCP 的MMS协议,即MMST。目前,流媒体和普通下载软件大部分都支持MMS协议。端口漏洞:目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看,并没有什么特别明显的漏洞,主要一个就是MMS协议与防火墙和NAT(网络地址转换)之间存在的兼容性问题。操作建议:为了能实时播放、下载到MMS协议的流媒体文件,建议开启该端口。
24、4000端口端口说明:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。通过4000端口,QQ客户端程序可以向QQ服务器发送信息,实现身份验证、消息转发等,QQ用户之间发送的消息默
认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议,而是属于UDP协议。端口漏洞:因为4000端口属于UDP端口,虽然可以直接传送消息,但是也存在着各种漏洞,比如Worm_Witty.A(维迪)蠕虫病毒就是利用4000端口向随机IP发送病毒,并且伪装成ICQ数据包,造成的后果就是向硬盘中写入随机数据。另外,Trojan.SkyDance特洛伊木马病毒也是利用该端口的。操作建议:为了用QQ聊天,4000大门敞开也无妨。
25、5554端口端口说明:在今年4月30日就报道出现了一种针对微软lsass 服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。端口漏洞:在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒,并尝试连接TCP 445端口并发送攻击,中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象,甚至会被黑客利用夺取系统的控制权限。操作建议:为了防止感染“震荡波”病毒,建议关闭5554端口。
26、5632端口端口说明:5632端口是被大家所熟悉的远程控制软件pcAnywhere 所开启的端口,分TCP和UDP两种,通过该端口可以实现在本地计算机上控制远程计算机,查看远程计算机屏幕,进行文件传输,实现文件同步传输。在安装了pcAnwhere被控端计算机启动后,pcAnywhere主控端程序会自动扫描该端口。端口漏洞:通过5632端口主控端计算机可以控制远程计算机,进行各种操作,可能会被不法分子所利用盗取账号,盗取重要数据,进行各种破坏。操作建议:为了避免通过5632端口进行扫描并远程控制计算机,建议关闭该端口。
27、8080端口端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号,比如https://www.360docs.net/doc/f29753422.html,:8080。端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
思科自防御网络安全方案典型配置
思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。
2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP 电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN:总部ISR3845 路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换 机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不 同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 (P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与 MARS以及IPS进行横向联动,自动拦截攻击。 o安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分 区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
最新整理校园安全隐患排查整改清单.docx
最新整理校园安全隐患排查、整改清单自查单位:(公章)填报人:填报时间:年月日 隐患类别排查内容(在□中打√或*) 自查隐患详情说明自查责任人核查隐患详情补充说明 安全教育管理 1 学校安全工作领导小组及职责分工是否落实书面文件□;安全管理机构设置是否符合要求□;“护校安园”队伍是否建立□;校园保安数量是否达标□;保安是否持证、规范着装上岗□; 2 学校幼儿园是否与所有教职工分岗位签订《学校岗位安全目标责任书》□;学校与学生及家长是否签订涉及日常安全教育管理、消防安全、交通安全、食品卫生安全、防溺水安全、防自然灾害、防意外伤害等方面履行教育管理责任和义务的协议□;学校法人是否与校园内职工用房责任人或校园外教育用房责任人签订安全管理责任书□; 3 是否建立与学校实情相符的安全管理网络图□; 4 是否落实生命安全教育及心理健康教育课程,是否组织学生开展安全教育培训考试□; 5 是否聘请公安、消防、食药、卫生防疫、交通等部门专业人员开展专题培训□; 6 危险化学药品的管理是否按照规范要求实行分类存放、专人保管、登记使用□; 7 安全教育活动过程是否落实□,学校领导每月是否落实安全工作专项部署会议学校分管负责人是否落实安全隐患周排查制度(工作台账)□; 8 大型集体活动如春游、运动会、参观学习、实习、文艺演出、外出参赛
等是否有安全应急预案并建立分级审批制度□; 9 学校是否修订完善与学校实情相符的涉及学生上下学交通安全、防火灾、防冰冻、防溺水、防震、防空袭、防重大传染流行病、防食物中毒、防拥挤踩踏、防暴恐袭击、防意外事故等各类应急预案□; 10 学校领导是否落实领导干部安全工作一日体验制度□; 11 学校对学生管理工作是否建立双线管理机制,是否建立学生假期或非上课时间安全防范机制,加强家庭间、学生间的隐形矛盾排查□; 12 日常巡查工作是否实现无缝对接,巡查记录是否落实□; 13 防溺水专项教育活动(“六个一”要求:一次主题教育、一条宣传横幅、一次主题班会、一期板报、发放《致全国中小学生家长一封信》、有条件的家庭家长带队开展一次游泳活动)是否落实□;“六不”措施是否落实(即不私自下水游泳;不擅自与他人结伴游泳;不在无家长或老师带领的情况下游泳;不到无安全设施、无救援人员的水域游泳;不到不熟悉的水域游泳;不熟悉水性的学生不擅自下水施救)□; 14 学校安全专题教育(防诈骗、防欺凌、防火灾、防性侵、禁毒、法制等)是否落实□;安全标识是否建立完善□; 15 学校对安全隐患的管理是否实行销案书面报告制度及消案复核验收制度□; 学生异常情况 16 学校是否将《学生异常情况管理办法》告知新进学生及家长,并与家长(或监护人)签订责任书□; 17 学生异常情况排查工作是否按月进行□,台账是否建立□; 18 对特异体质或心理健康问题学生是否落实跟踪管理措施□; 19 对排查出来的其他学生异常情况是否建立跟踪管理措施□;
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
FAUNC 伺服控制器端口说明
交流α系列SVM伺服单元 序号故障征兆原因分析解决方法 1 风扇报警(LED显示1 ALM)风扇过热,或风扇太脏、或坏。 1.观察风扇是否有风(在伺服单元的上方),如果没风或不转,拆下观察扇叶是否有较多油污,用汽油或酒精清洗后再装上,如果还不行,更换风扇。 2.更换小接口板。 3.拆下控制板,用万用表测量由风扇插座处到CN1(连接小接口板)的线路是否有断线。 2 DC LINK 低电压(LED 显示2 ALM)伺服单元检测到直流300V电压太低,是整流电压或外部交流输入电压太低,或报警检测回路故障。 1.测量三相交流电压是否正常(因为直流侧由于有报警,MCC已断开,只能从MCC前测量)。 2.测量MCC触点是否接触不良。
3.主控制板上的检测电阻是否烧断。 4.更换伺服单元。 3 电源单元低电压(LED 显示5 ALM)伺服单元检测到电源单元电压太低,是控制电源电压太低或检测回路故障。 1.测量电源单元的三相交流电压是否正常(因为直流侧由于有报警,MCC已断开,只能从MCC前测量)。 2.测量MCC触点是否接触不良。 3.主控制板上的检测电阻是否烧断。 4.更换电源单元或伺服单元。 4 异常电流报警(LED 显示8,9,A,B,C,D,E)伺服单元检测到有异常电流,可能是主回路有短路,或驱动控制回路异常,或检测回路故障。 8-L轴,9-M轴A-N轴,B-LM两轴,C-LN两轴,D-MN两轴,E -LMN三轴。 1.检查IPM模块是否烧坏,此类报警多数都是由于模块短路引起,用万用表二极管档测对应的轴U、V、W对+、-的导通压降,如果为0则模块烧坏,可先拆开外壳,然后将固定模块的螺钉拆下,更换模块。 2.如果是一上电就有报警号,与其他单元互换接口板,如果故障转移,则接口板坏。 3.与其他单元互换控制板,如果故障转移,则更换控制板或将控制板送FANUC修。 4.拆下电机动力线再试(如果是重力轴,要首先在机床侧做好保护措施,防止该轴下滑),如果报警消失,则可能是电机或动力线故障。 5.将单元的指令线和电机的动力线与其他轴互换,如果电机反馈线是接到单元的(伺服B型接法)也要对换。如果报警号不变,则是单元外的故障,可用绝缘表查电机、动力线。用万用表查反馈线、指令线、轴控制板是否有断线。 6.检查系统的伺服参数设定是否有误。 7.如果与时间有关,当停机一段时间再开,报警消失,则可能是IPM太热,检查是否负载太大。 8.当出现该报警时,以上方法都不能查出,且没有与该单元或轴相同的轴(比如:车床的X,Z轴不一样大),不能完全互换,这时,先将电机动力线不接,如果还没有结果,可接上动力线将系统的两轴伺服参数对调后再判断。 5 IPM报警(8。,9。,A。B。,C。,D。E。,)注意8或9等的右下角有一小点,8-L轴,9-M轴A-N 轴,B-LM两轴,C-LN两轴,D-MN两轴,E-LMN三轴,表示为IPM模块(智能模块,可自行判别是否有异常电流)送到伺服单元的报警。 1.如果一直出现,更换IPM模块或小接口板,此故障情况一般用万用表不能测出。 2.如果与时间有关,当停机一段时间再开,报警消失,则可能是IPM太热,检查是否负载太大。3.将单元的指令线和电机的动力线与其他轴互换,如果电机反馈线是接到单元的(伺服B型接法)也要对换,如果报警号不变,则是单元外的故障,可用绝缘表查电机、动力线。用万用表查反馈线、指令线是否断线。轴控制板交换检查。 4.当出现该报警时,以上方法都不能查出,且没有与该单元或轴相同的轴(比如:车床的X,Z轴不一样大),不能完全互换,这时,先将电机动力线不接,如果还没有结果,可接上动力线将系统的两轴伺服参数对调后再判断。
交换机端口安全功能配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
端口大全和用途
端口大全中文版 1tcpmux TCP Port Service Multiplexer传输控制协议端口服务多路开关选择器2compressnet Management Utility compressnet 管理实用程序 3compressnet Compression Process压缩进程 5rje Remote Job Entry远程作业登录 7echo Echo回显 9discard Discard丢弃 11systat Active Users在线用户 13daytime Daytime时间 17qotd Quote of the Day每日引用 18msp Message Send Protocol消息发送协议 19chargen Character Generator字符发生器 20ftp-data File Transfer [Default Data]文件传输协议(默认数据口) 21ftp File Transfer [Control]文件传输协议(控制) 22ssh SSH Remote Login Protocol SSH远程登录协议 23telnet Telnet终端仿真协议 24?any private mail system预留给个人用邮件系统 25smtp Simple Mail Transfer简单邮件发送协议 27nsw-fe NSW User System FE NSW 用户系统现场工程师 29msg-icp MSG ICP MSG ICP 31msg-auth MSG Authentication MSG验证 33dsp Display Support Protocol显示支持协议 35?any private printer server预留给个人打印机服务 37time Time时间 38rap Route Access Protocol路由访问协议 39rlp Resource Location Protocol资源定位协议 41graphics Graphics图形 42nameserver WINS Host Name Server WINS 主机名服务 43nicname Who Is"绰号" who is服务 44mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议 45mpm Message Processing Module [recv]消息处理模块 46mpm-snd MPM [default send]消息处理模块(默认发送口) 47ni-ftp NI FTP NI FTP 48auditd Digital Audit Daemon数码音频后台服务 49tacacs Login Host Protocol (TACACS)TACACS登录主机协议 50re-mail-ck Remote Mail Checking Protocol远程邮件检查协议 51la-maint IMP Logical Address Maintenance IMP(接口信息处理机)逻辑地址维护52xns-time XNS Time Protocol施乐网络服务系统时间协议 53domain Domain Name Server域名服务器 54xns-ch XNS Clearinghouse施乐网络服务系统票据交换 55isi-gl ISI Graphics Language ISI图形语言 56xns-auth XNS Authentication施乐网络服务系统验证 57?any private terminal access预留个人用终端访问 58xns-mail XNS Mail施乐网络服务系统邮件
端口聚合及端口安全配置
配置端口聚合提供冗余备份链路 1 实验原理 端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 2 实验步骤 (1)交换机A的基本配置 switchA#conf t switchA(config)#vlan 10 switchA(config-vlan)#name sales switchA(config-vlan)#exit switchA(config)#int fa0/5 switchA(config-if)#switchport access vlan 10 switchA(config)#exit switchA#sh vlan id 10 (2)在交换机switchA上配置端口聚合
switchA(config)#int aggregateport 1 switchA(config-if)#switchport mode trunk switchA(config-if)#exit switchA(config)#int range fa0/1-2 switchA(config-if-range)#port-group 1 switchA(config-if-range)#exit switchA#sh aggregatePort 1summary (3)在交换机B上基本配置(同(1)) (4)在交换机switchB上配置端口聚合(同(2))(5)验证测试 验证当交换机之间一条链路断开时,PC1和PC2任能互相通信。 C:\>Ping 192.168.10.30 –t
USB端口控制
屏蔽USB端口,往往出于一个方面的考虑:安全。这个安全包括病毒安全和数据安全。现在的USB闪存病毒可是猖獗的很,同时,你电脑上面的东西,不希望有人用U盘轻松拷贝走的话,你就得封锁USB端口了。对很多企业来说,这个的需求倒是不小。当然,无论是防君子还是小人,对于电脑高手,是防不住的。 下面,看看如何把Windows Vista系统的USB端口给封锁掉。 本文提供了两种方法,每种方法都可以参考,看自己的使用习惯了。 一、手工修改注册表 更改注册表项,包含3个途径也,禁用USB设备启动、禁用向USB设备写入数据、隐藏和禁止查看盘符,下面挨个说明。 1、打开注册表编辑器:Win键+R键打开运行窗口运行regedit,或者在Windows Vista开始菜单的搜索栏中输入regedit,开启注册表编辑器。如果弹出UAC提示窗口,则点击确认。 2、在注册表管理器中,定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentCntrolSet/Services /USBSTOR,在右边窗口里面双击Start这个注册表项,将键值由3改为4,点击确定即可(如果要恢复,将Start注册值由4改为3,即可就能用 USB设备了)。这样,重启后就可以禁用USB设备启动了,在资源管理器中是看不到USB设备的盘符,自然也就更无法使用了。提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。如图1所示: 修改注册表禁用向USB设备写入数据,也可以封锁USB口,实施方法是:打开注册表编辑器,定位于 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePoli cies,在右侧窗口中创建一个DWORD的表项,名为WriteProtect,值为1;如果没有该注册表分支,可先创建分支(将该值改回0即可能够写入USB数据,否则
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
安全隐患排查清单
安全隐患排查清单企业名称:联系电话: 序号排查 项目 排查内容 排查结果 (√/×) 1 责任制 1.企业按规定层层签订安全生产责任书,有安全奖惩。 2.建立了安全组织机构,配备了安全管理人员。 2 安全机 构设置1.生产组织机构健全,并正常开展工作。 2.按规定配有专(兼职)安全主任。 3 安全 教育1.对新职工进行了三级安全教育。 2.特种作业人员持证上岗。 3.对从业人员进行了安全教育。 4.对变换工种,复工等进行了安全教育。 4 安全 管理1.建立了生产安全检查制度。 2.建立了伤亡事故管理制度。 3.有职业安全健康教育制度。 4.有特种作业人员安全管理制度。 5.有防火危险作业安全管理制度。 6.有临时电气线,动火审批制度,危险源管理,应急预案等。 7.有厂内交通,易燃易爆场所管理制度。 8.有安全防护等项管理制度。 9.实行了安全生产费用的合理使用。 10.为从业人员缴纳保险费等。
11.新建、改建、扩建项目依法履行“三同时”制度。 5 事故 处理制订有事故管理制度。对已发生的事故按照“四不放过”的原则处理,对防范措施进行落实整改。 6 设备 设施1. 危险化学品要分类分区,电气设备防爆、消防通道符合要求。 2. 有应急预案,设施完好齐全,标志是否醒目。 3. 应急救援物资、设备配备完善。 7 工厂 建筑1.符合耐火等级要求,无危险建筑。 2.有疏散通道和指示标识。 8 劳动 保护1.按规定为员工配备劳动防护用品。 2.超过2米以上的登高作业,制订了作业规程和防范措施。 3.职业卫生符合国家规定的标准。 9 机 械 设 备 1.建立机械设备及其各种保护装置使用管理制度,现场设备前张贴安全操作规程。 2.定期进行机械设备及其保护装置安全检查和维修保养(查检查和维修保养记录)。 3.对机械设备及其各种保护装置进行班前检查。 4.操作者经培训合格(现场抽查和检查培训考核记录相结合)。 5.机械设备其运动(转动)部件、传动(传输)装置安装有防护装置,或采取了其他有 效的防护措施。 10 作业 场所1.电气设备接地良好。 2.制定有操作规程。 11 防雷接 地装置1.防雷技术措施符合要求,保护范围有效。 2.防雷装置完好,接闪器无损坏,引下线焊接可靠,检测资料齐全。
计算机usb端口控制方法
集团最近的需求: 所有电脑的USB接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备, 可以使用部分加密优盘以及部分不加密优盘、并且禁止手机等能够复制数据的设备接入。 1、要管制USB存储设备,一般用户不能写不能读;部分用户能读不能写入USB 存储设备;还有一部分大人们(公司高管)平时不读不写,在需要用的时候要能读能写! 2、无论使用什么方式进行管制,不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。 3、部分优盘加密,只能内部使用 4、有一部分优盘可以在内部读写使用。 5、禁用手机等能够复制数据的设备接入。 接下来,就得找实施方案了! 1、方案一:BIOS里全部关闭USB端口 2、方案二:Client端安装USB管理软件,用软件进行管制,安装一台服务器,监控所有电脑的USB动态 3、方案三:从操作系统注册表下手,批处理执行管理 先说说这三个方案:恕本人愚昧,或许还有很多又好又快捷的方法,但偶当时确实只想到这些, 方案一:最操蛋的方法,端口全关了,什么USB设备都用不了了,就别提这机那机了,PASS掉, 方案二:所有电脑安装Client,工作量大,时间根本不够,再说了,我很介意在用户端安装软件,多一个进程多占用一部分内存,到时候电脑速度慢了又会有人大呼小叫了。由于有3、4、5需求的存在,只能使用client方式,如何选择呢,目前根据要求,可以选择USB安全存储专家USSE软件等,但是建议选择老牌的以及占用资源小的软件。 第三个,其实这也是俺最喜欢用的手段:批处理!不过这个有一点局限,仅仅能够只读与阻止,不能识别具体的优盘哦。 1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将”Start”的值改为4(禁止自动启动),默认为3是自动分配盘符 2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。 我用两条批处理指令实现: copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul del %Windir%\inf\usbstor.pnf /q/f >nul
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
建筑工地400余项安全隐患排查清单41页
建筑工地400 余项安全隐患排查清单类型序号危险源名录 1 无安全生产责任制 2 未进行安全教育 3 未进行班前安全活动 4 无安全技术措施施工方案 5 安全技术措施方案未经审批、审核就采用 安全6 设备设施未经验收7 管理 无分部分项安全技术交底 活动 8 未按要求做安全检查 9 允许无证人员操作 10 违反安全技术措施方案 11 未使用或不正确使用个人防护用品 12 施工管理人员无证上岗或过期未培训 13 特种作业人员无证作业 14 使用未成年人、童工 文明 15 现场围挡材料不坚固、不稳定或没有沿工地四周连续设置施工 16 无门卫和无门卫制度 17 施工现场道路不通畅
活动18 施工作业区与生活区不能明显划分 19 未建立治安保卫制度、责任未分解到人 20 厕所不符合卫生要求 21 无保健急救资源和措施 22 无防尘、防噪音措施 23 冬季严寒天气施工无防护措施 24 未及时清扫积雪、冰霜 25 高温作业无防暑降温措施 文明26 建筑材料码放不整、超高且未按规定码放或堆放 施工 27 消防重点部位(木工、油料场所、配电室或仓库等)未配备消防 活动 28 施工现场内住人或地下室住人 29 未对施工现场的安全防护方案(防范措施)进行全面技术交底 施工准备活动30 临建结构设计不合理,材质不合格 31 未按照用电方案布线、布设备 32 专项安全措施未审批 33 使用有害建筑材料,如石棉瓦等 34 临时设施施工防护不到位 物资采35 装卸工野蛮装卸 36 装卸水泥、粉煤灰、速凝剂等粉状材料无防护措施 37 围档、堆料架等的支护不当 38 存放水泥等袋装材料或片料等散装材料靠墙码放
灵活组合ACL控制端口接入的配置
灵活组合ACL控制端口接入的配置 一组网要求: S3526E交换机1~23端口只允许源地址为147.8.x.x/16 或202.189.96.x/20的报文通过,其他的discard,上行端口24口没有限制。 二配置命令参考: 1.进入3001号的高级访问控制列表视图 [Quidway] acl number 3001 2.定义访问规则 [Quidway-acl-adv-3001]rule 0 deny ip [Quidway-acl-adv-3001]rule 1 permit ip source 147.8.0.0 0.0.255.255 [Quidway-acl-adv-3001]rule 2 permit ip source 202.189.96.0 0.0.15.255 3.退出到系统视图 [Quidway-acl-adv-3001]quit 4.进入4001号的二层访问控制列表视图 [Quidway] acl number 4001 [Quidway-acl-link-4001]rule 0 permit ingress interface Ethernet0/24 egress any [Quidway-acl-link-4001]rule 1 permit ingress any egress interface Ethernet0/24 5.退出到系统视图 [Quidway-acl-link-4001]quit 6.在全局模式下应用规则 [Quidway] packet-filter ip-group 3001 rule 0 [Quidway] packet-filter ip-group 3001 rule 1 [Quidway] packet-filter ip-group 3001 rule 2 [Quidway] packet-filter link-group 4001 rule 0 [Quidway] packet-filter link-group 4001 rule 1 三补充说明:
实验4 交换机端口安全配置 (1)
实验4 交换机端口安全配置 【实验目的】 1.掌握交换机的端口安全功能; 2.控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求你对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4,该主机连接在1台RG2126上边。 【实验器材】 交换机,PC,网线。 【实验分组】 每组8人 【实验原理】 针对交换机的所有端口,配置最大连接数为1; 针对FastEthernet0/2端口进行IP地址绑定; 针对FastEthernet0/3端口进行IP+MAC地址绑定。 【实验拓扑】
【实验步骤】 步骤1配置交换机的最大连接数限制。 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能 Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 步骤2 验证交换机端口的最大连接数限制。 Switch#Show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown