网络安全培训课程

单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,LOGO,重庆网安计算机技术服务中心,网络安全培训课程,目录,认识信息安全等级保护,1,了解网络基础及安全防护,2,学习网络故障排查-实例,3,2,信息,安全等级保护简介,信息安全等级的划分与适用范围,我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级：,第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。,第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、资源隔离等安全机帛，使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。,第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。,第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。,第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性，也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。,3,信息,安全等级保护,4,信息,安全,系统定级,系统定级,需要特别说明的是,定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。,信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。,5,系统定级一般流程,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。,业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。,由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,6,系统定级一般流程,3、综合评定对客体的侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,7、系统服务安全保护等级,4、业务信息安全保护等级,8、定级对象的安全保护等级,1、确定定级对象,7,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 ；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结 。,信息安全等级保护工作的重要意义,开展信息安全等级保护工作：有利于同步建设 ；有利于指导和服务；有利于保障重点；有利于明确责任 ；有利于产业发展。,8,网络基础及安全防护,网络基础与OSI模型,1,TCP-IP编址,2,3,交换原理和VLAN,9,网络基础与OSI模型,计算机网络定义：通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合，通过运行特定的操作系统和通信协议来实现数据通信和资源共享。,计算机网络组成：通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。,计算机网络类型：局域网、广域网。,10,计算机网络组成,11,计算机网络类型,运行在有限的地理区域；允许网络设备同时访问高带宽的介质；,通过局部管理控制网络的权限；提供全时的局部服务；,连接物理上相邻的设备。,通常指几公里以内的，可以通过某种介质互联的计算机、打印机或其它,设备的集合。目前,大多数网络都使用某些形式的以太网。,距离短、延迟小、,数据速率高、传输可靠,特点,设计目标,局域网,12,计算机网络类型,运行在广阔的地理区域；通过低速串行链路进行访问；,网络控制服从公共服务的规则；提供全时的或部分时间的连接；,连接物理上分离的、遥远的、甚至全球的设备,在大范围区域内提供数据通信服务，主要用于互连局域网。,公用电话网：PSTN,综合业务数字网：ISDN,数字数据网：专线,帧中继：Frame Relay,异步传输模式：ATM,分类,设计目标,广域网,13,OSI七层参考模型,OSI模型：1984年由国际标准化组织ISO国际标准化组织提出。,目的：提供一个大家共同遵守的标准，解决不同网络之间的兼容性和互操作性问题。,分层标准：依据功能来划分。,OSI七层参考模型的优点：,促进标准化工作,允许各个供应商进行开发.,各层间相互独立,把网络操作分成低复杂性单元.,灵活性好,某一层变化不会影响到别层.,各层间通过一个接口在相邻层上下通信.,14,OSI分层结构,数据流层,传输层,数据链路层,网络层,物理层,应用层,(,高,),会话层,表示层,应用层,负责主机之间的数据传输,负责网络数据传输,15,OSI分层结构,特点,物理层,定义,设备,规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输，网络接口卡和网络连接等.,没有智能性，只能对bit 流进行简单的处理。如传输，放大，复制等。,网线：bit 流的传输.,中继器：信号的放大.,集线器：信号的放大和复制.,16,OSI分层结构,特点,数据链路层,定义,设备,在相邻节点之间建立链路，传送数据帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。,定义物理地址，标识节点。,将bit流组合成数据帧。,交换机：能识别数据帧中的MAC地址信息，在同一网 段转发数据。有智能，进行定向转发。,17,OSI分层结构,特点,网络层,定义,IP/MAC,是一座桥梁，将不同规范的网络互连起来。在不同网段路由数据包。,定义IP地址，由32bit的二进制数组成，点分十进制表示。,路由转发，通过路由表实现三层寻址.,MAC地址（二层） 物理地址 平面结构 身份,IP地址 （三层） 逻辑地址 层次结构 位置,18,OSI分层结构,传输层,定义,特点,实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。,分段，使数据的大小适合在网络上传递。,区分服务，端口号标识上层的通信进程。,19,OSI分层结构,定义,会话层,在两个应用程序之间建立会话，管理会话，终止会话。一旦建立连接，会话层的任务就是管理会话。,主要由操作系统来完成，把不同的应用程序设置内存区间，分配相应的内存，CPU资源，保持不同的应用程序的数据独立性。,定义,表示层,将数据转换成接收设备可以了解的格式.,翻译数据格式，加密，压缩.,20,OSI分层结构,应用层,定义,为具体的应用程序提供服务，实现各种网络应用（WWW FTP QQ SMTP POP3）。,我们说某个应用程序的界面是否友好，就是应用层完成的。应用层为用户和计算机会话提供一个界面。,计算机有他的语言，人有人的语言，人要和计算机交流，必须有一个窗口来把信息传递出来。,21,数据的封装与解封装,数据封装,解封装,数据要通过网络进行传输，要从高层逐层的向下传送，如果一个主机要传送数据到别的主机，先把数据装到一个特殊协议报头中，这个过程叫封装。,上述的逆向过程。,22,封装过程,上层数据,LLC,头,+ IP + TCP +,上层数据,IP + TCP +,上层数据,TCP+,上层数据,上层数据,0101110101001000010,传输层,数据链路层,物理层,网络层,表示层,应用层,会话层,FCS,FCS,TCP,头,LLC,头,IP,头,MAC,头,23,解封装过程,上层数据,LLC,头,+ IP + TCP +,上层数据,IP + TCP +,上层数据,TCP+,上层数据,上层数据,0101110101001000010,传输层,数据链路层,物理层,网络层,表示层,应用层,会话层,TCP,头,IP,头,LLC,头,MAC,头,24,数据传输过程,通 信 介 质,应用层,表示层,会话层,传输层,网络层,数据连路层,物理层,应用层,表示层,会话层,传输层,网络层,数据连路层,物理层,网络层,数据连路层,物理层,通 信 介 质,协议,端系统,A,端系统,B,25,冲突域和广播域,冲突域：一个支持共享介质的网段。,广播域：广播帧传输的网络范围，一般是路由器来设定边界,（因为router不转发广播）。,冲突：在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将会碰撞，,在物理介质上相遇，彼此数据都会被破坏。,26,OSI模型的缺陷及意义,提供了网络间互连的参考模型。,成为实际网络建模、设计的重要参考工具和理论依据。,为我们提供了进行网络设计与分析的方法。,许多功能在多个层次重复，有冗余感（如流2.3.4层都有，差错控制等，数据链路层有流控）。,各层功能分配不均匀（链路、网络层任务重，会话层任务轻）。,功能和服务定义复杂，很难产品化。,OSI模型的缺陷,OSI模型的意义,27,TCP/IP与OSI,TCP/IP与OSI的比较:,TCP/IP 分四层，OSI分的是七层。,TCP/IP网络实践上的标准，OSI网络理论的标准。,TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。,TCO/IP的每一层都可以映射到OSI模型中去。,28,TCP/IP与OSI,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,网络接口层,29,TCP/IP应用层,应用层,传输层,网络层,文件传输,- TFTP *,- FTP *,E-Mail,- SMTP,远程登陆,- Telnet *,- SSH*,网络管理,- SNMP *,名称管理,- DNS*,网络接口层,30,TCP/IP传输层,传输控制协议,(TCP),面向连接,用户数据报协议,(UDP),非面向连接,应用层,传输层,网络层,网络接口层,31,端口号,TCP,端口号,FTP,TELNET,DNS,SNMP,TFTP,SMTP,UDP,应用层,21,23,25,53,69,161,RIP,520,传输层,32,端口号作用,源端口,目标端口,Host A,1028,23,SP,DP,Host Z,Telnet Z,目标端口,= 23.,端口号标识上层通信进程。,小于,1024,为周知端口、,1024-5000,为临时端口、大于,5000,为其他服务预留。,33,TCP 确认机制,发送方,发送,1,接收,1,发送,ACK 2,发送,2,接收,2,发送,ACK 3,发送,3,接收,3,接收,ACK 4,滑动窗口,= 1,接收方,34,TCP 三次握手,发送,SYN,(seq=100 ctl=SYN),接收,SYN,发送,SYN, ACK,(seq=300 ack=101 ctl=syn,ack),建立会话,(seq=101 ack=301 ctl=ack),Host A,Host B,1,2,3,接收,SYN,TCP,连接建立,35,IP地址组成,组成,IP地址,定义,子网掩码,IP地址为32Bit二进制数组成，用点分十进制表示。,（例如：192.168.1.1/24）,IP地址=网络位+主机位,用来标识一个IP地址哪些是网络位, 哪些是主机位。,用1 标识网络为，用0标识主机位。,36,IP地址分类,A类 （1-126）,前8位表示网络位，后24位表示主机位。,B类 （128-191）,前16位表示网络位，后16位表示主机位。,C类 （192-223）,前24位表示网络位，后8位表示主机位。,D类 （224-239）,用于组播地址。,5类IP,E类 （240-255）,科研使用。,37,特殊IP地址,本地回环(loopback)测试地址,广播地址,代表任何网络,主机位全为1:,代表该网段的所有主机。,38,私有IP地址,256,16,C类256个：,B类16个：,39,子网划分的核心思想,“,借用,”,主机位来,“,制造,”,新的,“,网络,”,16,网络,主机,255.255.,255,.0,172,2,0,10101100,11111111,10101100,00010000,11111111,00010000,11111111,00000010,10100000,00000000,00000000,00000010,子网（借位）,网络号,128,192,224,240,248,252,254,255,40,划分子网方法,所选择的子网掩码将会产生多少个子网?:,2的x 次方(x代表借掩码位数),。,每个子网能有多少主机,?:,2的y 次方-2(y代表当前主机位数),。,每个子网的广播地址是,?:,广播地址=下个子网号-1,每个子网的有效主机分别是?:,忽略全为0和全为1的地址，剩下的就是有效主机地址。,41,子网划分优点,子网划分可以解决IP地址紧缺的问题。,子网划分可以解决广播问题，分割广播域。,例如：一个C类网络，有254台主机可以用。当我们分给一个公司，但是该公司没有这么多主机，地址就有很大的浪费。通过子网划分可以节省IP地址。,42,交换机概述,交换机定义,交换机工作原理,是全双工，可发可收。能识别数据帧中的MAC信息，根据地址信息把数据交换到特定的接口。,交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定。,交换机MAC表,是目的MAC和交换机接口的映射，交换机根据MAC表把数据发送到相应的接口。,43,交换机的三个功能,地址学习,帧的转发/过滤,环路防止,44,交换机地址学习,最初开机时MAC地址表是空的,Mac地址表条目默认老化时间是300秒，以下命令可改变老化时间:,sw(config)#mac-address-table aging-time ?, Aging time value,MAC,地址表,E0,E1,E2,E3,A,B,C,D,45,交换机地址学习,主机A发送数据帧给主机C,交换机通过学习数据帧的源MAC地址，记录下主机A的MAC地址对应端口E0,该数据帧转发到除端口E0以外的其它所有端口(不清楚目标主机的单点传送用泛洪方式),E0,E1,E2,E3,D,C,B,A,MAC,地址表,46,帧的转发,主机C发送数据给B：交换机发现目的B的MAC对应E1接口，就把数据从这里发送出去。,主机D发送广播帧或多点帧：广播帧或多点帧泛洪到除源端口外的所有端口。,E0,E1,E2,E3,D,C,A,B,MAC,地址表,47,防止环路,运行STP协议防止环路。,某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。,阻塞,x,48,交换机配置,配置命名：Switch(config)# hostname Sw1,配置管理IP：,Sw1(config)# int vlan 1,Sw1(config-if)# no shut,配置网关 ：,查看MAC表。,Sw1#sh mac-add,设置双工和速率。,Sw1(config)# int f0/1,Sw1(config-if)#speed 10 / 100 / auto,Sw1(config-if)#duplex half / full / auto,49,VLAN概述,第三层,第二层,第一层,销售部,人力资源部,工程部,一个,VLAN =,一个广播域,=,逻辑网段,(,子网,),50,VLAN的优点,及分类,静态VLAN：基于交换机接口。,动态VLAN：基于主机MAC地址，不常用, 需要在交换中建立一张VMPS表，来标明哪些MAC属于哪个VLAN. 效率低。,隔离二层广播，优化网性能。,VLAN可以跨越交换机，简化布线，方便管理。,每个VLAN是一个独立的子网，VLNA间的通信要通过三层设备实现，,可以通过访问控制列表对VLNA间的通信进行安全控制。,优点,分类,51,VLAN运行,每个逻辑的VLAN就象一个独立的物理桥,交换机上的每一个端口都可以分配给不同的VLAN,默认的情况下，所有的端口都属于VLAN1（Cisco）,交换机,A,绿色,VLAN,黑色,VLAN,红色,VLAN,52,VLAN运作,同一个VLAN可以跨越多个交换机,交换机,A,交换机,B,绿色,VLAN,黑色,VLAN,红色,VLAN,绿色,VLAN,黑色,VLAN,红色,VLAN,53,VLAN运作,主干功能支持多个VLAN的数据,主干使用了特殊的封装格式支持不同的VLAN,只有快速以太网端口可以配置为主干端口,干道连接,快速以太网,绿色,VLAN,黑色,VLAN,红色,VLAN,绿色,VLAN,黑色,VLAN,红色,VLAN,54,VLAN的配置,全局模式,Switch#,configure terminal,Switch(config)#,vlan 3,Switch(config-vlan)#,name Vlan3,Switch(config-vlan)#,exit,Switch(config)#,end,Switch#,vlan database,Switch(vlan)#,vlan 3,VLAN 3 added:,Name: VLAN0003,Switch(vlan)#,exit,APPLY completed.,Exiting.,数据库模式,55,VLAN的接入端口,接入交换机端口在一个单一的数据的VLAN,56,VLAN执行的命令,配置VLAN,-vlan 101,-switchport mode access,-switchport access vlan 101,验证VLAN,-show interfaces,-show vlan,57,配置VLAN的接入,Switch(config)# vlan,vlan_id,配置一个,VLAN.,Switch(config-vlan)# name,vlan_name,给,VLAN,命名,.,Switch(config-if)# switchport mode access,配置交换机的端口为接入模式,.,Switch(config-if)#,switchport access vlan,vlan_id,把接入端口划分到,vlan,中,.,58,查看VLAN,Switch#,show vlan,VLAN Name Status Ports,- - - -,1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,Fa0/5, Fa0/7, Fa0/9,11 asw11_data active,12 asw12_data active,95 VLAN0095 active Fa0/8,99 Trunk_Native active,100 Internal_Access active,111 voice-for-group-11 active,112 voice-for-group-12 active,1002 fddi-default act/unsup,1003 token-ring-default act/unsup,1004 fddinet-default act/unsup,1005 trnet-default act/unsup,VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 - - - - - - - - -,1 enet 100001 1500 - - - - - 0,enet 100011 1500 - - - - - 0,. . . . .,59,网络故障排查,ARP及ARP防护,arp,原理,1,arp,攻击方式,2,3,arp,防护,60,ARP协议原理,ARP,协议是“,Address Resolution Protocol”,（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的,MAC,地址；,在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的,MAC,地址。但这个目标,MAC,地址是如何获得的呢？它就是通过地址解析协议获得的。,ARP,协议的基本功能就是主机在发送报文前将目标主机的,IP,地址解析成目标主机的,MAC,地址，以保证通信的顺利进行。,61,ARP协议原理,以太网,目的地址,以太网,源地址,帧,类型,硬件,地址,协议,类型,硬件,地址,长度,协议,地址,长度,OP,发送端,以太网地址,目的,以太网地址,发送端,IP,地址,目的,IP,地址,6,6,2,2,2,2,1,1,6,6,4,4,以太网首部,28,字节,ARP,请求,/,应答,Arp request,和,reply,的数据帧长都是,42,字节（,28,字节的,arp,数据、,14,字节的以太帧头）,62,ARP协议原理,63,ARP协议原理,internet,internet,ARP Request,PC,gateway,ARP Replay,正常的,ARP,通讯过程只需,ARP Request,和,ARP Replay,两个过程，简单的说就是一问一答：,64,ARP协议原理,PC,网关回应给主机的,ARP Reply,报文,主机收到网关的,ARP Reply,报文后，同样会提取报文中的“,Senders hardware address”,和“,Senders protocol address”,生成自己的,ARP,表项；,65,ARP攻击方式,Arp flood,arp,泛洪，只要是瞬间发送大量的,arp,数据包给,switch,，填满,switch,的,mac table,，导致无法,switch,工作异常，,提示：这时,switch,就会象,hub,一样工作,66,ARP攻击方式,gratuitous arp,免费,arp,，,原理：,1.gratuitous arp,也是,arp request,的一种，所以是,broadcast,就是群发，就是搞的地球人都知道,2. gratuitous arp,的,arp,报文中，源,ip,和目的,ip,是,一样的，就是为了再次确认网络中身份。,ms,的,ip,地址冲突监测机制就是通过 免费,arp,实现的,67,ARP攻击方式,免费,arp,的精髓,前文说到构建,arp spoof,的简易方式。,这里我有一个疑问，如果攻击者不让其中的,1,个用户访问任何地址，是否需要发送整个网段的错误的,mac,地址给 受害主机？,答案是,NO,如果这样劳命伤财，不是好办法！,只要代表受害主机发送错误的,gratuitous arp,。,1,个,arp,报文足以！当然,arp table,有老化时间，不过谎话不停的说，说了多次，就变成“真”,di,了,这样网络中的其他主机都收到错误的,mac,地址的,arp,报文进行更新自身的,arp cache,。于是灾难就这样发生了！,68,ARP攻击方式,免费,arp,的工作原理,普通交换机,极品良民,恐怖份子,GratuitousArp,Send mac add=,错误的,mac,地址,Send ip add=,受害主机,ip,Target ip add,受害主机,ip,这是广播报文哦,为什么整个网段都,ping,不通？！,发送,源,ip,和目的,ip,均为,受害主机的,ip,地址,的免费,arp,报文,我好毒、,我好毒,原来 良民的地址是,我真实的,mac,是,69,ARP攻击方式,Arp proxy,arp,代理：,arp proxy,是,arp,的攻击之首， 这也是传说的“中间人”攻击！,原理,:,双向,arp spoof,70,ARP攻击方式,Proxy arp,的工作原理,普通交换机,极品良民,恐怖份子,Arp reply to GW,Send mac add,恐怖份子,mac,Send ip add=,极品良民,ip,Target mac add,GW mac,地址,Target ip add,GW ip,地址,我要和网关通讯，没钱了，我要查我的银行账户,S8610,Gateway,IC,、,IP,、,IQ,卡，,统统告诉我密码,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,Arp reply to,良民,Send mac add,恐怖份子,mac,Send ip add=,网关,ip,Target mac add, 良民,mac,地址,Target ip add,良民,ip,地址,71,ARP攻击方式,Proxy arp,的工作原理,普通交换机,极品良民,恐怖份子,我要和网关通讯，没钱了，我要查我的银行账户,S8610,Gateway,IC,、,IP,、,IQ,卡，,统统告诉我密码,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,原来网关的,mac,地址是,我真实的,mac,是,嘿嘿，俺的真实,mac,是,原来良民的,mac,地址是,72,ARP攻击方式,Proxy arp,的工作原理,普通交换机,极品良民,恐怖份子,S8610,Gateway,IC,、,IP,、,IQ,卡，,统统告诉我密码,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,我真实的,mac,是,嘿嘿，俺的真实,mac,是,Arp table,良民,ip,恐怖份子,mac,Arp table,网关,ip,恐怖份子,mac,后期良民和网关的通讯,路线图；,所有通讯报文都要经过恐怖份子,73,ARP防护,电脑绑定arp,arp -s 157.55.85.212 00-aa-00-62-c6-09,备注:arp a,arp d,echo off arp -d aarp s网关LAN IP网关LAN MAC,AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等,原理:拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响,NBR的免费arp,NBR的8.41b5后推出免费arp的功能！,当前最新正式发布版本是8.5b9!,目的是通过不断的gratuitous arp的broadcast宣告自己的正确mac。现在是每秒1个gratuitous arp报文。,Ip和mac的绑定,该功能只是该ip只响应绑定的mac，如果更换ip，就有可以正常上网，并不是该mac一定只能使用该ip才能上网，这个是一定要区分清楚的！除非绑定一个子网,ARP防护,DHCP Snooping,监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。,另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。,75,重庆网安计算机技术服务中心,（023-67031431）,谢谢观赏,谢谢观赏,76,