以太网交换机有哪些安全功能
2020-03-20 00:48 作者:艾锑无限 浏览量:
股神巴菲特: 写给年轻人的十条自己成功的法则
股神巴菲特的故事很多人都有所了解,7岁时就开始涉足投资,12岁时就把整个图书馆的书全部读完,一生最喜欢喝的饮料就是可口可乐,无论是接受采访,还是开全球股东大会,可口可乐饮料都是他的标配,拥有富可敌国的资产让他生命中的每个故事富有传奇色彩,以下是他获得成功的10条基本法则.
第一法则.找到自己的激情(find your passion);
大部分人为了生存而工作,只有极少部分的人为了自己的使命而工作,所以在工作中我们看到人们没有激情和斗志,那是因为这份工作对他来说只是谋生的手段. 生命短暂,我们永远不知道意外和明天哪个先到,尽最大可能找到自己最想做的事,那怕这件事短时间让你的生存困难,你都有必要坚持下来,因为激情才是你本有的源动力,只有启动你内在的发动机,你才是一个灵魂和肉体合一的人,你做的事才会有具有非凡的意义和价值.
第二法则.雇佣人的标准:正直,聪明,精力充沛(integrity, intelligence, energy);
如果想创建自己的团队,一定要雇佣正直,聪明,和精力充沛的人
首先要正直,一个优良的品质比聪明更重要,就像大树越大根就会越深,而优良的品质就是树根,不够牢固的大树也经不起狂风暴雨,其次就是这个人需要足够的聪明,因为聪明的人不仅仅会为你的事业带来效率,还会带来更低的成本和更大的收益,当然最后精力充沛也是极其重要,这就像一辆跑车,只是启动速度快,不能持续的快下去也没有什么用,所以即要可以快速启动,又要能持续加速,不断领先,只有这样的人才能为你的事业创造源源不断的价值.
3.不在乎别人的眼光(don't care what others think);
永远不要在乎别人的眼光,我们身处在一个普通平凡的世界中,只有少数人真正能创造奇迹,大部分人还是过着普普通通的生活,所以他们的思维也是极其普通的,如果你想要创造一番伟大的事业,就需要有非凡的想法和出人意料的创意,甚至需要经历无数的坎坷和挫折,所以这个过程别人如何看待你并不重要,重要的是你自己如何看待自己,你想要成为一个什么样的人,你想要成就一件什么样的事,这才是你真正需要关心的.
4.每天读书五六个小时(read, read, read);
富家不用买良田,书中自有千钟粟。安居不用架高堂,书中自有黄金屋。出门莫恨无人随,书中车马多如簇。娶妻莫恨无良媒,书中自有颜如玉。男儿若遂平生志,五经勤向窗前读。宋真宗赵恒在《劝学诗》中明确地向我们阐述了书里面有什么,所以有时间少一点聚会,多一点读书,就能获得生命中想要的一切.
5.尊重安全边际(margin of safety);
无论是做投资,还是人生中的任何事,都需要有底线,因为你永远都不知道下一刻会发生什么,而底线就是你的安全边际,可以让你在不确定性的未来中获得确定性的当下,让你有信心有勇气不断向前,纵观古往今来,那些能人志士最终失败的原因就是没有底线的做事,太高估了自己的能力,不尊重安全边际,最后都是一失足千古恨.
6.必须要有自己的竞争优势(have a competitive advantage);
这个星球缺什么都不缺人,在上百亿人口中你的优势是什么呢,如果你想要成就一番事业,不能有鹤立鸡群的能力,就很难做出什么有影响力的事,所以找到自己内在的激情,释放出本有的潜能,是每一个年轻人开创事业时需要做到的事,大部分人都是用表意识的能力在这个社会上竞争,所以得到的只有普通的结果,只有极少数人运用潜意识的力量,让自己的优势突显,从而获得巨大的竞争资本,比喻说马云,运用了自己演讲和英语能力,比喻说乔布斯运用了自己的产品开发能力和市场营销能力,比喻说扎克伯格运用了自已技术能力和联结能力,三位互联网时代最伟大的创造者,运用了各自不同的潜能却创造出了同样影响世界的产品,技术和服务.
7.找到自己独有的步伐(schedule for your personality);
很多人只看见别人成功的结果,却看不见别人为成功付出的过程,总期望可以和别人一样成功,却不期望和别人一样的付出努力和投入时间,向内看才是关键,每个人都有自己成功的时间点和节奏,用心关注自己的步伐,找到属于自己独特的规律,成功只是早晚的事,肯德鸡老爷爷60岁开始在美国开启第一家店,成功永远没有早晚,有的是你对成功的决心,有了决心,只要你还活着,就永远有机会,相信自己,找到自己独有的步伐,你就一定能成功.
8.永不自满(always be competing);
谦受益,满招损,永不满足才能永远进步,乔布斯说, Stay hungry, stay foolish 保持饥饿,保持愚钝,肚子太饱了就不想吃东西,大脑太满了就不想学习,觉得自己太聪明了,就不会拥有进步,这个宇宙无边无际,已经拥有百亿年的历史,而人类的存在只有上万年,我们所了解和学习的知识就如沙漠中的一粒微尘,大海中的一个水滴,天空中的一丝云朵,所以要永远对我们看见和看不见的东西保持着敬畏和空杯的心态,并充满好奇,不断更新我们的思维和认知.
9.找到一个榜样(model success);
生命是混沌的,其实一生中我们并不知道自己想要去哪,所以在迷茫的时候找到一个榜样来引领我们向前是非常有必要的,万物同体,能量合一,人类彼此之间是相互联结的,看得见的是身体,看不见的是灵魂,灵魂是以能量的形式存在这个宇宙中,而那些吸引我们的榜样往往和自己拥有同样的灵魂,只不过榜样让灵魂更绽放,发出了耀眼的光,所以夺目,从而让我们想要成为和他们一样,其实我们就是他们,只要我们打开自己,让内在的光释放出来,也能成为他人的榜样.
10.给予无条件的爱(give unconditional love)
黄金有价,宝石无价,这个世界上有很多珍奇异宝都无法用价格来定义它们的价值,但无论它们有多贵都无法和无条件的爱相提并论,因为爱可以改变一切,因为爱有人创造了<<圣经>>,因为爱有人创造了<<金刚经>>,因为爱有人创造了<<道德经>>,而且创造这些经典的人都付出无条件爱的人,他们内心里装的都是天下,所以才有耶稣被钉在十字架上的故事,才有释迦牟尼于菩提树下一座就是七七四十九天的故事,才有老子放下一切西出函谷关留下5000字道德经的故事,因为这些爱是无条件的,2500后的今天依然被人们传播和尊重,所以每个人都拥有这个世界上比无价的珍奇异宝还要贵的东西,那就是无条件的爱.
在你一生中,你为谁付出过无条件的爱呢?
以太网交换机有哪些安全功能
交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。
针对交换机的攻击主要有以下几类:
-
交换机配置/管理的攻击
-
MAC泛洪攻击
-
DHCP欺骗攻击
-
MAC和IP欺骗攻击
-
ARP欺骗
-
VLAN跳跃攻击
-
STP攻击
-
VTP攻击
交换机的访问安全
为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全:
-
使用合格的密码
-
使用ACL,限制管理访问
-
配置系统警告用语
-
禁用不需要的服务
-
关闭CDP
-
启用系统日志
-
使用SSH替代Telnet
-
关闭SNMP或使用SNMP V3
交换机的端口安全
交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的。
MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。
因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。
DHCP Snooping
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。
另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。
这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
-
dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。
-
与交换机DAI的配合,防止ARP病毒的传播。
-
建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。
-
通过建立信任端口和非信任端口,对非法DHCP服务器进行隔离,信任端口正常转发DHCP数据包,非信任端口收到的服务器响应的DHCP offer和DHCPACK后,做丢包处理,不进行转发。
DAI
动态ARP检查(Dynamic ARP Inspection, DAI)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的"ARP请求和应答信息。
DAI基于DHCP Snooping来工作,DHCP Snooping监听绑定表,包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP) ,确保应答来自真正的MAC所有者。
交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接受到的,就不需要做任何检查;
如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,,DHCP Snooping 对于DAI来说也成为必不可少的。
DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARP access-list的方法实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。