二層交換機的(de)安全秘訣
人(rén)氣:627 時(shí)間:2022-06-15 18:10:42 來(lái)源:管理(lǐ)員(yuán)
随著(zhe)網絡應用(yòng)的(de)普及及不斷深化(huà),用(yòng)戶對(duì)于二層交換機的(de)需求不僅僅局限于數據轉發性能、服務質量(QoS)等各方面,網絡安全理(lǐ)念正日益成爲組網産品選型的(de)重要參考内容。
随著(zhe)網絡應用(yòng)的(de)普及及不斷深化(huà),用(yòng)戶對(duì)于二層交換機的(de)需求不僅僅局限于數據轉發性能、服務質量(QoS)等各方面,網絡安全理(lǐ)念正日益成爲組網産品選型的(de)重要參考内容。
如何過濾用(yòng)戶通(tōng)訊,保障安全有效的(de)數據轉發?如何阻擋非法用(yòng)戶,保障網絡安全應用(yòng)?如何進行安全網管,及時(shí)發現網絡非法用(yòng)戶、非法行爲及遠(yuǎn)程網管信息的(de)安全性呢(ne)?這(zhè)裏我們總結了(le)6 條近期交換機市場(chǎng)上一些流行的(de)安全設置功能,希望對(duì)大(dà)家有所幫助。
一、L2-L4 層過濾
現在的(de)新型交換機大(dà)都可(kě)以通(tōng)過建立規則的(de)方式來(lái)實現各種過濾需求。規則設置有兩種模式,一種是MAC模式,可(kě)根據用(yòng)戶需要依據源MAC或目的(de) MAC有效實現數據的(de)隔離,另一種是IP模式,可(kě)以通(tōng)過源IP、目的(de)IP、協議(yì)、源應用(yòng)端口及目的(de)應用(yòng)端口過濾數據封包;建立好的(de)規則必須附加到相應的(de)接收或傳送端口上,則當交換機此端口接收或轉發數據時(shí),根據過濾規則來(lái)過濾封包,決定是轉發還(hái)是丢棄。
另外,交換機通(tōng)過硬件“邏輯與非門”對(duì)過濾規則進行邏輯運算(suàn),實現過濾規則确定,完全不影(yǐng)響數據轉發速率。
二、802.1X 基于端口的(de)訪問控制
爲了(le)阻止非法用(yòng)戶對(duì)局域網的(de)接入,保障網絡的(de)安全性,基于端口的(de)訪問控制協議(yì)802.1X無論在有線LAN或WLAN中都得(de)到了(le)廣泛應用(yòng)。例如華碩最新的(de)GigaX2024/2048等新一代交換機産品不僅僅支持802.1X 的(de)Local、RADIUS 驗證方式,而且支持802.1X 的(de)Dynamic VLAN 的(de)接入,即在VLAN和(hé)802.1X 的(de)基礎上,持有某用(yòng)戶賬号的(de)用(yòng)戶無論在網絡内的(de)何處接入,都會超越原有802.1Q 下(xià)基于端口VLAN 的(de)限制,始終接入與此賬号指定的(de)VLAN組内,這(zhè)一功能不僅爲網絡内的(de)移動用(yòng)戶對(duì)資源的(de)應用(yòng)提供了(le)靈活便利,同時(shí)又保障了(le)網絡資源應用(yòng)的(de)安全性;
另外, GigaX2024/2048 交換機還(hái)支持802.1X的(de)Guest VLAN功能,即在802.1X的(de)應用(yòng)中,如果端口指定了(le)Guest VLAN項,此端口下(xià)的(de)接入用(yòng)戶如果認證失敗或根本無用(yòng)戶賬号的(de)話(huà),會成爲Guest VLAN 組的(de)成員(yuán),可(kě)以享用(yòng)此組内的(de)相應網絡資源,這(zhè)一種功能同樣可(kě)爲網絡應用(yòng)的(de)某一些群體開放最低限度的(de)資源,并爲整個(gè)網絡提供了(le)一個(gè)最外圍的(de)接入安全。
三、流量控制(traffic control)
交換機的(de)流量控制可(kě)以預防因爲廣播數據包、組播數據包及因目的(de)地址錯誤的(de)單播數據包數據流量過大(dà)造成交換機帶寬的(de)異常負荷,并可(kě)提高(gāo)系統的(de)整體效能,保持網絡安全穩定的(de)運行。
四、SNMP v3 及SSH 安全網管
SNMP v3 提出全新的(de)體系結構,将各版本的(de)SNMP 标準集中到一起,進而加強網管安全性。SNMP v3 建議(yì)的(de)安全模型是基于用(yòng)戶的(de)安全模型,即USM。
USM對(duì)網管消息進行加密和(hé)認證是基于用(yòng)戶進行的(de),具體地說就是用(yòng)什(shén)麽協議(yì)和(hé)密鑰進行加密和(hé)認證均由用(yòng)戶名稱(userNmae)權威引擎标識符(EngineID)來(lái)決定(推薦加密協議(yì)CBCDES,認證協議(yì)HMAC-MD5-96 和(hé)HMAC-SHA-96),通(tōng)過認證、加密和(hé)時(shí)限提供數據完整性、數據源認證、數據保密和(hé)消息時(shí)限服務,從而有效防止非授權用(yòng)戶對(duì)管理(lǐ)信息的(de)修改、僞裝和(hé)竊聽(tīng)。
至于通(tōng)過Telnet 的(de)遠(yuǎn)程網絡管理(lǐ),由于Telnet 服務有一個(gè)緻命的(de)弱點——它以明(míng)文的(de)方式傳輸用(yòng)戶名及口令,所以,很容易被别有用(yòng)心的(de)人(rén)竊取口令,受到攻擊,但采用(yòng)SSH進行通(tōng)訊時(shí),用(yòng)戶名及口令均進行了(le)加密,有效防止了(le)對(duì)口令的(de)竊聽(tīng),便于網管人(rén)員(yuán)進行遠(yuǎn)程的(de)安全網絡管理(lǐ)。
五、Syslog和(hé)Watchdog
交換機的(de)Syslog 日志功能可(kě)以将系統錯誤、系統配置、狀态變化(huà)、狀态定期報告、系統退出等用(yòng)戶設定的(de)期望信息傳送給日志服務器,網管人(rén)員(yuán)依據這(zhè)些信息掌握設備的(de)運行狀況,及早發現問題,及時(shí)進行配置設定和(hé)排障,保障網絡安全穩定地運行。
Watchdog 通(tōng)過設定一個(gè)計時(shí)器,如果設定的(de)時(shí)間間隔内計時(shí)器沒有重啓,則生成一個(gè)内在CPU重啓指令,使設備重新啓動,這(zhè)一功能可(kě)使交換機在緊急故障或意外情況下(xià)時(shí)可(kě)智能自動重啓,保障網絡的(de)運行。
六、雙映像文件
一些最新的(de)交換機, 像A S U SGigaX2024/2048還(hái)具備雙映像文件。這(zhè)一功能保護設備在異常情況下(xià)(固件升級失敗等)仍然可(kě)正常啓動運行。文件系統分(fēn)majoy和(hé) mirror兩部分(fēn)進行保存,如果一個(gè)文件系統損害或中斷,另外一個(gè)文件系統會将其重寫,如果兩個(gè)文件系統都損害,則設備會清除兩個(gè)文件系統并重寫爲出廠時(shí)默認設置,确保系統安全啓動運行。
其實,近期出現的(de)一些交換機産品在安全設計上大(dà)都下(xià)足了(le)功夫——層層設防、節節過濾,想盡一切辦法将可(kě)能存在的(de)不安全因素最大(dà)程度地排除在外。
廣大(dà)企業用(yòng)戶如果能夠充分(fēn)利用(yòng)這(zhè)些網絡安全設置功能,進行合理(lǐ)的(de)組合搭配,則可(kě)以最大(dà)限度地防範網絡上日益泛濫的(de)各種攻擊和(hé)侵害,願您的(de)企業網絡自此也(yě)能更加穩固安全。
- 友情鏈接 華爲技術 百 度 海康威視 深信服 思科 H3C新華三 銳捷ruijie DELL戴爾 AMP安普 圖騰機櫃 Lenovo聯想 Seagate希捷 Panasonic松下(xià)集團電話(huà) SIEMENS電話(huà)機
- 聯系方式
400-921-5961
中國.上海市闵行區(qū)羅錦路55号(錦宏産業園)B幢三樓
admin@yuexiangLan.com