还剩3页未读,继续阅读
文本内容:
交换机网络平安策略全方位解析电脑资料交换机在企业网中占有重要的地位,通常是整个网络的核心所在,平安交换机三层含义交换机最重要的作用就是转发数据,在攻击和病毒侵扰下,交换机要可以继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最根本的平安功能同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进展区分和权限控制更重要的是,交换机还应该配合其他网络平安设备,对非受权访问和网络攻击进展监控和阻止平安交换机的新功能
802.1x加强平安认证在传统的局域网环境中,只要有物理的连接端口,未经受权的网络设备就可以接入局域网,或者是未经受权的用户可以通过连接到局域网的设备进入网络这样给一些企业造成了潜在的平安威胁另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要IEEE
802.1x正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入平安审核
802.1x协议是刚刚完成标准化的一个符合IEEE802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议它可以在利用IEEE802局域网优势的根底上提供一种对连接到局域网的用户进展认证和受权的手段,到达了承受合法用户接入,保护网络平安的目的
802.1x协议与LAN是无缝交融的
802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证在认证过程中,LAN端口要么充当认证者,要么扮演恳求者在作为认证者时,LAN端口在需要用户通过该端口接入相应的效劳之前,首先进展认证,如假设认证失败那么不允许接入;在作为恳求者时,LAN端口那么负责向认证效劳器提交接入效劳申请基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的平安性在
802.1x协议中,只有具备了以下三个元素才可以完成基于端口的访问控制的用户认证和受权
1.客户端一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接恳求
2.认证系统在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果翻开或关闭端口
3.认证效劳器通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络效劳,并根据认证结果向交换机发出翻开或保持端口关闭的状态流量控制平安交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,防止交换机的带宽被无限制滥用平安交换机的流量控制功能可以实现对异常流量的控制,防止网络堵塞防DDoS企业网一旦遭到大规模分布式回绝效劳攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为效劳提供商最为头疼的攻击平安交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁虚拟局域网VLAN虚拟局域网是平安交换机必不可少的功能VLAN可以在二层或者三层交换机上实现有限的播送域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好似在同一个网络间通信一样,基于访问控制列表的防火墙功能平安交换机采用了访问控制列表ACL来实现包过滤防火墙的平安功能,增强平安防范才能访问控制列表以前只在核心路由器才获使用在平安交换机中,访问控制过滤措施可以基于源/目的交换槽、端口、源/目的VLAN、源/目的IP、TCP/UDP端口、ICMP类型或MAC地址来实现ACL不但可以让网络者用来制定网络策略,针对个别用户或特定的数据流进展允许或者回绝的控制,也可以用来加强网络的平安屏蔽,让找不到网络中的特定主机进展探测,从而无法发动攻击入侵检测IDS平安交换机的IDS功能可以根据上报信息和数据流内容进展检测,在发现网络平安事件的时候,进展有针对性的操作,并将这些对平安事件反响的动作发送到交换机上,由交换机来实现准确的端口断开操作实现这种联动,需要交换机可以支持认证、端口镜像、强迫流分类、进程数控制、端口反查等功能设备冗余也重要物理上的平安也就是冗余才能是网络平安运行的保证任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立即赋予后备的模块、平安保障网络的运行平安交换机的布署平安交换机的出现,使得网络在交换机这个层次上的平安才能大大增强平安交换机可以装备在网络的核心,如同思科Catalyst6500这个模块化的核心交换机那样,把平安功能放在核心来实现这样做的好处是可以在核心交换机上统一配置平安策略,做到集中控制,而且方便网络管理人员的监控和调整而且核心交换机都具备强大的才能,平安性能是一项颇费处理才能的工作,核心交换机做起这个事情来能做到物尽其能把平安交换机放在网络的接入层或者会聚层,是另外一个选择这样装备平安交换机的方式就是核心把权利下放到边缘,在各个边缘就开场施行平安交换机的性能,把入侵和攻击以及可疑流量堵在边缘之外,确保全网的平安这样就需要在边缘装备平安交换机,很多厂家已经推出了各种边缘或者会聚层使用的平安交换机它们就像一个个的堡垒一样,在核心周围建立起一道巩固的平安防线平安交换机有时候还不能孤军奋战,如PPPoE认证功能就需要Radius效劳器的支持,另外其他的一些交换机可以和入侵检测设备做联动的,就需要其他网络设备或者效劳器的支持平安交换机的晋级目前市场上出了很多新的平安交换机,它们是一出厂就天生具备了一些平安的功能那么一些老交换机如何可以得到平安上的保障呢一般来说,对于模块化的交换机,这个问题很好解决普遍的解决方式是在老的模块化交换机上插入新的平安模块,如思科Catalyst6500就带有防火墙模块、入侵检测IDS模块等等平安模块;神州数码的6610交换机装备了PPPoE的认证模块,直接插入老交换机就能让这些“老革命”解决新问题假如以前购置的交换机是固定式的交换机,一些有才能的型号就需要通过晋级固件firmware的形式来植入新的平安功能平安交换机的前景随着用户对网络环境的需求越来越高,对具备平安功能的交换机的需求也越来越大很多用户认为,花一定的投资在交换机的平安上,对整个网络强健性和平安性的进步是值得的特别是一些行业用户,他们对网络的需求绝非连通即可如银行、证券以及大型企业,网络病毒爆发一次或者入侵带来的损失,足以超过在平安交换机上的额外投资平安交换机已经成为交换机市场上的一个新亮点模板内容仅供参考 。