目前網路的安全效能是人們最為關注的問題之一。而其中區域網和企業內部網路當中的安全性更是成為焦點。許多的解決方案被人們提出來解決網路的安全問題。作為網路中應用最為廣泛的交換機,如何能開發其安全特性以有效的保護對網路的訪問,一些組織和廠商也紛紛提出自己的安全策略。例如現在通過多層交換機特性來提高網路的安全和對頻寬的控制已經相當的普遍。隨著一些安全特性如訪問控制列表(acl)和802.1x標準已經成為許多廠商產品的標準,一些使用者開始了把它們作為網路設施安全的乙個單獨增加的層次。
二層的乙太網在大多數的商業和其他的組織中是區域網訪問的最重要的網路,所以二層交換機的廠商不斷的增強交換機的智慧型性。這種智慧型交換機可以以ip 位址查詢資料報,這些資料報存在於網路的三層或者四層當中。許多的二層交換機能夠處理基於從二層到四層的資料報流,這樣大大提高了交換機的服務質量和網路安全策略。 大部分的區域網交換機廠家如,阿爾卡特,3com,思科,戴爾,惠普等等已經在他們的交換機產品當中包含了這些特性。
在網路裝置廠商看來,加強安全性的交換機是對普通交換機的公升級和完善,除了具備一般的功能外,這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網路安全和使用者業務應用出發,能夠實現特定的安全策略,限制非法訪問,進行事後分析,有效保障使用者網路業務的正常開展。實現安全性的一種作法就是在現有交換機中嵌入各種安全模組。現在,越來越多的使用者都表示希望交換機中增加防火牆、vpn、資料加密、身份認證等功能。下面就介紹幾種常見的交換機安全策略。
802.1x標準
作為一種區域網的安全特性802.1x可能仍然有許多的使用者不是非常了解。並且網路的設計者和管理者通常不是非常廣泛的應用這種授權標準。原因非常簡單802.1x依賴於windows xp客戶端,唯一的支援這種技術的windows 桌面作業系統。
ieee 802.1x協議是乙個把網路裝置授權給客戶的標準。它替代了區域網的目錄,例如微軟的活動目錄, novell的目錄伺服器或者輕量目錄訪問協議伺服器。一些安全專家表示,這是乙個更加有效的保護區域網安全的措施,因為一些不能登陸目錄伺服器的客戶通常都能夠發現並使用網路資源,如印表機,沒有安全共享的儲存器和對網際網路的訪問。
一些網路服務管理者表示802.1x非常的實用,但是它的相容性是它不能廣泛使用的乙個重要原因。目前有許多人並不採納802.1x協議,因為很明顯如果採用802.1x那些使用macintosh和linux的使用者將被排斥在外。這些是非常矛盾的一件事情,有非常多的網路裝置都支援802.1x協議,但是卻只有非常少的客戶能夠使用它。
流量控制技術
把流經埠的異常流量限制在一定的範圍內。許多交換機具有基於埠的流量控制功能,能夠實現風暴控制、埠保護和埠安全。流量控制功能用於交換機與交換機之間在發生擁塞時通知對方暫時停止傳送資料報,以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小,對超過設定值的廣播流量進行丟棄處理。 不過,交換機的流量控制功能只能對經過埠的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的範圍內,而無法區分哪些是正常流量,哪些是異常流量。同時,如何設定乙個合適的閾值也比較困難。
訪問控制列表(acl)技術
acl通過對網路資源進行訪問輸入和輸出控制,確保網路裝置不被非法訪問或被用作攻擊跳板。acl是一張規則表,交換機按照順序執行這些規則,並且處理每乙個進入埠的資料報。每條規則根據資料報的屬性(如源位址、目的位址和協議)要麼允許、要麼拒絕資料報通過。由於規則是按照一定順序處理的,因此每條規則的相對位置對於確定允許和不允許什麼樣的資料報通過網路至關重要。
虛擬區域網(vlan)技術
虛擬區域網是人們非常熟悉的乙個交換機功能。也是應用廣泛的乙個安全策略。虛擬區域網路是指在交換區域網的基礎上,採用網路管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。乙個vlan組成乙個邏輯子網,即乙個邏輯廣播域,它可以覆蓋多個網路裝置,允許處於不同地理位置的網路使用者加入到乙個邏輯子網中。從技術角度講,vlan的劃分可依據不同原則,一般有以下三種劃分方法:1、基於埠的vlan劃分,2、基於mac位址的vlan劃分,3、基於路由的vlan劃分。就目前來說,對於vlan的劃分主要採取上述第1、3種方式。
通過路由訪問列表和mac位址分配等vlan劃分原則,可以控制使用者訪問許可權和邏輯網段大小,將不同使用者群劃分在不同vlan,從而提高交換式網路的整體效能和安全性。而且通過對vlan的建立,隔離了廣播,縮小了廣播範圍,可以控制廣播風暴的產生。對於採用vlan技術的網路來說,乙個vlan可以根據部門職能、物件組或者應用將不同地理位置的網路使用者劃分為乙個邏輯網段。這樣也使的網路管理變的簡單、直觀。
「懲罰箱」策略
下面介紹一種基於交換機的安全策略。目前一些學校發現一些學生總是嘗試著攻擊學校的資料庫伺服器,或者一些學生**大量的多**檔案,這些事情對網路擁塞非常嚴重使得網路訪問變的很慢。針對這些問題,學校裡使用了三層和四層交換機,並且建立安全策率以限制網路頻寬和網路訪問,這樣有效的防止的學生的黑客行為和對頻寬的占用。
這些方法也被一些使用私用網路的公司中的e1交換機所採用。這些e1交換機支援三層和四層的服務例如基於ip位址,udp協議埠和**訪問控制層(mac)位址的速度限制和訪問控制列表(acl)。upn軟體可以有效的利用這些特性使得網路的管理人員制定一些策略和具有一定限制的訪問角色:乙個全部特性的角色可能包括對全部服務的訪問,並且保證在每秒100m的速度。而乙個具有限制的角色(受限制的訪問者或者和「懲罰箱」有關的一些人)可能被禁止對網際網路的訪問,只保留了一些電子郵箱和企業內部網服務的訪問。並且被限制在乙個比全部特性角色要低的頻寬。
在一些學校裡acl也被用來限制學生的活動,通過限制一定的ip位址組訪問伺服器和其他的禁止學生反問的資源就可以很好的保護網路的安全和效能。思科的 catalyst 3550 和2950交換機就具有三層acl,包過濾和802.1x授權的功能,可以很好的用來保護校園網路中區域網的安全。這些智慧型的區域網交換機可以幫助學校使學生訪問更多的服務而同時又能保護重要的資源如財務系統的伺服器---僅僅可以讓授權的使用者訪問。
小結:
下面我們總結一下上述所涉及到的技術和協議。許多的交換機都支援下面的這些功能,使用這些技術和協議可以很好的幫助使用者對網路資源的訪問控制。
現在,業界普遍認為安全應該遍布於整個網路之內,內網到外網的安全既需要通過防火牆之類的專業安全裝置來解決,也需要交換機在保護使用者方面發揮作用。目前,絕大多數使用者對通過交換機解決安全問題抱積極態度,很多使用者打算今後在實踐中對交換機採取安全措施,希望通過加固遍布網路的交換機來實現安全目標。
演示 交換機埠安全的配置
演示 交換機埠安全的配置 在現今的企業網路中,資訊保安的威脅從某種程度上講,來自企業內部的安全威脅高於企業外部的安全威脅,比如 無控制行為的任意主機接入 移動儲存裝置接入 共享資料等這些都是由於企業內部網路對網路的接入控制不嚴格所導致的問題,而本小節的主要任務就是描述資料鏈路層接入控制的管制方案 交...
演示 交換機埠安全的配置
演示 交換機埠安全的配置 在現今的企業網路中,資訊保安的威脅從某種程度上講,來自企業內部的安全威脅高於企業外部的安全威脅,比如 無控制行為的任意主機接入 移動儲存裝置接入 共享資料等這些都是由於企業內部網路對網路的接入控制不嚴格所導致的問題,而本小節的主要任務就是描述資料鏈路層接入控制的管制方案 交...
安全技巧 提高交換機埠的安全性
企業網路安全 涉及到方方面面。從交換機 來說,首選需要保證交換機 埠的安全 在不少企業中,員工可以隨意的使用集線器等工具將乙個上網埠增至多個,或者說使用自己的膝上型電腦連線到企業的網路中。類似的情況都會給企業的網路安全 帶來不利的影響。在這篇文章中,筆者就跟大家談談,交換機 埠的常見安全 威脅及應對...