注重交換機安全 讓網(wǎng)絡(luò)堅不可摧

第第頁注重交換機安全讓網(wǎng)絡(luò)堅不可摧注重交換機安全讓網(wǎng)絡(luò)堅不可摧

發(fā)表于：2023-09-07來源：：點擊數(shù)：標簽：

如何過濾用戶通訊，保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)?如何阻擋非法用戶，保障網(wǎng)絡(luò)安全應(yīng)用?如何進行安全網(wǎng)管，及時發(fā)現(xiàn)網(wǎng)絡(luò)非法用戶、非法行為及遠程網(wǎng)管信息的安全性呢?這里我們總結(jié)了6條近期交換機市場上一些流行的安全設(shè)置功能，希望對大家有所幫助。L2-L4層

如何過濾用戶通訊，保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)?如何阻擋非法用戶，保障網(wǎng)絡(luò)安全應(yīng)用?如何進行安全網(wǎng)管，及時發(fā)現(xiàn)網(wǎng)絡(luò)非法用戶、非法行為及遠程網(wǎng)管信息的安全性呢?這里我們總結(jié)了6條近期交換機市場上一些流行的安全設(shè)置功能，希望對大家有所幫助。

L2-L4層過濾

現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則設(shè)置有兩種模式，一種是MAC模式，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離，另一種是IP模式，可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包;建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上，則當交換機此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時，根據(jù)過濾規(guī)則來過濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機通過硬件“邏輯與非門”對過濾規(guī)則進行邏輯運算，實現(xiàn)過濾規(guī)則確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。

802.1X基于端口的訪問控制

為了阻止非法用戶對局域網(wǎng)的接入，保障網(wǎng)絡(luò)的安全性，基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應(yīng)用。例如華碩最新的GigaX2024/2048等新一代交換機產(chǎn)品不僅僅支持802.1X的Local、RADIUS驗證方式，而且支持802.1X的DynamicVLAN的接入，即在VLAN和802.1X的基礎(chǔ)上，持有某用戶賬號的用戶無論在網(wǎng)絡(luò)內(nèi)的何處接入，都會超越原有802.1Q下基于端口VLAN的限制，始終接入與此賬號指定的VLAN組內(nèi)，這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動用戶對資源的應(yīng)用提供了靈活便利，同時又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性;另外，GigaX2024/2048交換機還支持802.1X的GuestVLAN功能，即在802.1X的應(yīng)用中，如果端口指定了GuestVLAN項，此端口下的接入用戶如果認證失敗或根本無用戶賬號的話，會成為GuestVLAN組的成員，可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源，這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資源，并為整個網(wǎng)絡(luò)提供了一個最外圍的接入安全。

流量控制(trafficcontrol)

交換機的流量控制可以預(yù)防因為廣播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機帶寬的異常負荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡(luò)安全穩(wěn)定的運行。

SNMPv3及SSH

安全網(wǎng)管SNMPv3提出全新的體系結(jié)構(gòu)，將各版本的SNMP標準集中到一起，進而加強網(wǎng)管安全性。SNMPv3建議的安全模型是基于用戶的安全模型，即USM。USM對網(wǎng)管消息進行加密和認證是基于用戶進行的，具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱(userNmae)權(quán)威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES，認證協(xié)議HMAC-MD5-96和HMAC-SHA-96)，通過認證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務(wù)，從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

至于通過T的遠程網(wǎng)絡(luò)管理，由于Telnet服務(wù)有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進行通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽，便于網(wǎng)管人員進行遠程的安全網(wǎng)絡(luò)管理。

Syslog和Watchdog

交換機的Syslog日志功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運行狀況，及早發(fā)現(xiàn)問題，及時進行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運行。

Watchdog通過設(shè)定一個計時器，如果設(shè)定的時間間隔內(nèi)計時器沒有重啟，則生成一個內(nèi)在CPU重啟指令，使設(shè)備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網(wǎng)絡(luò)的運行。

雙映像文件

一些最新的交換機，像ASUSGigaX2024/2048還具備雙映像文件。這一功能保護設(shè)備在異常情況下(固件升級失敗等)仍然可正常啟動運行。文件系統(tǒng)分majoy和mirror兩部分進行保存，如果一個文件系統(tǒng)損害或中斷，另外一個文件系統(tǒng)會將其重寫，如果兩個文件系統(tǒng)都損害，則設(shè)備會清除兩個文件系統(tǒng)并重寫為出廠時默認設(shè)置，確保系統(tǒng)安全啟動運行。

其實，近期出現(xiàn)的一些交換機產(chǎn)品在安全設(shè)計上大都下足了功夫——層層設(shè)防、節(jié)節(jié)過濾，想盡一切辦法將可能存在的不安全因素最大程度地排除在外。廣大企業(yè)用戶如果能夠充分利用這些網(wǎng)絡(luò)安全設(shè)