精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

由交換機(jī)的安全特性看企業(yè)內(nèi)網(wǎng)安全問(wèn)題

責(zé)任編輯:FLORA

2011-12-22 09:01:23

摘自:51CTO

作為網(wǎng)絡(luò)中應(yīng)用最為廣泛的交換機(jī),如何能開(kāi)發(fā)其安全特性以有效的保護(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn),一些組織和廠商也紛紛提出自己的安全策略。

作為網(wǎng)絡(luò)中應(yīng)用最為廣泛的交換機(jī),如何能開(kāi)發(fā)其安全特性以有效的保護(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn),一些組織和廠商也紛紛提出自己的安全策略。例如現(xiàn)在通過(guò)多層交換機(jī)特性來(lái)提高網(wǎng)絡(luò)的安全和對(duì)帶寬的控制已經(jīng)相當(dāng)?shù)钠毡椤kS著一些安全特性如訪問(wèn)控制列表(ACL)和802.1x標(biāo)準(zhǔn)已經(jīng)成為許多廠商產(chǎn)品的標(biāo)準(zhǔn),一些使用者開(kāi)始了把它們作為網(wǎng)絡(luò)設(shè)施安全的一個(gè)單獨(dú)增加的層次。

二層的以太網(wǎng)在大多數(shù)的商業(yè)和其他的組織中是局域網(wǎng)訪問(wèn)的最重要的網(wǎng)絡(luò),所以二層交換機(jī)的廠商不斷的增強(qiáng)交換機(jī)的智能性。這種智能交換機(jī)可以以IP 地址查找數(shù)據(jù)包,這些數(shù)據(jù)包存在于網(wǎng)絡(luò)的三層或者四層當(dāng)中。許多的二層交換機(jī)能夠處理基于從二層到四層的數(shù)據(jù)包流,這樣大大提高了交換機(jī)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全策略。 大部分的局域網(wǎng)交換機(jī)廠家如,阿爾卡特,3COM,思科,戴爾,惠普等等已經(jīng)在他們的交換機(jī)產(chǎn)品當(dāng)中包含了這些特性。

在網(wǎng)絡(luò)設(shè)備廠商看來(lái),加強(qiáng)安全性的交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善,除了具備一般的功能外,這種交換機(jī)還具備普通交換機(jī)所不具有的安全策略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā),能夠?qū)崿F(xiàn)特定的安全策略,限制非法訪問(wèn),進(jìn)行事后分析,有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展。實(shí)現(xiàn)安全性的一種作法就是在現(xiàn)有交換機(jī)中嵌入各種安全模塊。現(xiàn)在,越來(lái)越多的用戶都表示希望交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能。下面就介紹幾種常見(jiàn)的交換機(jī)安全策略。

802.1x標(biāo)準(zhǔn)

作為一種局域網(wǎng)的安全特性802.1x可能仍然有許多的用戶不是非常了解。并且網(wǎng)絡(luò)的設(shè)計(jì)者和管理者通常不是非常廣泛的應(yīng)用這種授權(quán)標(biāo)準(zhǔn)。原因非常簡(jiǎn)單802.1x依賴(lài)于Windows XP客戶端,唯一的支持這種技術(shù)的Windows 桌面操作系統(tǒng)。

IEEE 802.1x協(xié)議是一個(gè)把網(wǎng)絡(luò)設(shè)備授權(quán)給客戶的標(biāo)準(zhǔn)。它替代了局域網(wǎng)的目錄,例如微軟的活動(dòng)目錄, Novell的目錄服務(wù)器或者輕量目錄訪問(wèn)協(xié)議服務(wù)器。一些安全專(zhuān)家表示,這是一個(gè)更加有效的保護(hù)局域網(wǎng)安全的措施,因?yàn)橐恍┎荒艿顷懩夸浄?wù)器的客戶通常都能夠發(fā)現(xiàn)并使用網(wǎng)絡(luò)資源,如打印機(jī),沒(méi)有安全共享的存儲(chǔ)器和對(duì)因特網(wǎng)的訪問(wèn)。

一些網(wǎng)絡(luò)服務(wù)管理者表示802.1x非常的實(shí)用,但是它的兼容性是它不能廣泛使用的一個(gè)重要原因。目前有許多人并不采納802.1x協(xié)議,因?yàn)楹苊黠@如果采用802.1x那些使用Macintosh和Linux的用戶將被排斥在外。這些是非常矛盾的一件事情,有非常多的網(wǎng)絡(luò)設(shè)備都支持802.1x協(xié)議,但是卻只有非常少的客戶能夠使用它。

流量控制技術(shù)

把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機(jī)具有基于端口的流量控制功能,能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包,以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。 不過(guò),交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無(wú)法區(qū)分哪些是正常流量,哪些是異常流量。同時(shí),如何設(shè)定一個(gè)合適的閾值也比較困難。

訪問(wèn)控制列表(ACL)技術(shù)

ACL通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)輸入和輸出控制,確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)或被用作攻擊跳板。ACL是一張規(guī)則表,交換機(jī)按照順序執(zhí)行這些規(guī)則,并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過(guò)。由于規(guī)則是按照一定順序處理的,因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)至關(guān)重要。

虛擬局域網(wǎng)(VLAN)技術(shù)

虛擬局域網(wǎng)是人們非常熟悉的一個(gè)交換機(jī)功能。也是應(yīng)用廣泛的一個(gè)安全策略。虛擬局域網(wǎng)絡(luò)是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。從技術(shù)角度講,VLAN的劃分可依據(jù)不同原則,一般有以下三種劃分方法:1、基于端口的VLAN劃分,2、基于MAC地址的VLAN劃分,3、基于路由的VLAN劃分。就目前來(lái)說(shuō),對(duì)于VLAN的劃分主要采取上述第1、3種方式。

通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。而且通過(guò)對(duì)VLAN的創(chuàng)建,隔離了廣播,縮小了廣播范圍,可以控制廣播風(fēng)暴的產(chǎn)生。對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō),一個(gè)VLAN可以根據(jù)部門(mén)職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。這樣也使的網(wǎng)絡(luò)管理變的簡(jiǎn)單、直觀。

“懲罰箱”策略

下面介紹一種基于交換機(jī)的安全策略。目前一些學(xué)校發(fā)現(xiàn)一些學(xué)生總是嘗試著攻擊學(xué)校的數(shù)據(jù)庫(kù)服務(wù)器,或者一些學(xué)生下載大量的多媒體文件,這些事情對(duì)網(wǎng)絡(luò)擁塞非常嚴(yán)重使得網(wǎng)絡(luò)訪問(wèn)變的很慢。針對(duì)這些問(wèn)題,學(xué)校里使用了三層和四層交換機(jī),并且建立安全策率以限制網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)訪問(wèn),這樣有效的防止的學(xué)生的黑客行為和對(duì)帶寬的占用。

這些方法也被一些使用私用網(wǎng)絡(luò)的公司中的E1交換機(jī)所采用。這些E1交換機(jī)支持三層和四層的服務(wù)例如基于IP地址,UDP協(xié)議端口和媒體訪問(wèn)控制層(MAC)地址的速度限制和訪問(wèn)控制列表(ACL)。UPN軟件可以有效的利用這些特性使得網(wǎng)絡(luò)的管理人員制定一些策略和具有一定限制的訪問(wèn)角色:一個(gè)全部特性的角色可能包括對(duì)全部服務(wù)的訪問(wèn),并且保證在每秒100M的速度。而一個(gè)具有限制的角色(受限制的訪問(wèn)者或者和“懲罰箱”有關(guān)的一些人)可能被禁止對(duì)因特網(wǎng)的訪問(wèn),只保留了一些電子郵箱和企業(yè)內(nèi)部網(wǎng)服務(wù)的訪問(wèn)。并且被限制在一個(gè)比全部特性角色要低的帶寬。

在一些學(xué)校里ACL也被用來(lái)限制學(xué)生的活動(dòng),通過(guò)限制一定的IP地址組訪問(wèn)服務(wù)器和其他的禁止學(xué)生反問(wèn)的資源就可以很好的保護(hù)網(wǎng)絡(luò)的安全和性能。思科的 Catalyst 3550 和2950交換機(jī)就具有三層ACL,包過(guò)濾和802.1x授權(quán)的功能,可以很好的用來(lái)保護(hù)校園網(wǎng)絡(luò)中局域網(wǎng)的安全。這些智能的局域網(wǎng)交換機(jī)可以幫助學(xué)校使學(xué)生訪問(wèn)更多的服務(wù)而同時(shí)又能保護(hù)重要的資源如財(cái)務(wù)系統(tǒng)的服務(wù)器---僅僅可以讓授權(quán)的用戶訪問(wèn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 洮南市| 北安市| 焦作市| 阿合奇县| 武平县| 南雄市| 乌兰察布市| 防城港市| 闸北区| 称多县| 潞城市| 平顶山市| 宜川县| 扎鲁特旗| 湖南省| 望城县| 沽源县| 周口市| 孝昌县| 建阳市| SHOW| 开远市| 巍山| 莱西市| 三江| 宜宾市| 灌南县| 长兴县| 永清县| 滁州市| 广德县| 凤凰县| 青岛市| 莆田市| 呼图壁县| 恭城| 裕民县| 明水县| 固安县| 开封县| 庆元县|