加強交換機安全性能,看BMC二層交換機如何實施安全工作策略

《Cisco 網(wǎng)絡技術》課程實驗指導書-交換機與路由器配置PDF+Word版

• 類型：網(wǎng)絡認證大�。�722KB語言：中文 評分：8.7
• 標簽：

立即下載

　二層交換機有很多值得學習的地方，這里我們主要介紹BMC二層交換機如何實施安全策略。目前網(wǎng)絡的安全性能是人們最為關注的問題之一。而其中局域網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡當中的安全性更是成為焦點。許多的解決方案被人們提出來解決網(wǎng)絡的安全問題。

　　作為網(wǎng)絡中應用最為廣泛的交換機，如何能開發(fā)其安全特性以有效的保護對網(wǎng)絡的訪問，一些組織和廠商也紛紛提出自己的安全策略。例如現(xiàn)在通過多層交換機特性來提高網(wǎng)絡的安全和對帶寬的控制已經(jīng)相當?shù)钠毡�。隨著一些安全特性如訪問控制列表(ACL)和802.1x標準已經(jīng)成為許多廠商產(chǎn)品的標準，一些使用者開始了把它們作為網(wǎng)絡設施安全的一個單獨增加的層次。

　　二層的以太網(wǎng)在大多數(shù)的商業(yè)和其他的組織中是局域網(wǎng)訪問的最重要的網(wǎng)絡，所以二層交換機的廠商不斷的增強交換機的智能性。這種智能交換機可以以IP地址查找數(shù)據(jù)包，這些數(shù)據(jù)包存在于網(wǎng)絡的三層或者四層當中。許多的二層交換機能夠處理基于從二層到四層的數(shù)據(jù)包流，這樣大大提高了交換機的服務質(zhì)量和網(wǎng)絡安全策略。BMCPowerTrix系列交換機產(chǎn)品當中就包含了這些增強的安全特性。

　　在網(wǎng)絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡安全和用戶業(yè)務應用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，限制非法訪問，進行事后分析，有效保障用戶網(wǎng)絡業(yè)務的正常開展。實現(xiàn)安全性的一種作法就是在現(xiàn)有交換機中嵌入各種安全模塊。現(xiàn)在，越來越多的用戶都表示希望二層交換機中增加防火墻、VPN、數(shù)據(jù)加密、身份認證等功能。下面就介紹幾種BMC的二層交換機的安全策略。

　　一、802.1x標準

　　作為一種局域網(wǎng)的安全特性802.1x可能仍然有許多的用戶不是非常了解。并且網(wǎng)絡的設計者和管理者通常不是非常廣泛的應用這種授權標準。原因非常簡單802.1x依賴于WindowsXP客戶端，唯一的支持這種技術的Windows桌面操作系統(tǒng)。

　　IEEE802.1x協(xié)議是一個把網(wǎng)絡設備授權給客戶的標準。它替代了局域網(wǎng)的目錄，例如微軟的活動目錄等。一些安全專家表示，這是一個更加有效的保護局域網(wǎng)安全的措施，因為一些不能登陸目錄服務器的客戶通常都能夠發(fā)現(xiàn)并使用網(wǎng)絡資源，如打印機，沒有安全共享的存儲器和對因特網(wǎng)的訪問。

　　二、流量控制技術

　　把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多二層交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。

　　三、訪問控制列表(ACL)技術

　　ACL通過對網(wǎng)絡資源進行訪問輸入和輸出控制，確保網(wǎng)絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，二層交換機按照順序執(zhí)行這些規(guī)則，并且處理每一個進入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對位置對于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡至關重要。

　　四、ARP攻擊防護技術

　　ARP欺騙攻擊、ARPFlood攻擊是利用ARP地址解析過程中的信任機制來進行偽裝和欺騙攻擊等，造成網(wǎng)絡中部分主機或者全部主機的無法訪問網(wǎng)絡。ARP攻擊防護技術就是從各種攻擊手段的原理出發(fā)，在二層交換機上提供多種防欺騙、防掃描的技術，例如BMC二層交換機采用的ARPGuard、Anti-arpscan、FreeARP發(fā)送、AM訪問管理等技術實現(xiàn)來很好的解決多種ARP攻擊防護。

　　五、虛擬局域網(wǎng)(VLAN)技術

　　虛擬局域網(wǎng)是人們非常熟悉的一個二層交換機功能。也是應用廣泛的一個安全策略。虛擬局域網(wǎng)絡是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。

　　從技術角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：1、基于端口的VLAN劃分，2、基于MAC地址的VLAN劃分，3、基于路由的VLAN劃分。就目前來說，對于VLAN的劃分主要采取上述第1、3種方式。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡的整體性能和安全性。而且通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產(chǎn)生。對于采用VLAN技術的網(wǎng)絡來說，一個VLAN可以根據(jù)部門職能、對象組或者應用將不同地理位置的網(wǎng)絡用戶劃分為一個邏輯網(wǎng)段。這樣也使的網(wǎng)絡管理變的簡單、直觀。

　　六、安全技術的綜合應用

　　目前一些學校發(fā)現(xiàn)一些學生總是嘗試著攻擊學校的數(shù)據(jù)庫服務器，或者一些學生下載大量的多媒體文件，這些事情對網(wǎng)絡擁塞非常嚴重使得網(wǎng)絡訪問變的很慢。針對這些問題，學校里使用了三層和二層交換機，并且建立安全策率以限制網(wǎng)絡帶寬和網(wǎng)絡訪問，這樣有效的防止的學生的黑客行為和對帶寬的占用。

　　在一些學校里ACL也被用來限制學生的活動，通過限制一定的IP地址組訪問服務器和其他的禁止學生訪問的資源就可以很好的保護網(wǎng)絡的安全和性能。BMCPowerTrix3950和2970系列二層交換機就具有ACL，包過濾和802.1x授權的功能，可以很好的用來保護校園網(wǎng)絡中局域網(wǎng)的安全。這些智能的局域網(wǎng)交換機可以幫助學校使學生訪問更多的服務而同時又能保護重要的資源如財務系統(tǒng)的服務器---僅僅可以讓授權的用戶訪問。