亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        剖析交換機安全功能

        2016-11-26 06:42:48
        網(wǎng)絡安全和信息化 2016年8期
        關鍵詞:功能

        引言:交換機自身具備不少有特色的安全功能,如果能夠深入了解并加以利用,可以為企業(yè)帶來很好的安全防護效果,b并能節(jié)省大量的IT支出成本,這對于不少IT投資預算不足的企業(yè)是很有價值的。本文將結合實際應用,介紹交換機常用的安全功能,希望給各位同行帶來一些幫助。

        交換機作為企業(yè)信息化建設基礎設施的重要組成部分,是使用數(shù)量最多的網(wǎng)絡設備之一。近年來,隨著智能交換機技術的發(fā)展,交換機的功能有了很多擴展,除了傳統(tǒng)的二層(數(shù)據(jù)鏈路層)數(shù)據(jù)轉發(fā)功能以外,還具備了很多三層(網(wǎng)絡層)和四層(傳輸層)的功能。特別是交換機所具備的安全防護方面的功能,如果運用得當,可以以非常低的成本獲得較高的安全防護回報,為企業(yè)節(jié)省大量投資成本。下面將介紹Port security(端口安全)和ACL(訪問控制列表)兩種常用的交換機安全功能。

        端口安全

        端口安全的基本功能就是根據(jù)交換機所轉發(fā)的二層數(shù)據(jù)包中的MAC地址來對網(wǎng)絡流量進行管理和控制,只允許經(jīng)過授權的MAC地址或者符合控制策略的MAC地址通過本端口通信,其他MAC地址發(fā)送的數(shù)據(jù)包經(jīng)過此端口時,端口安全特性會按照特定的策略進行阻止。使用端口安全特性可以防止未經(jīng)授權的設備接入網(wǎng)絡,起到一定的終端安全防護作用;另外,端口安全特性也可用于防止MAC地址泛洪而造成MAC地址轉發(fā)表溢出。

        下面給出一個常用的示例場景:某公司人數(shù)不多,大概三十人的規(guī)模,利用1臺48口的思科3560交換機作為用戶接入,公司對于信息安全非常重視,為防止其他不安全的終端接入網(wǎng)絡,規(guī)定每個員工只允許一臺辦公電腦通過交換機端口接入網(wǎng)絡,但是少數(shù)員工為方便自己使用公司網(wǎng)絡資源,私自利用集線器擴展接入點,接入無線路由器、筆記本等其他終端,給公司的信息安全帶來很大的隱患。

        在行政管理手段無法奏效的情況下,公司領導要求網(wǎng)絡管理人員利用技術手段徹底屏蔽這種私接,保障內網(wǎng)安全。其實對于這種典型的終端安全管理問題,引進基于802.1X技術的準入控制產品即可迎刃而解,但是公司領導明確要求不能花錢,必須利用公司現(xiàn)有的設備和技術去解決這個問題。

        所以經(jīng)過分析上述需求,其實就是要求交換機端口與辦公電腦做到一一對應的關系,可利用接入交換機上的端口安全技術輕松解決。

        簡單來說就是將辦公電腦的MAC地址與交換機的端口進行靜態(tài)綁定。首先,需要統(tǒng)計公司辦公電腦和交換機端口的接入對應關系,以及每臺辦公電腦的MAC地址。由于公司人數(shù)不多,統(tǒng)計相對簡單,最終整理出辦公電腦MAC地址與交換機端口的對照表即可;其次,在接入交換機上啟用端口安全,實施綁定策略,具體操作如下所示:

        當端口接收到違反策略的MAC地址流量時,可以配置三種違規(guī)處理動作:

        Protect:直接丟棄違規(guī)的MAC地址流量,但不會創(chuàng)建日志消息。

        Restrict:直接丟棄違規(guī)的MAC地址流量,創(chuàng)建日志消息并發(fā)送SNMP Trap消息。

        Shutdown:默認選項,將端口置于err-disabled狀態(tài),創(chuàng)建日志消息并發(fā)送SNMP Trap消息,需要手動恢復或者使用errdisable recovery特性重新開啟該端口。

        通過在接入交換機每個端口上重復配置上述命令,即可徹底杜絕私接非法終端的行為,而且不需要花錢購買任何商業(yè)產品。如果用戶私接終端,那么就會觸發(fā)交換機的端口安全機制,自動將該端口關閉,只有通過網(wǎng)絡管理人員才能重新開啟。這樣就能嚴格規(guī)范用戶的網(wǎng)絡接入行為,保障了公司的信息安全,實現(xiàn)了技術與管理的深度融合。

        訪問控制列表

        訪問控制是實施網(wǎng)絡安全防護的基本策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問,它是保障網(wǎng)絡安全最重要的核心策略之一。訪問控制列表是應用在網(wǎng)絡設備接口的訪問控制指令的集合。這些指令集合通過數(shù)據(jù)包匹配,告訴網(wǎng)絡設備哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包應該拒絕,匹配條件包括源地址、目的地址、源端口、目的端口、優(yōu)先級等。

        如果合理利用,訪問控制列表不僅可以控制網(wǎng)絡流量,更能夠起到保護網(wǎng)絡設備、服務器、應用系統(tǒng)的關鍵作用,作為進入企業(yè)內網(wǎng)的首道關卡,網(wǎng)絡設備上的訪問控制列表成為保護內網(wǎng)安全的有效手段。此外,在網(wǎng)絡設備的許多其他配置任務中都需要使用訪問控制列表,如Routemap策略路由、網(wǎng)絡地址轉換、路由重分布等等。

        訪問控制列表主要包括標準ACL和擴展ACL兩類。標準ACL匹配IP數(shù)據(jù)包里的源地址,可對匹配成功的數(shù)據(jù)包采取permit和deny兩種操作,標準ACL的編號范圍是從1到99;擴展ACL比標準ACL具備更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口等,擴展ACL的編號范圍是從100到1999。由于擴展ACL具備更精細的網(wǎng)絡防護功能,在企業(yè)實際應用中更為普遍,下面給出一個擴展ACL應用的場景:

        某大型企業(yè),用戶近千人,擁有自建數(shù)據(jù)中心,數(shù)據(jù)中心有近百臺服務器提供各類業(yè)務應用給用戶訪問;企業(yè)整體網(wǎng)絡架構是典型的“核心-匯聚-接入”三層架構,通過VLAN技術進行邏輯網(wǎng)絡隔離,其中服務器在192.168.1.0/24網(wǎng) 段,屬 于 VLAN2,用戶分 布 在192.168.4.0/24,192.168.5.0/24,192.168.6.0/24和192.168.7.0/24四個網(wǎng)段,分別屬于VLAN3,VLAN4,VLAN5和VLAN6。由于業(yè)務數(shù)據(jù)的保密要求較高,該企業(yè)需要實施較為嚴格的信息安全管控手段。在Internet出口處,已經(jīng)部署了防火墻、防毒墻、IPS等防護設備,能夠很好地防護來自Internet的安全威脅,但是由于部署位置的原因,這些高端的安全設備對于來自內網(wǎng)的安全威脅無能為力,為了保障內網(wǎng)服務器及業(yè)務數(shù)據(jù)的安全,公司領導要求僅僅開放業(yè)務系統(tǒng)使用的端口80,443 和 1433,服務器的其他端口全部禁止使用,并且要求盡可能節(jié)約成本。仔細分析,這個問題其實有兩種解決方案:

        1.逐個在每臺服務器防火墻上設置相應的端口訪問控制策略。

        2.在交換機對應端口實施ACL控制,按照策略過濾對應數(shù)據(jù)流量。

        由于數(shù)據(jù)中心服務器數(shù)量較多,第一種方案工作量非常大,而且擴展性也很差,如果未來新添加服務器,還得手動進行設置,達不到“一勞永逸”的效果;而第二種方案則可以很好地規(guī)避上述這些問題,具體操作如下:

        在核心交換機上創(chuàng)建相應的ACL:

        通過上述設置后,核心交換機會根據(jù)port_protect的策略去過濾發(fā)往服務器VLAN2網(wǎng)段的IP數(shù)據(jù)包,只有來自VLAN3、VLAN4、VLAN5和VLAN6網(wǎng)段的用戶能夠訪問業(yè)務系統(tǒng)端口(80,443 和 1433),其他任何數(shù)據(jù)包均會被丟棄。如未來新添加服務器,也不需要再變更任何配置,這種集中式的網(wǎng)絡訪問控制策略降低了網(wǎng)絡管理人員的維護難度。

        總結

        大多數(shù)交換機都具備一定的安全防護功能,無論大型企業(yè)還是中小型企業(yè),均能利用交換機的安全特性靈活實施安全策略,保障企業(yè)網(wǎng)絡安全。交換機作為終端接入的首道關卡,特殊的部署位置決定了交換機在安全防護方面大有可為。網(wǎng)絡管理人員應避免將交換機簡單視為數(shù)據(jù)轉發(fā)工具,充分挖掘其安全特性并加以利用,以實現(xiàn)交換機真正價值。

        猜你喜歡
        功能
        拆解復雜功能
        鐘表(2023年5期)2023-10-27 04:20:44
        也談詩的“功能”
        中華詩詞(2022年6期)2022-12-31 06:41:24
        基層弄虛作假的“新功能取向”
        當代陜西(2021年21期)2022-01-19 02:00:26
        深刻理解功能關系
        鉗把功能創(chuàng)新實踐應用
        關于非首都功能疏解的幾點思考
        基于PMC窗口功能實現(xiàn)設備同步刷刀功能
        懷孕了,凝血功能怎么變?
        媽媽寶寶(2017年2期)2017-02-21 01:21:24
        “簡直”和“幾乎”的表達功能
        中西醫(yī)結合治療甲狀腺功能亢進癥31例
        破了亲妺妺的处免费视频国产| 亚洲视频网站大全免费看| 99久久久无码国产精品秋霞网| 中文字幕无码av激情不卡| 国产日本在线视频| 久久久免费精品国产色夜| 草草影院发布页| 丰满岳妇乱一区二区三区| 国产在线无码免费视频2021| 亚洲在中文字幕乱码熟女| 激情综合五月婷婷久久| 精品淑女少妇av久久免费| 欧美在线资源| 日本高清无卡一区二区三区| 国产网站一区二区三区| 毛片亚洲av无码精品国产午夜| 一本久道久久综合五月丁香| 国产精品久久熟女吞精| 国产激情久久久久影院小草| 午夜无码国产理论在线| 国产精品 精品国内自产拍| 国产一区二区三区在线爱咪咪| 狠狠色噜噜狠狠狠777米奇| av天堂久久天堂av色综合| 91亚洲欧洲日产国码精品| 乳乱中文字幕熟女熟妇| 精品久久久久久久久午夜福利| 国产成人精品三级麻豆| 亚洲午夜久久久精品国产| 精品露脸熟女区一粉嫩av| www射我里面在线观看| 国产精品久久无码不卡黑寡妇| 邻居少妇张开腿让我爽视频| 亚洲人成人无码www| 亚洲 自拍 另类 欧美 综合| 黄 色 成 年 人 网 站免费| 亚洲激情一区二区三区不卡| 中字幕人妻一区二区三区| 人妻无码一区二区在线影院 | 亚洲av一二三区成人影片| 国产成人精品av|