守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍
現(xiàn)在企業(yè)面臨著不法黑客的覬覦和破壞,各種網(wǎng)絡安全漏洞頻出,在人力和物力上都耗費相當?shù)木薮?。那么如何阻擋非法用戶,保?a class="contentlabel" href="http://cafeforensic.com/news/listbylabel/label/企業(yè)">企業(yè)網(wǎng)絡安全應用?如何過濾用戶的通訊信息,保障安全有效的數(shù)據(jù)轉發(fā)呢?除了購買強勁的網(wǎng)絡安全設備外,其實交換機的安全配置也相當重要,那么一些簡單常用卻又十分有效的交換機安全設置就很應該引起大家的注意并加以使用了,下面就一起來看看容易被我們忽略掉的“秘籍”吧。
秘籍一:基于端口訪問控制的802.1X
IEEE802.1X協(xié)議技術是一種在有線LAN或WLAN中都得到了廣泛應用的,可有效阻止非法用戶對局域網(wǎng)接入的技術。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運行,運行于網(wǎng)絡中的數(shù)據(jù)鏈路層的EAP協(xié)議和RADIUS協(xié)議。
802.1X配置界面
IEEE802.1X是一種基于端口的網(wǎng)絡接入控制技術,在LAN設備的物理接入級對接入設備進行認證和控制,此處的物理接入級指的是局域網(wǎng)交換機設備的端口。連接在該類端口上的用戶設備如果能通過認證,就可以訪問LAN內(nèi)的資源;如果不能通過認證,則無法訪問LAN內(nèi)的資源,相當于物理上斷開連接。
802.1X認證涉及三方面
802.1X認證涉及三方面:請求者、認證者和認證服務器。請求者是一個希望接入LAN或WLAN的客戶端設備(如筆記本)。認證者是網(wǎng)絡設備,如以太網(wǎng)交換機或無線接入點。而認證服務器通常是一臺主機上運行的軟件支持RADIUS和EAP協(xié)議。
802.1X有如下的技術優(yōu)勢:
802.1X安全可靠,在二層網(wǎng)絡上實現(xiàn)用戶認證,結合MAC、端口、賬戶、VLAN和密碼等;綁定技術具有很高的安全性,在無線局域網(wǎng)網(wǎng)絡環(huán)境中802.1X結合EAP-TLS,EAP-TTLS,可以實現(xiàn)對WEP證書密鑰的動態(tài)分配,克服無線局域網(wǎng)接入中的安全漏洞。
802.1X容易實現(xiàn),它可在普通L3、L2、IPDSLAM上實現(xiàn),網(wǎng)絡綜合造價成本低,保留了傳統(tǒng)AAA認證的網(wǎng)絡架構,可以利用現(xiàn)有的RADIUS設備。
802.1X簡潔高效,純以太網(wǎng)技術內(nèi)核,保持了IP網(wǎng)絡無連接特性,不需要進行協(xié)議間的多層封裝,去除了不必要的開銷和冗余;消除網(wǎng)絡認證計費瓶頸和單點故障,易于支持多業(yè)務和新興流媒體業(yè)務。
802.1X應用靈活,它可以靈活控制認證的顆粒度,用于對單個用戶連接、用戶ID或者是對接入設備進行認證,認證的層次可以進行靈活的組合,滿足特定的接入技術或者是業(yè)務的需要。
在行業(yè)標準方面,802.1X的IEEE標準和以太網(wǎng)標準同源,可以實現(xiàn)和以太網(wǎng)技術的無縫融合,幾乎所有的主流數(shù)據(jù)設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對該協(xié)議的支持。
但是需要注意的是,雖然IEEE802.1X定義了基于端口的網(wǎng)絡接入控制協(xié)議,該協(xié)議僅適用于接入設備與接入端口間點到點的連接方式,其中端口可以是物理端口,也可以是邏輯端口。典型的應用方式有:局域網(wǎng)交換機的一個物理端口僅連接一個終端基站,這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。
秘籍二:進行L2-L4層的安全過濾
現(xiàn)在,大多數(shù)的新型交換機都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求,這也是企業(yè)網(wǎng)管對交換機進行數(shù)據(jù)傳輸前的必要設置過程。
規(guī)則設置有兩種模式,一種是MAC模式,即常用的MAC地址過濾,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離。
可使用MAC地址過濾或IP地址過濾進行端口綁定
MAC地址是底層網(wǎng)絡來識別和尋找目標終端的標示,每個接入網(wǎng)絡的設備都有一個唯一的MAC地址。這樣就可保證所有接入無線網(wǎng)絡的終端都有唯一的不同的MAC地址,而MAC地址過濾技術就有了理論上的可行性。
通過設置MAC訪問控制,來啟用對接入設備的MAC訪問控制,這樣其他未經(jīng)允許的設備就無法連入企業(yè)網(wǎng)絡了。
但MAC地址過濾,也并非完美。雖然MAC地址過濾可以阻止非信任的終端設備訪問,但在終端設備試圖連接交換機之前,MAC地址過濾是不會識別出誰是可信任的或誰是非信任的,訪問終端設備仍都可以連接到交換機,只是在做進一步的訪問時,才會被禁止。而且它不能斷開客戶端與交換機的連接,這樣入侵者就可以探到通信,并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進行監(jiān)控,一旦授權信任的用戶沒有出現(xiàn),入侵者就使用授權用戶的MAC地址來進行訪問。
因此僅僅依靠MAC地址過濾是不夠的,企業(yè)必須啟用盡可能多方面的安全防護手段來保護自身的網(wǎng)絡。
另一種是IP模式,即IP地址過濾模式,企業(yè)用戶可以通過源IP、目的IP、協(xié)議、源應用端口及目的應用端口過濾數(shù)據(jù)封包。
IP地址過濾界面
使用IP地址過濾可以拒絕或允許局域網(wǎng)中計算機與互聯(lián)網(wǎng)之間的通信,并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號,簡單直接。
交換機相關文章:交換機工作原理
評論