交换机安全防范技术
“aha219”通过精心收集,向本站投稿了6篇交换机安全防范技术,以下是小编帮大家整理后的交换机安全防范技术,供大家参考借鉴,希望可以帮助到您。
篇1:交换机安全防范技术(二)
上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术,本期将继续为您介绍交换机常用的安全防范技术,以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。
流量及端口限速控制技术
为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术。
配置端口流量阈值
通过配置端口流量阈值,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式:
flow-constrain time-value flow-value { bps | pps }
flow-constrain method { shutdown | trap }
流量监管
流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。
端口限速
端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。
TCP属性及CPU负载控制技术
扫描、蠕虫病毒等都会引起过多TCP连接,CPU负载过重与此也有关系,适当地调整交换机的TCP属性和送达CPU的报文,可以有效地降低CPU负载。
配置TCP 属性
synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接将被终止。synwait定时器的超时时间取值范围为2~600秒,缺省值为75秒:
tcp timer syn-timeout time-value
finwait定时器:当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时,启动finwait 定时器,如果finwait定时器超时前仍未收到FIN报文,则TCP连接被终止。finwait的取值范围为76~3600秒,finwait的缺省值为675秒:
tcp timer fin-timeout time-value
面向连接Socket的接收和发送缓冲区的大小:范围为1~32K字节,缺省值为4K字节:
tcp window window-size
配置特殊IP报文是否送CPU处理
在交换机的IP报文转发过程中,通常重定向、TTL超时及路由不可达的报文会送到CPU,CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击,则会造成CPU负载过重,这时便可通过下面的命令设置相应报文不送CPU处理,以保护系统的正常运行。缺省情况下,重定向、路由不可达的报文不送CPU处理,TTL超时报文送CPU处理:
undo ip { redirects | ttl-expires | unreachables }
ARP技术
IP地址不能直接用来进行通信,因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入,也可以手工维护。通常将手工配置的IP地址到MAC地址的映射,称之为静态ARP。
免费ARP技术通过对外发送免费ARP报文,防止通过各种ARP欺骗手段产生的攻击。
动态ARP老化定时器
交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间,若定时器超时,就将该表项从地址表中删除。缺省情况下,动态ARP老化定时器为20分钟:
arp timer aging aging-time
免费ARP技术
免费ARP功能:网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突,
如果发送免费ARP报文的设备正好改变了硬件地址,那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如:设备收到一个免费ARP报文后,如果高速缓存中已存在此报文对应的ARP表项,那么此设备就用免费ARP报文中携带的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。
免费ARP报文的特点:报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。缺省情况下,交换机的免费ARP报文发送功能处于开启状态,免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下:
arp send-gratuitous enable
gratuitous-arp-learning enable
登录和访问交换机控制技术
目前,以太网交换机提供了多种用户登录、访问设备的方式,主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性,防止非法用户登录、访问交换机设备。
安全控制分为两级:第一级安全通过控制用户的连接实现,通过配置ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接;第二级安全主要通过用户口令认证实现,连接到设备的用户必须通过口令认证才能真正登录到设备。
设置口令
为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面(AUX用户界面用于通过Console口对以太网交换机进行访问,VTY用户界面用于通过Telnet对以太网交换机进行访问)设置口令,包括容易忽略的SNMP的访问口令(一定不要用public的默认口令 )和Boot Menu口令,同时设置登录和访问的默认级别和切换口令。
在不同登录和访问的用户界面,使用如下命令设置口令:
authentication-mode password
set authentication password { cipher | simple } password
配置ACL对登录用户进行过滤
通过配置ACL对登录用户进行过滤控制,可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。
配置举例及步骤:仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机:
# 定义基本访问控制列表。
[Quidway] acl number match-order config
[Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0
[Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0
[Quidway-acl-basic-2008] quit
# 引用访问控制列表。
[Quidway] user-interface vty 0 4
[Quidway-user-interface-vty0-4] acl 2008 inbound
镜像技术
以太网交换机提供基于端口和流的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除(以S6500系列为例):
mirroring-group groupId { inbound | outbound } mirroring-port-list 1-8 mirrored-to mornitor-port
由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征,考虑局域网的实际情况,综合采用上述技术中的某几种,在接入层、汇聚层交换机上分级配置,可以在一定程度上自动阻断恶意数据包,及时告警,准确定位病毒源、故障或干扰点,及时采取措施,把对局域网的危害减轻到尽可能小的程度。
篇2:交换机安全防范技术(下)(一)
流量及端口限速控制技术
为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术,
配置端口流量阈值
通过配置端口流量阈值,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式:
flow-constrain time-value flow-value { bps | pps } flow-constrain method { shutdown | trap }
流量监管
流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。
端口限速
端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。
TCP属性及CPU负载控制技术
扫描、蠕虫病毒等都会引起过多TCP连接,CPU负载过重与此也有关系,适当地调整交换机的TCP属性和送达CPU的报文,可以有效地降低CPU负载。
配置TCP 属性
synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接将被终止。synwait定时器的超时时间取值范围为2~600秒,缺省值为75秒:
tcp timer syn-timeout time-value
finwait定时器:当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时,启动finwait 定时器,如果finwait定时器超时前仍未收到FIN报文,则TCP连接被终止。finwait的取值范围为76~3600秒,finwait的缺省值为675秒:
tcp timer fin-timeout time-value
面向连接Socket的接收和发送缓冲区的大小:范围为1~32K字节,缺省值为4K字节:
tcp window window-size
配置特殊IP报文是否送CPU处理
在交换机的IP报文转发过程中,通常重定向、TTL超时及路由不可达的报文会送到CPU,CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击,则会造成CPU负载过重,这时便可通过下面的命令设置相应报文不送CPU处理,以保护系统的正常运行。缺省情况下,重定向、路由不可达的报文不送CPU处理,TTL超时报文送CPU处理:
undo ip { redirects | ttl-expires | unreachables }
ARP技术
IP地址不能直接用来进行通信,因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入,也可以手工维护。通常将手工配置的IP地址到MAC地址的映射,称之为静态ARP。
免费ARP技术通过对外发送免费ARP报文,防止通过各种ARP欺骗手段产生的攻击。
动态ARP老化定时器
交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间,若定时器超时,就将该表项从地址表中删除。缺省情况下,动态ARP老化定时器为20分钟:
arp timer aging aging-time
免费ARP技术
免费ARP功能:网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突,
如果发送免费ARP报文的设备正好改变了硬件地址,那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如:设备收到一个免费ARP报文后,如果高速缓存中已存在此报文对应的ARP表项,那么此设备就用免费ARP报文中携带的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。
免费ARP报文的特点:报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。缺省情况下,交换机的免费ARP报文发送功能处于开启状态,免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下:
arp send-gratuitous enable gratuitous-arp-learning enable
登录和访问交换机控制技术
目前,以太网交换机提供了多种用户登录、访问设备的方式,主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性,防止非法用户登录、访问交换机设备。
安全控制分为两级:第一级安全通过控制用户的连接实现,通过配置ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接;第二级安全主要通过用户口令认证实现,连接到设备的用户必须通过口令认证才能真正登录到设备。
设置口令
为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面(AUX用户界面用于通过Console口对以太网交换机进行访问,VTY用户界面用于通过Telnet对以太网交换机进行访问)设置口令,包括容易忽略的SNMP的访问口令(一定不要用“public”的默认口令 )和Boot Menu口令,同时设置登录和访问的默认级别和切换口令。
在不同登录和访问的用户界面,使用如下命令设置口令:
authentication-mode passwordset authentication password { cipher | simple } password
配置ACL对登录用户进行过滤
通过配置ACL对登录用户进行过滤控制,可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。
配置举例及步骤:仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机:
# 定义基本访问控制列表。 acl number 2008 match-order config rule 1 permit source 10.10.1.66 0 rule 2 permit source 10.10.1.78 0 quit# 引用访问控制列表。 user-interface vty 0 4 acl 2008 inbound
镜像技术
以太网交换机提供基于端口和流的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除(以S6500系列为例):
mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8> mirrored-to mornitor-port
由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征,考虑局域网的实际情况,综合采用上述技术中的某几种,在接入层、汇聚层交换机上分级配置,可以在一定程度上自动阻断恶意数据包,及时告警,准确定位病毒源、故障或干扰点,及时采取措施,把对局域网的危害减轻到尽可能小的程度。
篇3:安全技术防范工程质量管理制度
安全技术防范工程质量管理制度
一、为加强我公司安全技术防范工程的质量管理,特制定此制度,由9月9日起实行。
二、本公司的安全技术防范工程之质量管理工作由总经理直接领导,具体负责部门为工程技术部,其他部门进行配合。
三、本公司安防工程的质量管理工作包括以下几方面:
1.设计方案的质量管理;
2.器材与材料的质量管理;
3.工程实施的质量管理;
4.系统维护及维修保养的质量管理。
四、设计方案的质量管理
1.设计方案的质量管理工作,由工程技术部负责实施,其他相关部门配合。
2.设计质量保证体系:
3.设计前业务人员应该提交尽可能详尽的设计委托书,使得设计人员清楚明白用户的需求、现场条件以及设计目标。有可能的情况下,还应与设计人员一起实地考察现场,与用户深入沟通,确保设计的工程方案可以达到用户的要求。
4.设计人员必须遵循国家相关标准和法规,制定出科学合理的系统方案,必须符合建设单位的使用要求,可以达到国定相关规定的检验要求。
5.设计的方案中,选用的专业器材必须是通过公安部门检测的持有生产许可证的合格产品。
五、器材与材料的质量管理
1.建立供应商档案,包括:所代物资的资质证明、合格证、检验试验报告、价格、功能、质量等有关资料并进行综合分析,分类建立供应商信息档案。选择合格的供应商。
2.采购部必须确保采购的器材与材料符合工程需要,达到国家有关部门的要求,技防工程专用的专业器材必须选用通过公安部门检测的`合格产品。
3.工程技术部必须对采购回来的器材和设备进行质量把关,对主机等关键设备必须要检查合格后才能送往工地现场调试。
4.根据设计要求和施工组织设计的规定,按质、按时、按期采购材料设备,保障按质、按量、按时供应到施工现场。做到材料、设备质量证明文件的收集,并保证真实、齐全、完整与工程施工同步。
六、工程实施的质量管理
1.工程技术部在工程开工前,设计人员必须将技术交底卡提前交给施工班组的负责人,明确相关工程质量与技术要求。
2.施工质量标准和技术规程
gb50348-xx安全防范工程技术规范
ga308―xx安全防范系统验收规则
ga/t74―xx安全防范系统通用图形符号
ga/t75―1994安全防范工程程序与要求
ga/t70―xx安全防范工程费用预算编制办法
ga/t367―xx视频安防监控系统技术要求
ga/t368―xx入侵报警系统技术要求
ga/t394―xx出入口控制系统技术要求
ga/t269―xx黑白可视对讲系统
ga/t72―1994楼寓对讲电控防盗门通用技术条件
ga38―xx银行营业场所风险等级和防护级别的规定
gb/t16676―银行营业场所安全防范工程设计规范
3.施工质量管理体系
4.工程实施过程中,必须狠抓工程质量,落实设计方案中的各项质量要求,以确保没有工程质量隐患。
5.所有线材及材料必须经过现场检测后才能入管布线,不能达到使用要求的、有故障隐患的材料绝对不可以勉强使用。
6.布线工程完成后,必须经过检测后才可以通电试机。不能通过检测的必须找出原因,排除后才能通电试机。
1 27.调试过程中,必须按照相关标准进行测试,确保将合格的系统交付给用户使用,未能通过的项目,必须与设计人员一起找出原因所在,排除后再行检测,通过后才可以投入试运行。
8.做好工程实施过程中的各项记录,为以后的系统维护工作打好基础。
七、系统维护及维修保养的质量管理
1.工程完成后,售后服务部必须协同工程技术部做好工程技术资料的交接工作。
2.建立系统维护工作档案,按照公司的其他相关规定,落实好系统维护的日常例行工作,强化各种周期性的例行检查。
3.建立维修工作记录卡,按照公司制定的相关措施,保障维修保养工作的高效运作。
4.按照国家相关规定落实保修工作,可尽量减少由于保修工作对用户所造成的不便。
八、以上各项系统质量管理制度,如有不明确之处,由工程技术部负责解释。
【1】【2】篇4:安全防范技术专业简历
安全防范技术专业简历模板
个人资料
姓 名:
性 别:
出生年月:
工作经验:
毕业年月:
最高学历:
毕业学院:
所修专业:
居 住 地:
籍 贯:
求职概况 / 求职意向
职位类型: 全职
期望月薪: 面议
期望地点: 四川省 成都市 ,四川省 德阳市 ,四川省 成都市
期望职位: 安防技术员
意向概述: 与安防相关的公司
教育经历
时间 院校 专业 学历
9月 - 6月 四川司法警官职业学院 安全防范技术 大专
工作经历/社会实践经历
时间 工作单位 职务
7月 - 208月 四川德阳安防天网集团有限公司 技术员
联系方式
电子邮箱:
手 机:
QQ/MSN:
篇5:交换机堆叠技术
1、catlyst 1900-------大多采用菊花链,(我认为和级联没有区别),但是cisco认为是堆叠,:(
菊花链:顾名思义就使把交换机一个一个串接起来(使用交叉线),
在这种情况下:第一台要和第四台通信,,,必须经过2、3台。可以想象数据在传输的过程中需要转发多次。
位于不同交换机端口的电脑之间通信速度大打折扣。还有影响别的电脑的通信。很容易形成都塞。
switch1----switch2----switch3---switch4
2、catalyst 2900xl---采用专用电缆(fast Etherchannel)和堆叠模块(castlyst 2916mxl--我从根本处买了一台)
大致图:
Catalyst 2900XL
|
|
Catalyst 2900M- XL------ Catalyst 2900XL
| |
| |------Catalyst 2900 XL
|
|
Catalyst 2900 XL
这种堆叠端口的速度和单台是差不多的。
3、Catalyst 3500XL/2900XL的堆叠,可以选用2种堆叠方法:菊花链法(提供1G的带宽)或点对点法(提供 2G的带宽),
a:半双工菊花链
switch----switch----switch---switch---switch
b:半双工菊花链冗余
switch----switch----switch---switch---switch
|______________________________________|
c:点对点法:可以使用3508g-xl将3500xl与2900xl堆叠。
switch----switch----switch---switch---switch
| | | | |
| | | ...... |
| _______| | | ........
| | ---------------| | |
| | |....................| |
switch .......................... |
d:点对点法冗余:可以使用2台3508g-xl将3500xl与2900xl堆叠。
(图不划了,太累)
要用到的:1米长或50厘米长(CAB-GS-1M或CAB-GS-50CM)以及专门的千兆堆叠卡GigaStack GBIC (WS-X3500-XL) (该卡已含CAB-GS-50CM 堆叠电缆)
篇6:技术解析怎样的交换机才是安全?
安全交换机D网络界的新宠儿,网络入口的守关者,志在向一切不安全的因素举起大刀,
网络时代的到来使得安全问题成为一个迫切需要解决的问题;病毒、 以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨。
交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个 入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。
安全交换机三层含义
交换机最重要的作用就是转发数据,在 攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
安全交换机的新功能
802.1x加强安全认证
在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。
802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1. 客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2. 认证系统。在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
流量控制
安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用,
安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
防DDoS
企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。
虚拟局域网VLAN
虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
基于访问控制列表的防火墙功能
安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的安全屏蔽,让 找不到网络中的特定主机进行探测,从而无法发动攻击。
入侵检测IDS
安全交换机的IDS功能可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。实现这种联动,需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
设备冗余也重要
物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
安全交换机的布署
安全交换机的出现,使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心,如同思科Catalyst 6500这个模块化的核心交换机那样,把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略,做到集中控制,而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力,安全性能是一项颇费处理能力的工作,核心交换机做起这个事情来能做到物尽其能。
把安全交换机放在网络的接入层或者汇聚层,是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘,在各个边缘就开始实施安全交换机的性能,把入侵和攻击以及可疑流量堵在边缘之外,确保全网的安全。这样就需要在边缘配备安全交换机,很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样,在核心周围建立起一道坚固的安全防线。
【交换机安全防范技术】相关文章:
2.安全防范警句
6.安全防范整改报告
7.安全防范教学反思
8.校园安全防范心得
10.防范抢劫抢夺安全知识
文档为doc格式
