摘要:現(xiàn)在的新型交換機(jī)大都可以通過(guò)建立規(guī)則的方式來(lái)實(shí)現(xiàn)各種過(guò)濾需求,。規(guī)則設(shè)置有兩種模式,,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離,,另一種是lank">IP模式,可以通過(guò)源IP,、目的IP,、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過(guò)濾數(shù)據(jù)封包……
L2-L4層過(guò)濾
現(xiàn)在的新型交換機(jī)大都可以通過(guò)建立規(guī)則的方式來(lái)實(shí)現(xiàn)各種過(guò)濾需求,。規(guī)則設(shè)置有兩種模式,,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離,,另一種是IP模式,,可以通過(guò)源IP、目的IP,、協(xié)議,、源應(yīng)用端口及目的應(yīng)用端口過(guò)濾數(shù)據(jù)封包;建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上,則當(dāng)交換機(jī)此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時(shí),,根據(jù)過(guò)濾規(guī)則來(lái)過(guò)濾封包,,決定是轉(zhuǎn)發(fā)還是丟棄。另外,,交換機(jī)通過(guò)硬件“邏輯與非門”對(duì)過(guò)濾規(guī)則進(jìn)行邏輯運(yùn)算,,實(shí)現(xiàn)過(guò)濾規(guī)則確定,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率,。
802.1X基于端口的訪問(wèn)控制
為了阻止非法用戶對(duì)局域網(wǎng)的接入,,保障網(wǎng)絡(luò)的安全性,基于端口的訪問(wèn)控制協(xié)議802.1X無(wú)論在有線LAN或WLAN中都得到了廣泛應(yīng)用,。新一代交換機(jī)產(chǎn)品不僅僅支持802.1X的Local,、RADIUS驗(yàn)證方式,而且支持802.1X的Dynamic VLAN 的接入,,即在VLAN和802.1X 的基礎(chǔ)上,,持有某用戶賬號(hào)的用戶無(wú)論在網(wǎng)絡(luò)內(nèi)的何處接入,都會(huì)超越原有802.1Q 下基于端口VLAN 的限制,,始終接入與此賬號(hào)指定的VLAN組內(nèi),,這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動(dòng)用戶對(duì)資源的應(yīng)用提供了靈活便利,同時(shí)又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性;另外,, 在802.1X的應(yīng)用中,,如果端口指定了Guest VLAN項(xiàng),,此端口下的接入用戶如果認(rèn)證失敗或根本無(wú)用戶賬號(hào)的話,會(huì)成為Guest VLAN 組的成員,,可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源,,這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開(kāi)放最低限度的資源,并為整個(gè)網(wǎng)絡(luò)提供了一個(gè)最外圍的接入安全,。
流量控制(trafficcontrol)
交換機(jī)的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包,、組播數(shù)據(jù)包及因目的地址錯(cuò)誤的單播數(shù)據(jù)包數(shù)據(jù)流量過(guò)大造成交換機(jī)帶寬的異常負(fù)荷,并可提高系統(tǒng)的整體效能,,保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行,。
SNMPv3及SSH
安全網(wǎng)管SNMPv3提出全新的體系結(jié)構(gòu),將各版本的SNMP標(biāo)準(zhǔn)集中到一起,,進(jìn)而加強(qiáng)網(wǎng)管安全性,。SNMP v3 建議的安全模型是基于用戶的安全模型,即USM.USM對(duì)網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的,,具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱(userNmae)權(quán)威引擎標(biāo)識(shí)符(EngineID)來(lái)決定(推薦加密協(xié)議CBCDES,,認(rèn)證協(xié)議HMAC-MD5-96 和HMAC-SHA-96),通過(guò)認(rèn)證,、加密和時(shí)限提供數(shù)據(jù)完整性,、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時(shí)限服務(wù),,從而有效防止非授權(quán)用戶對(duì)管理信息的修改,、偽裝和竊聽(tīng)。
至于通過(guò)Telnet的遠(yuǎn)程網(wǎng)絡(luò)管理,,由于Telnet服務(wù)有一個(gè)致命的弱點(diǎn)——它以明文的方式傳輸用戶名及口令,,所以,很容易被別有用心的人竊取口令,,受到攻擊,,但采用SSH進(jìn)行通訊時(shí),用戶名及口令均進(jìn)行了加密,,有效防止了對(duì)口令的竊聽(tīng),,便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。
Syslog和Watchdog
交換機(jī)的Syslog日志功能可以將系統(tǒng)錯(cuò)誤,、系統(tǒng)配置,、狀態(tài)變化、狀態(tài)定期報(bào)告,、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器,,網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況,及早發(fā)現(xiàn)問(wèn)題,及時(shí)進(jìn)行配置設(shè)定和排障,,保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行,。
Watchdog通過(guò)設(shè)定一個(gè)計(jì)時(shí)器,如果設(shè)定的時(shí)間間隔內(nèi)計(jì)時(shí)器沒(méi)有重啟,,則生成一個(gè)內(nèi)在CPU重啟指令,,使設(shè)備重新啟動(dòng),這一功能可使交換機(jī)在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟,,保障網(wǎng)絡(luò)的運(yùn)行,。