對于交換機(jī)六種安全設(shè)置問題�,大家都很感興趣。在向大家詳細(xì)介紹交換機(jī)六種安全設(shè)置之前��,首先讓大家了解下L2-L4 層過濾��,802.1X 基于端口的訪問控制���。
交換機(jī)六種安全設(shè)置:L2-L4 層過濾
現(xiàn)在的新型交換機(jī)大都可以通過建立規(guī)則的方式來實(shí)現(xiàn)各種過濾需求�。規(guī)則設(shè)置有兩種模式�,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離�,另一種是IP模式,可以通過源IP���、目的IP��、協(xié)議�����、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包����。
建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上�����,則當(dāng)交換機(jī)六種安全設(shè)置此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)�,根據(jù)過濾規(guī)則來過濾封包,決定是轉(zhuǎn)發(fā)還是丟棄��。另外���,交換機(jī)六種安全設(shè)置通過硬件"邏輯與非門"對過濾規(guī)則進(jìn)行邏輯運(yùn)算����,實(shí)現(xiàn)過濾規(guī)則確定,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率�����。
交換機(jī)六種安全設(shè)置:802.1X 基于端口的訪問控制
為了阻止非法用戶對局域網(wǎng)的接入���,保障網(wǎng)絡(luò)的安全性�,基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應(yīng)用����。例如華碩最新的 GigaX2024/2048等新一代交換機(jī)產(chǎn)品不僅僅支持802.1X 的Local、RADIUS 驗(yàn)證方式�����,而且支持802.1X 的Dynamic VLAN 的接入�����,即在VLAN和802.1X 的基礎(chǔ)上����。
持有某用戶賬號的用戶無論在網(wǎng)絡(luò)內(nèi)的何處接入��,都會超越原有802.1Q 下基于端口VLAN 的限制���,始終接入與此賬號指定的VLAN組內(nèi)�����,這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動用戶對資源的應(yīng)用提供了靈活便利����,同時(shí)又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性。
另外����, GigaX2024/2048 交換機(jī)還支持802.1X的Guest VLAN功能,即在802.1X的應(yīng)用中��,如果端口指定了Guest VLAN項(xiàng)����,此端口下的接入用戶如果認(rèn)證失敗或根本無用戶賬號的話,會成為Guest VLAN 組的成員�,可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源,這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資源,并為整個(gè)網(wǎng)絡(luò)提供了一個(gè)最外圍的接入安全����。
交換機(jī)六種安全設(shè)置:流量控制(traffic control)
交換機(jī)六種安全設(shè)置的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機(jī)六種安全設(shè)置帶寬的異常負(fù)荷�,并可提高系統(tǒng)的整體效能,保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行����。
交換機(jī)六種安全設(shè)置:SNMP v3 及SSH
安全網(wǎng)管SNMP v3 提出全新的體系結(jié)構(gòu),將各版本的SNMP 標(biāo)準(zhǔn)集中到一起�,進(jìn)而加強(qiáng)網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶的安全模型��,即USM.USM對網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的��。
具體地說就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱(userNmae)權(quán)威引擎標(biāo)識符(EngineID)來決定(推薦加密協(xié)議CBCDES�,認(rèn)證協(xié)議HMAC-MD5-96 和HMAC-SHA-96),通過認(rèn)證����、加密和時(shí)限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證�、數(shù)據(jù)保密和消息時(shí)限服務(wù),從而有效防止非授權(quán)用戶對管理信息的修改�����、偽裝和竊聽。
至于通過Telnet 的遠(yuǎn)程網(wǎng)絡(luò)管理��,由于Telnet 服務(wù)有一個(gè)致命的弱點(diǎn)——它以明文的方式傳輸用戶名及口令�,所以,很容易被別有用心的人竊取口令����,受到攻擊����,但采用SSH進(jìn)行通訊時(shí),用戶名及口令均進(jìn)行了加密���,有效防止了對口令的竊聽��,便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理�����。
交換機(jī)六種安全設(shè)置:Syslog和Watchdog
交換機(jī)的Syslog 日志功能可以將系統(tǒng)錯誤���、系統(tǒng)配置�、狀態(tài)變化����、狀態(tài)定期報(bào)告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器�����,網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況����,及早發(fā)現(xiàn)問題,及時(shí)進(jìn)行配置設(shè)定和排障����,保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。
Watchdog 通過設(shè)定一個(gè)計(jì)時(shí)器�����,如果設(shè)定的時(shí)間間隔內(nèi)計(jì)時(shí)器沒有重啟���,則生成一個(gè)內(nèi)在CPU重啟指令����,使設(shè)備重新啟動,這一功能可使交換機(jī)在緊急故障或意外情況下時(shí)可智能自動重啟���,保障網(wǎng)絡(luò)的運(yùn)行�����。
交換機(jī)六種安全設(shè)置:雙映像文件
一些最新的交換機(jī)�����, 像A S U SGigaX2024/2048還具備雙映像文件����。這一功能保護(hù)設(shè)備在異常情況下(固件升級失敗等)仍然可正常啟動運(yùn)行����。文件系統(tǒng)分majoy和 mirror兩部分進(jìn)行保存����,如果一個(gè)文件系統(tǒng)損害或中斷,另外一個(gè)文件系統(tǒng)會將其重寫�,如果兩個(gè)文件系統(tǒng)都損害,則設(shè)備會清除兩個(gè)文件系統(tǒng)并重寫為出廠時(shí)默認(rèn)設(shè)置��,確保系統(tǒng)安全啟動運(yùn)行。
關(guān)鍵詞標(biāo)簽:交換機(jī)
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置