当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 内网要安全 浅谈交换机安全特性

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 内网要安全 浅谈交换机安全特性


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 73 ::
收藏到网摘: n/a

目前网络的安全性能是人们最为关注的问题之一。而其中局域网和企业内部网络当中的安全性更是成为焦点。许多的解决方案被人们提出来解决网络的安全问题。作为网络中应用最为广泛的交换机,如何能开发其安全特性以有效的保护对网络的访问,一些组织和厂商也纷纷提出自己的安全策略。例如现在通过多层交换机特性来提高网络的安全和对带宽的控制已经相当的普遍。随着一些安全特性如访问控制列表(ACL)和802.1x标准已经成为许多厂商产品的标准,一些使用者开始了把它们作为网络设施安全的一个单独增加的层次。
  
  二层的以太网在大多数的商业和其他的组织中是局域网访问的最重要的网络,所以二层交换机的厂商不断的增强交换机的智能性。这种智能交换机可以以IP地址查找数据包,这些数据包存在于网络的三层或者四层当中。许多的二层交换机能够处理基于从二层到四层的数据包流,这样大大提高了交换机的服务质量和网络安全策略。 大部分的局域网交换机厂家如,阿尔卡特,3COM,思科,戴尔,惠普等等已经在他们的交换机产品当中包含了这些特性。
  
  在网络设备厂商看来,加强安全性的交换机是对普通交换机的升级和完善,除了具备一般的功能外,这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。现在,越来越多的用户都表示希望交换机中增加防火墙、VPN、数据加密、身份认证等功能。下面就介绍几种常见的交换机安全策略。
  
  802.1x标准
  
  作为一种局域网的安全特性802.1x可能仍然有许多的用户不是非常了解。并且网络的设计者和管理者通常不是非常广泛的应用这种授权标准。原因非常简单802.1x依赖于Windows XP客户端,唯一的支持这种技术的Windows 桌面操作系统。
  
  IEEE 802.1x协议是一个把网络设备授权给客户的标准。它替代了局域网的目录,例如微软的活动目录, Novell的目录服务器或者轻量目录访问协议服务器。一些安全专家表示,这是一个更加有效的保护局域网安全的措施,因为一些不能登陆目录服务器的客户通常都能够发现并使用网络资源,如打印机,没有安全共享的存储器和对因特网的访问。
  
  一些网络服务管理者表示802.1x非常的实用,但是它的兼容性是它不能广泛使用的一个重要原因。目前有许多人并不采纳802.1x协议,因为很明显如果采用802.1x那些使用Macintosh和Linux的用户将被排斥在外。这些是非常矛盾的一件事情,有非常多的网络设备都支持802.1x协议,但是却只有非常少的客户能够使用它。
  
  流量控制技术
  
  把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。 不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。
  
  访问控制列表(ACL)技术
  
  ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

  
  虚拟局域网(VLAN)技术
  
  虚拟局域网是人们非常熟悉的一个交换机功能。也是应用广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
  
  从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:1、基于端口的VLAN划分,2、基于MAC地址的VLAN划分,3、基于路由的VLAN划分。就目前来说,对于VLAN的划分主要采取上述第1、3种方式。
  
  通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。对于采用VLAN技术的网络来说,一