什么样的交换机是安全的?

安全交换机—网络界的新宠儿,网络入口的守关者,志在向一切不安全的因素举起大刀。
  
  网络时代的到来使得安全问题成为一个迫切需要解决的问题;病毒、黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨。
  
  交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业 安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。
  
  安全交换机三层含义
  
  交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
  
  安全交换机的新功能
  
  802.1x加强安全认证
  
  在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。
  
  802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
  
  802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
  
  在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
  
  1. 客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
  
  2. 认证系统。在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
  
  3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
  
  流量控制
  
  安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
  
  防DDoS
  
  企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。
  
  虚拟局域网VLAN
  
  虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
  
  基于访问控制列表的防火墙功能
  
  安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
  
  ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的安全屏蔽,让黑客找不到网络中的特定主机进行探测,从而无法发动攻击。
  
  入侵检测IDS
  
  安全交换机的IDS功能可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。实现这种联动,需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
  
  设备冗余也重要
  
  物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
  
  安全交换机的布署
  
  安全交换机的出现,使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心,如同思科Catalyst 6500这个模块化的核心交换机那样,把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略,做到集中控制,而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力,安全性能是一项颇费处理能力的工作,核心交换机做起这个事情来能做到物尽其能。
  
  把安全交换机放在网络的接入层或者汇聚层,是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘,在各个边缘就开始实施安全交换机的性能,把入侵和攻击以及可疑流量堵在边缘之外,确保全网的安全。这样就需要在边缘配备安全交换机,很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样,在核心周围建立起一道坚固的安全防线。
  
  安全交换机有时候还不能孤军奋战,如PPPoE认证功能就需要Radius服务器的支持,另外其他的一些交换机能够和入侵检测设备做联动的,就需要其他网络设备或者服务器的支持。
  
  安全交换机的升级
  
  目前市场上出了很多新的安全交换机,它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说,对于模块化的交换机,这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块,如思科Catalyst 6500就带有防火墙模块、入侵检测IDS模块等等安全模块;神州数码的6610交换机配备了PPPoE的认证模块,直接插入老交换机就能让这些“老革命”解决新问题。
  
  如果以前购置的交换机是固定式的交换机,一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。
  
  安全交换机的前景
  
  随着用户对网络环境的需求越来越高,对具备安全功能的交换机的需求也越来越大。很多用户认为,花一定的投资在交换机的安全上,对整个网络健壮性和安全性的提高是值得的。特别是一些行业用户,他们对网络的需求绝非连通即可。如银行、证券以及大型企业,网络病毒爆发一次或者入侵带来的损失,足以超过在安全交换机上的额外投资。安全交换机已经成为交换机市场上的一个新亮点。 文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 交换机如何配置 新手配置交换机详细教程

    首先,我们在配置交换机时应该注意到的是在交换机中设置的IP地址,网关,域名等信息是为用于管理交换机而设置,把这些的配置都配置成功后,就可以为以后的工作途中省了不少事. 3350配置dhcp,网络上多有讨论,但大都存在错漏,按照网上介绍的配置一句"IP HELPER-ADDRESS DHCP服务器地址"后,工程当中发现客户机不能从DHCP服务器获取IP地址. 我最近也刚好配置了3350,作为DHCP服务器中继代理,刚开始也曾困惑很久,后来在网上查找资料及在论坛上寻求众人帮助,终于在工程当

  • 华为各种型号交换机端口镜像配置方法总结

    有不少朋友在问华为交换机镜像方面的问题.通过本人现有的资料和文档,现把各种型号的交换机镜像方法总结一下.以便各位朋友能够方便查阅!在学配置之前,对于端口镜像的基本概念还是要一定的了解! 一.端口镜像概念: Port Mirror(端口镜像)是用于进行网络性能监测.可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断. 二.端口镜像配置 『环境配置参数』 1. PC1接在交换机E0/1

  • Zabbix监控交换机设置方法

    说明: Zabbix监控服务端已经配置完成,现在要使用Zabbix对交换机进行监控. 具体操作: 以下操作在被监控的交换机上进行,这里以Cisco交换机为例. 一.登录到Cisco交换机,开启snmp服务 注意:使用telnet或者仿真终端登录到交换机特权配置模式 enable #切换到特权模式 configure terminal #进入全局配置模式 snmp-server community public ro #打开交换机snmp服务,设置团体名称为public,只读 snmp-serve

  • Python通过RabbitMQ服务器实现交换机功能的实例教程

    快速回顾一下RabbitMQ服务器的安装: sudo apt-get install rabbitmq-server Python使用RabbitMQ需要Pika库: sudo pip install pika 好了,接下来我们先看交换机的工作原理:消息发送端先将消息发送给交换机,交换机再将消息发送到绑定的消息队列,而后每个接收端都能从各自的消息队列里接收到信息. 下面用send.py和receive.py来模拟实现交换机的功能.send.py表示发送端,receive.py表示接收端. rec

  • 详解路由器和交换机的区别

    计算机网络往往由许多种不同类型的网络互连连接而成.如果几个计算机网络只是在物理上连接在一起,它们之间并不能进行通信,那么这种"互连"并没有什么实际意义.因此通常在谈到"互连"时,就已经暗示这些相互连接的计算机是可以进行通信的,也就是说,从功能上和逻辑上看,这些计算机网络已经组成了一个大型的计算机网络,或称为互联网络,也可简称为互联网.互连网.  将网络互相连接起来要使用一些中间设备(或中间系统),ISO的术语称之为中继(relay)系统.根据中继系统所在的层次,可以

  • 详细分析交换机、路由器、集线器的区别和联系

    最近看到很多人在询问交换机.集线器.路由器是什么,功能如何,有何区别,笔者就这些问题简单的做些解答. 首先说HUB,也就是集线器.它的作用可以简单的理解为将一些机器连接起来组成一个局域网.而交换机(又名交换式集线器)作用与集线器大体相同.但是两者在性能上有区别:集线器采用的式共享带宽的工作方式,而交换机是独享带宽.这样在机器很多或数据量很大时,两者将会有比较明显的.而路由器与以上两者有明显区别,它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径 ,可以说一般情况下个人用户需求不大.路由

  • 揪出交换机端口背后“凶手”导致网速太慢

    朋友,你有没有碰到这样的情况:你的网络慢慢地停顿了下来,然而所有的交换机端口都在持续不断地发送数据.你肯定有这样一种感觉:网络中的计算机工作异常,甚至可能遭受到了攻击.你该怎么办呢? 笔者认为第一步需要你打开网络协议分析仪,并捕获从核心路由器发出的数据.从协议分析仪中,你可以看到一个IP地址的数据包正以无法估量的通信量充斥于你的网络.从它的数据包中,你可以得到其MAC地址.你现在需要做得是如何找到这台计算机的位置. 要知道,这台计算机一定连接到机房中交换机的某个端口上.如果我们能够指出某个MAC

  • 忘记密码?实达交换机密码破解之道

    一,网络环境: 公司使用实达的3500系列(具体型号是3548)交换机,在交换机上面连接了一台华为2621路由器,通过电信的光纤上网.由于忘记密码,因此要试图破解它的密码. 二,准备工作: 由于整个工作需要断网,毕竟涉及到重新启动交换机等操作,所以选择时间在工作下班后的晚上23点.另外由于破解密码这类操作都必须使用CONSOLE控制台线来设置,所以地点只能是中心机房.笔者找到了实达3548设备的所有相关工具,包括安装说明与CONSOLE控制线等. 三,实战破解密码: 根据笔者以往经验实达所有设备

  • 交换机故障的一般分类和排障步骤

    交换机的优越性能和价格的大幅度下降,促使了交换机的迅速普及.网络管理员在工作中经常会遇到各种各样的交换机故障,如何迅速.准确地查出故障并排除故障呢?本文就常见的故障类型和排障步骤做一个简单的介绍.由于交换机在公司网络中应用范围非常广泛,从低端到中端,从中端到高端,几乎涉及每个级别的产品,所以交换机发生故障的机率比路由器,硬件防火墙等要高很多,这也是为什么我们首先讨论交换机故障的分类与排除故障步骤的原因. 一,交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类.硬件故障主要指交换机电

  • 交换机的“软故障”解决经验

    前两天,我单位网络升级,核心设备采用Intel550系列三层路由交换机.500系列交换机是Intel公司推出的网络交换.路由设备,可以完成网络分段.路由(550T或550FX)以及高性能的二层网络交换(510T.520T).我将两台550FX(两模块插槽+8×100M FX端口)与一台550T(两模块插槽+8×10/100M TX端口)堆叠,使用两块单口堆叠模块和一块六个堆叠口矩阵模块.安装前翻阅了一下说明书,在550FX附带说明书的兼容模块列表中没有六口矩阵堆叠模块,而550T附带说明书的兼容

随机推荐