掌握交換機設(shè)定秘籍守護網(wǎng)絡(luò)安全
現(xiàn)在企業(yè)面臨著不法黑客的覬覦和破壞,各種網(wǎng)絡(luò)安全漏洞頻出,在人力和物力上都耗費相當?shù)木薮?。那么如何阻擋非法用戶,保障企業(yè)網(wǎng)絡(luò)安全應(yīng)用?如何過濾用戶的通訊信息,保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)呢?
除了購買強勁的網(wǎng)絡(luò)安全設(shè)備外,其實交換機的安全配置也相當重要,那么一些簡單常用卻又十分有效的交換機安全設(shè)置就很應(yīng)該引起大家的注意并加以使用了,下面就一起來看看容易被我們忽略掉的“秘籍”吧。
秘籍一:基于端口訪問控制的802.1X
IEEE802.1X協(xié)議技術(shù)是一種在有線LAN或WLAN中都得到了廣泛應(yīng)用的,可有效阻止非法用戶對局域網(wǎng)接入的技術(shù)。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運行,運行于網(wǎng)絡(luò)中的數(shù)據(jù)鏈路層的EAP協(xié)議和RADIUS協(xié)議。
802.1X配置界面
IEEE802.1X是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),在LAN設(shè)備的物理接入級對接入設(shè)備進行認證和控制,此處的物理接入級指的是局域網(wǎng)交換機設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過認證,就可以訪問LAN內(nèi)的資源;如果不能通過認證,則無法訪問LAN內(nèi)的資源,相當于物理上斷開連接。
802.1X認證涉及三方面
802.1X認證涉及三方面:請求者、認證者和認證服務(wù)器。請求者是一個希望接入LAN或WLAN的客戶端設(shè)備(如筆記本)。認證者是網(wǎng)絡(luò)設(shè)備,如以太網(wǎng)交換機或無線接入點。而認證服務(wù)器通常是一臺主機上運行的軟件支持RADIUS和EAP協(xié)議。
802.1X有如下的技術(shù)優(yōu)勢:
802.1X安全可靠,在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證,結(jié)合MAC、端口、賬戶、VLAN和密碼等;綁定技術(shù)具有很高的安全性,在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1X結(jié)合EAP-TLS,EAP-TTLS,可以實現(xiàn)對WEP證書密鑰的動態(tài)分配,克服無線局域網(wǎng)接入中的安全漏洞。
802.1X容易實現(xiàn),它可在普通L3、L2、IPDSLAM上實現(xiàn),網(wǎng)絡(luò)綜合造價成本低,保留了傳統(tǒng)AAA認證的網(wǎng)絡(luò)架構(gòu),可以利用現(xiàn)有的RADIUS設(shè)備。
802.1X簡潔高效,純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無連接特性,不需要進行協(xié)議間的多層封裝,去除了不必要的開銷和冗余;消除網(wǎng)絡(luò)認證計費瓶頸和單點故障,易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。
802.1X應(yīng)用靈活,它可以靈活控制認證的顆粒度,用于對單個用戶連接、用戶ID或者是對接入設(shè)備進行認證,認證的層次可以進行靈活的組合,滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。
在行業(yè)標準方面,802.1X的IEEE標準和以太網(wǎng)標準同源,可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對該協(xié)議的支持。
但是需要注意的是,雖然IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議,該協(xié)議僅適用于接入設(shè)備與接入端口間點到點的連接方式,其中端口可以是物理端口,也可以是邏輯端口。典型的應(yīng)用方式有:局域網(wǎng)交換機的一個物理端口僅連接一個終端基站,這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。
秘籍二:進行L2-L4層的安全過濾
現(xiàn)在,大多數(shù)的新型交換機都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求,這也是企業(yè)網(wǎng)管對交換機進行數(shù)據(jù)傳輸前的必要設(shè)置過程。
規(guī)則設(shè)置有兩種模式,一種是MAC模式,即常用的MAC地址過濾,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離。
可使用MAC地址過濾或IP地址過濾進行端口綁定
MAC地址是底層網(wǎng)絡(luò)來識別和尋找目標終端的標示,每個接入網(wǎng)絡(luò)的設(shè)備都有一個唯一的MAC地址。這樣就可保證所有接入無線網(wǎng)絡(luò)的終端都有唯一的不同的MAC地址,而MAC地址過濾技術(shù)就有了理論上的可行性。
通過設(shè)置MAC訪問控制,來啟用對接入設(shè)備的MAC訪問控制,這樣其他未經(jīng)允許的設(shè)備就無法連入企業(yè)網(wǎng)絡(luò)了。
但MAC地址過濾,也并非完美。雖然MAC地址過濾可以阻止非信任的終端設(shè)備訪問,但在終端設(shè)備試圖連接交換機之前,MAC地址過濾是不會識別出誰是可信任的或誰是非信任的,訪問終端設(shè)備仍都可以連接到交換機,只是在做進一步的訪問時,才會被禁止。而且它不能斷開客戶端與交換機的連接,這樣入侵者就可以探到通信,并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進行監(jiān)控,一旦授權(quán)信任的用戶沒有出現(xiàn),入侵者就使用授權(quán)用戶的MAC地址來進行訪問。
因此僅僅依靠MAC地址過濾是不夠的,企業(yè)必須啟用盡可能多方面的安全防護手段來保護自身的網(wǎng)絡(luò)。
另一種是IP模式,即IP地址過濾模式,企業(yè)用戶可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包。
IP地址過濾界面
使用IP地址過濾可以拒絕或允許局域網(wǎng)中計算機與互聯(lián)網(wǎng)之間的通信,并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號,簡單直接。
最后,建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上,當交換機在此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時,根據(jù)過濾規(guī)則來過濾封包,決定是轉(zhuǎn)發(fā)還是丟棄。另外,交換機通過硬件“邏輯與非門”對過濾規(guī)則進行邏輯運算,實現(xiàn)過濾規(guī)則確定,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。
秘籍三:強化安全SNMPv3及SSH協(xié)議
更為完善的SNMPv3協(xié)議
SNMPv1和v2版本對用戶權(quán)力的惟一限制是訪問口令,而沒有用戶和權(quán)限分級的概念,只要提供相應(yīng)的口令,就可以對設(shè)備進行read或read/write操作,安全性相對來的薄弱。而SNMPv3則采用了新的SNMP擴展框架,它將各版本的SNMP標準集中到一起,在此架構(gòu)下,安全性和管理上有很大的提高。
SNMPv3工作原理
SNMPv3是在SNMPv2基礎(chǔ)之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設(shè)計思想,使管理者可以簡單地實現(xiàn)功能的增加和修改。其主要特點在于適應(yīng)性強,可適用于多種操作環(huán)境,不僅可以管理最簡單的網(wǎng)絡(luò),實現(xiàn)基本的管理功能,還能夠提供強大的網(wǎng)絡(luò)管理功能,滿足復(fù)雜網(wǎng)絡(luò)的管理需求。
評論