守護(hù)企業(yè)網(wǎng)絡(luò)安全 掌握交換機(jī)設(shè)定秘籍
標(biāo)簽:交換機(jī)設(shè)定 802.1X認(rèn)證
本文引用地址:http://butianyuan.cn/article/154490.htm現(xiàn)在企業(yè)面臨著不法黑客的覬覦和破壞,各種網(wǎng)絡(luò)安全漏洞頻出,在人力和物力上都耗費(fèi)相當(dāng)?shù)木薮?。那么如何阻擋非法用戶,保?a class="contentlabel" href="http://butianyuan.cn/news/listbylabel/label/企業(yè)">企業(yè)網(wǎng)絡(luò)安全應(yīng)用?如何過濾用戶的通訊信息,保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)呢?除了購買強(qiáng)勁的網(wǎng)絡(luò)安全設(shè)備外,其實(shí)交換機(jī)的安全配置也相當(dāng)重要,那么一些簡單常用卻又十分有效的交換機(jī)安全設(shè)置就很應(yīng)該引起大家的注意并加以使用了,下面就一起來看看容易被我們忽略掉的“秘籍”吧。
秘籍一:基于端口訪問控制的802.1X
IEEE802.1X協(xié)議技術(shù)是一種在有線LAN或WLAN中都得到了廣泛應(yīng)用的,可有效阻止非法用戶對局域網(wǎng)接入的技術(shù)。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運(yùn)行,運(yùn)行于網(wǎng)絡(luò)中的數(shù)據(jù)鏈路層的EAP協(xié)議和RADIUS協(xié)議。
802.1X配置界面
IEEE802.1X是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),在LAN設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制,此處的物理接入級指的是局域網(wǎng)交換機(jī)設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過認(rèn)證,就可以訪問LAN內(nèi)的資源;如果不能通過認(rèn)證,則無法訪問LAN內(nèi)的資源,相當(dāng)于物理上斷開連接。
802.1X認(rèn)證涉及三方面
802.1X認(rèn)證涉及三方面:請求者、認(rèn)證者和認(rèn)證服務(wù)器。請求者是一個(gè)希望接入LAN或WLAN的客戶端設(shè)備(如筆記本)。認(rèn)證者是網(wǎng)絡(luò)設(shè)備,如以太網(wǎng)交換機(jī)或無線接入點(diǎn)。而認(rèn)證服務(wù)器通常是一臺主機(jī)上運(yùn)行的軟件支持RADIUS和EAP協(xié)議。
802.1X有如下的技術(shù)優(yōu)勢:
802.1X安全可靠,在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證,結(jié)合MAC、端口、賬戶、VLAN和密碼等;綁定技術(shù)具有很高的安全性,在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1X結(jié)合EAP-TLS,EAP-TTLS,可以實(shí)現(xiàn)對WEP證書密鑰的動(dòng)態(tài)分配,克服無線局域網(wǎng)接入中的安全漏洞。
802.1X容易實(shí)現(xiàn),它可在普通L3、L2、IPDSLAM上實(shí)現(xiàn),網(wǎng)絡(luò)綜合造價(jià)成本低,保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu),可以利用現(xiàn)有的RADIUS設(shè)備。
802.1X簡潔高效,純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開銷和冗余;消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障,易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。
802.1X應(yīng)用靈活,它可以靈活控制認(rèn)證的顆粒度,用于對單個(gè)用戶連接、用戶ID或者是對接入設(shè)備進(jìn)行認(rèn)證,認(rèn)證的層次可以進(jìn)行靈活的組合,滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。
在行業(yè)標(biāo)準(zhǔn)方面,802.1X的IEEE標(biāo)準(zhǔn)和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對該協(xié)議的支持。
但是需要注意的是,雖然IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議,該協(xié)議僅適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式,其中端口可以是物理端口,也可以是邏輯端口。典型的應(yīng)用方式有:局域網(wǎng)交換機(jī)的一個(gè)物理端口僅連接一個(gè)終端基站,這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。
秘籍二:進(jìn)行L2-L4層的安全過濾
現(xiàn)在,大多數(shù)的新型交換機(jī)都可以通過建立規(guī)則的方式來實(shí)現(xiàn)各種過濾需求,這也是企業(yè)網(wǎng)管對交換機(jī)進(jìn)行數(shù)據(jù)傳輸前的必要設(shè)置過程。
規(guī)則設(shè)置有兩種模式,一種是MAC模式,即常用的MAC地址過濾,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離。
可使用MAC地址過濾或IP地址過濾進(jìn)行端口綁定
MAC地址是底層網(wǎng)絡(luò)來識別和尋找目標(biāo)終端的標(biāo)示,每個(gè)接入網(wǎng)絡(luò)的設(shè)備都有一個(gè)唯一的MAC地址。這樣就可保證所有接入無線網(wǎng)絡(luò)的終端都有唯一的不同的MAC地址,而MAC地址過濾技術(shù)就有了理論上的可行性。
通過設(shè)置MAC訪問控制,來啟用對接入設(shè)備的MAC訪問控制,這樣其他未經(jīng)允許的設(shè)備就無法連入企業(yè)網(wǎng)絡(luò)了。
但MAC地址過濾,也并非完美。雖然MAC地址過濾可以阻止非信任的終端設(shè)備訪問,但在終端設(shè)備試圖連接交換機(jī)之前,MAC地址過濾是不會(huì)識別出誰是可信任的或誰是非信任的,訪問終端設(shè)備仍都可以連接到交換機(jī),只是在做進(jìn)一步的訪問時(shí),才會(huì)被禁止。而且它不能斷開客戶端與交換機(jī)的連接,這樣入侵者就可以探到通信,并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進(jìn)行監(jiān)控,一旦授權(quán)信任的用戶沒有出現(xiàn),入侵者就使用授權(quán)用戶的MAC地址來進(jìn)行訪問。
因此僅僅依靠MAC地址過濾是不夠的,企業(yè)必須啟用盡可能多方面的安全防護(hù)手段來保護(hù)自身的網(wǎng)絡(luò)。
另一種是IP模式,即IP地址過濾模式,企業(yè)用戶可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包。
IP地址過濾界面
使用IP地址過濾可以拒絕或允許局域網(wǎng)中計(jì)算機(jī)與互聯(lián)網(wǎng)之間的通信,并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號,簡單直接。
交換機(jī)相關(guān)文章:交換機(jī)工作原理
評論