守護企業(yè)網(wǎng)絡(luò )安全 掌握交換機設定秘籍

標簽：交換機設定 802.1X認證

現在企業(yè)面臨著(zhù)不法黑客的覬覦和破壞，各種網(wǎng)絡(luò )安全漏洞頻出，在人力和物力上都耗費相當的巨大。那么如何阻擋非法用戶(hù)，保障企業(yè)網(wǎng)絡(luò )安全應用?如何過(guò)濾用戶(hù)的通訊信息，保障安全有效的數據轉發(fā)呢?除了購買(mǎi)強勁的網(wǎng)絡(luò )安全設備外，其實(shí)交換機的安全配置也相當重要，那么一些簡(jiǎn)單常用卻又十分有效的交換機安全設置就很應該引起大家的注意并加以使用了，下面就一起來(lái)看看容易被我們忽略掉的“秘籍”吧。

秘籍一：基于端口訪(fǎng)問(wèn)控制的802.1X

IEEE802.1X協(xié)議技術(shù)是一種在有線(xiàn)LAN或WLAN中都得到了廣泛應用的，可有效阻止非法用戶(hù)對局域網(wǎng)接入的技術(shù)。IEEE 802.1X協(xié)議在用戶(hù)接入網(wǎng)絡(luò )(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運行，運行于網(wǎng)絡(luò )中的數據鏈路層的EAP協(xié)議和RADIUS協(xié)議。

802.1X配置界面

IEEE802.1X是一種基于端口的網(wǎng)絡(luò )接入控制技術(shù)，在LAN設備的物理接入級對接入設備進(jìn)行認證和控制，此處的物理接入級指的是局域網(wǎng)交換機設備的端口。連接在該類(lèi)端口上的用戶(hù)設備如果能通過(guò)認證，就可以訪(fǎng)問(wèn)LAN內的資源;如果不能通過(guò)認證，則無(wú)法訪(fǎng)問(wèn)LAN內的資源，相當于物理上斷開(kāi)連接。

802.1X認證涉及三方面

802.1X認證涉及三方面：請求者、認證者和認證服務(wù)器。請求者是一個(gè)希望接入LAN或WLAN的客戶(hù)端設備(如筆記本)。認證者是網(wǎng)絡(luò )設備，如以太網(wǎng)交換機或無(wú)線(xiàn)接入點(diǎn)。而認證服務(wù)器通常是一臺主機上運行的軟件支持RADIUS和EAP協(xié)議。

802.1X有如下的技術(shù)優(yōu)勢：

802.1X安全可靠，在二層網(wǎng)絡(luò )上實(shí)現用戶(hù)認證，結合MAC、端口、賬戶(hù)、VLAN和密碼等;綁定技術(shù)具有很高的安全性，在無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò )環(huán)境中802.1X結合EAP-TLS，EAP-TTLS，可以實(shí)現對WEP證書(shū)密鑰的動(dòng)態(tài)分配，克服無(wú)線(xiàn)局域網(wǎng)接入中的安全漏洞。

802.1X容易實(shí)現，它可在普通L3、L2、IPDSLAM上實(shí)現，網(wǎng)絡(luò )綜合造價(jià)成本低，保留了傳統AAA認證的網(wǎng)絡(luò )架構，可以利用現有的RADIUS設備。

802.1X簡(jiǎn)潔高效，純以太網(wǎng)技術(shù)內核，保持了IP網(wǎng)絡(luò )無(wú)連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開(kāi)銷(xiāo)和冗余;消除網(wǎng)絡(luò )認證計費瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

802.1X應用靈活，它可以靈活控制認證的顆粒度，用于對單個(gè)用戶(hù)連接、用戶(hù)ID或者是對接入設備進(jìn)行認證，認證的層次可以進(jìn)行靈活的組合，滿(mǎn)足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

在行業(yè)標準方面，802.1X的IEEE標準和以太網(wǎng)標準同源，可以實(shí)現和以太網(wǎng)技術(shù)的無(wú)縫融合，幾乎所有的主流數據設備廠(chǎng)商在其設備，包括路由器、交換機和無(wú)線(xiàn)AP上都提供對該協(xié)議的支持。在客戶(hù)端方面微軟WindowsXP操作系統內置支持，Linux也提供了對該協(xié)議的支持。

但是需要注意的是，雖然IEEE802.1X定義了基于端口的網(wǎng)絡(luò )接入控制協(xié)議，該協(xié)議僅適用于接入設備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有：局域網(wǎng)交換機的一個(gè)物理端口僅連接一個(gè)終端基站，這是基于物理端口的; IEEE 802.11定義的無(wú)線(xiàn)LAN接入方式是基于邏輯端口的。

秘籍二：進(jìn)行L2-L4層的安全過(guò)濾

現在，大多數的新型交換機都可以通過(guò)建立規則的方式來(lái)實(shí)現各種過(guò)濾需求，這也是企業(yè)網(wǎng)管對交換機進(jìn)行數據傳輸前的必要設置過(guò)程。

規則設置有兩種模式，一種是MAC模式，即常用的MAC地址過(guò)濾，可根據用戶(hù)需要依據源MAC或目的MAC有效實(shí)現數據的隔離。

可使用MAC地址過(guò)濾或IP地址過(guò)濾進(jìn)行端口綁定

MAC地址是底層網(wǎng)絡(luò )來(lái)識別和尋找目標終端的標示，每個(gè)接入網(wǎng)絡(luò )的設備都有一個(gè)唯一的MAC地址。這樣就可保證所有接入無(wú)線(xiàn)網(wǎng)絡(luò )的終端都有唯一的不同的MAC地址，而MAC地址過(guò)濾技術(shù)就有了理論上的可行性。

通過(guò)設置MAC訪(fǎng)問(wèn)控制，來(lái)啟用對接入設備的MAC訪(fǎng)問(wèn)控制，這樣其他未經(jīng)允許的設備就無(wú)法連入企業(yè)網(wǎng)絡(luò )了。

但MAC地址過(guò)濾，也并非完美。雖然MAC地址過(guò)濾可以阻止非信任的終端設備訪(fǎng)問(wèn)，但在終端設備試圖連接交換機之前，MAC地址過(guò)濾是不會(huì )識別出誰(shuí)是可信任的或誰(shuí)是非信任的，訪(fǎng)問(wèn)終端設備仍都可以連接到交換機，只是在做進(jìn)一步的訪(fǎng)問(wèn)時(shí)，才會(huì )被禁止。而且它不能斷開(kāi)客戶(hù)端與交換機的連接，這樣入侵者就可以探到通信，并從幀中公開(kāi)的位置獲取合法的使用MAC地址。然后通過(guò)對無(wú)線(xiàn)信號進(jìn)行監控，一旦授權信任的用戶(hù)沒(méi)有出現，入侵者就使用授權用戶(hù)的MAC地址來(lái)進(jìn)行訪(fǎng)問(wèn)。

因此僅僅依靠MAC地址過(guò)濾是不夠的，企業(yè)必須啟用盡可能多方面的安全防護手段來(lái)保護自身的網(wǎng)絡(luò )。

另一種是IP模式，即IP地址過(guò)濾模式，企業(yè)用戶(hù)可以通過(guò)源IP、目的IP、協(xié)議、源應用端口及目的應用端口過(guò)濾數據封包。

IP地址過(guò)濾界面

使用IP地址過(guò)濾可以拒絕或允許局域網(wǎng)中計算機與互聯(lián)網(wǎng)之間的通信，并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號，簡(jiǎn)單直接。