交換機安全功能機制介紹

安全秘訣之一：L2-L4 層過(guò)濾

　　現在的新型交換機大都可以通過(guò)建立規則的方式來(lái)實(shí)現各種過(guò)濾需求。規則設置有兩種模式，一種是MAC模式，可根據用戶(hù)需要依據源MAC或目的MAC有效實(shí)現數據的隔離，另一種是IP模式，可以通過(guò)源IP、目的IP、協(xié)議、源應用端口及目的應用端口過(guò)濾數據封包;建立好的規則必須附加到相應的接收或傳送端口上，則當交換機此端口接收或轉發(fā)數據時(shí)，根據過(guò)濾規則來(lái)過(guò)濾封包，決定是轉發(fā)還是丟棄。另外，交換機通過(guò)硬件“邏輯與非門(mén)”對過(guò)濾規則進(jìn)行邏輯運算，實(shí)現過(guò)濾規則確定，完全不影響數據轉發(fā)速率。

　　安全秘訣之二：802.1X 基于端口的訪(fǎng)問(wèn)控制

　　為了阻止非法用戶(hù)對局域網(wǎng)的接入，保障網(wǎng)絡(luò )的安全性，基于端口的訪(fǎng)問(wèn)控制協(xié)議802.1X無(wú)論在有線(xiàn)LAN或WLAN中都得到了廣泛應用。例如華碩最新的GigaX2024/2048等新一代交換機產(chǎn)品不僅僅支持802.1X 的Local、RADIUS 驗證方式，而且支持802.1X 的Dynamic VLAN 的接入，即在VLAN和802.1X 的基礎上，持有某用戶(hù)賬號的用戶(hù)無(wú)論在網(wǎng)絡(luò )內的何處接入，都會(huì )超越原有802.1Q 下基于端口VLAN 的限制，始終接入與此賬號指定的VLAN組內，這一功能不僅為網(wǎng)絡(luò )內的移動(dòng)用戶(hù)對資源的應用提供了靈活便利，同時(shí)又保障了網(wǎng)絡(luò )資源應用的安全性;另外，GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能，即在802.1X的應用中，如果端口指定了Guest VLAN項，此端口下的接入用戶(hù)如果認證失敗或根本無(wú)用戶(hù)賬號的話(huà)，會(huì )成為Guest VLAN 組的成員，可以享用此組內的相應網(wǎng)絡(luò )資源，這一種功能同樣可為網(wǎng)絡(luò )應用的某一些群體開(kāi)放最低限度的資源，并為整個(gè)網(wǎng)絡(luò )提供了一個(gè)最外圍的接入安全。

　　安全秘訣之三：流量控制(traffic control)

　　交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過(guò)大造成交換機帶寬的異常負荷，并可提高系統的整體效能，保持網(wǎng)絡(luò )安全穩定的運行。

　　安全秘訣之四：SNMP v3 及SSH 安全網(wǎng)管SNMP v3 提出全新的體系結構，將各版本的SNMP 標準集中到一起，進(jìn)而加強網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶(hù)的安全模型，即USM。USM對網(wǎng)管消息進(jìn)行加密和認證是基于用戶(hù)進(jìn)行的，具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認證均由用戶(hù)名稱(chēng)(userNmae)權威引擎標識符(EngineID)來(lái)決定(推薦加密協(xié)議CBCDES，認證協(xié)議HMAC-MD5-96 和HMAC-SHA-96)，通過(guò)認證、加密和時(shí)限提供數據完整性、數據源認證、數據保密和消息時(shí)限服務(wù)，從而有效防止非授權用戶(hù)對管理信息的修改、偽裝和竊聽(tīng)。

　　至于通過(guò)Telnet 的遠程網(wǎng)絡(luò )管理，由于Telnet 服務(wù)有一個(gè)致命的弱點(diǎn)——它以明文的方式傳輸用戶(hù)名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進(jìn)行通訊時(shí)，用戶(hù)名及口令均進(jìn)行了加密，有效防止了對口令的竊聽(tīng)，便于網(wǎng)管人員進(jìn)行遠程的安全網(wǎng)絡(luò )管理。

　　安全秘訣之五：Syslog和Watchdog

　　交換機的Syslog 日志功能可以將系統錯誤、系統配置、狀態(tài)變化、狀態(tài)定期報告、系統退出等用戶(hù)設定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據這些信息掌握設備的運行狀況，及早發(fā)現問(wèn)題，及時(shí)進(jìn)行配置設定和排障，保障網(wǎng)絡(luò )安全穩定地運行。

　　Watchdog 通過(guò)設定一個(gè)計時(shí)器，如果設定的時(shí)間間隔內計時(shí)器沒(méi)有重啟，則生成一個(gè)內在CPU重啟指令，使設備重新啟動(dòng)，這一功能可使交換機在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟，保障網(wǎng)絡(luò )的運行。

　　安全秘訣之六：雙映像文件

　　一些最新的交換機， 像A S U SGigaX2024/2048還具備雙映像文件。這一功能保護設備在異常情況下(固件升級失敗等)仍然可正常啟動(dòng)運行。文件系統分majoy和mirror兩部分進(jìn)行保存，如果一個(gè)文件系統損害或中斷，另外一個(gè)文件系統會(huì )將其重寫(xiě)，如果兩個(gè)文件系統都損害，則設備會(huì )清除兩個(gè)文件系統并重寫(xiě)為出廠(chǎng)時(shí)默認設置，確保系統安全啟動(dòng)運行。

　　其實(shí)，近期出現的一些交換機產(chǎn)品在安全設計上大都下足了功夫——層層設防、節節過(guò)濾，想盡一切辦法將可能存在的不安全因素最大程度地排除在外。廣大企業(yè)用戶(hù)如果能夠充分利用這些網(wǎng)絡(luò )安全設置功能，進(jìn)行合理的組合搭配，則可以最大限度地防范網(wǎng)絡(luò )上日益泛濫的各種攻擊和侵害，愿您的企業(yè)網(wǎng)絡(luò )自此也能更加穩固安全。