网络通信 频道

多重保护 谈企业交换机安全措施

俗话说,身体是革命的本钱,一个人只有体魄健壮才能生活得更好,才能为社会创造更大的财富。企业网络就好比一个人,只有安全保护措施做到位,企业的各方面方能运转得更好。身处现今信息时代的企业,信息对于企业来说无疑是最大的财富。随着病毒的泛滥和黑客的猖獗的加剧,企业网络安全防护受到了极大的关注。

众所周知,安全应该遍布于整个网络之内,而企业网络安全并不能仅靠单一设备和单一技术来实现,作为网络骨干设备的企业交换机在企业网络安全防护的部署中同样也发挥着重要的作用。在交换机上采取必要的安全技术不仅可以有效缓解其他安全设备的工作压力,而且还能更及时发现并解决问题。

例如,防病毒软件在蠕虫病毒面前显得有心无力,防火墙的反查找能力十分薄弱,入侵检测软件不能检测内部入侵等,而交换机则可轻松弥补上述安全设备的不足。现在,很多企业用户对通过交换机解决安全问题也相当看好,通过多层交换机特性来提高网络的安全将会越来越普遍。

企业交换机的安全性和健壮性直接影响到企业网络的安全与可靠性,因此,企业交换机的安全防护理应全副武装,除了要具备一般的交换功能外,还具备专业安全产品的性能,在系统安全方面,交换机在网络由核心到边缘的整体架构中实现了安全机制,即通过特定技术对网络管理信息进行加密、控制;在接入安全性方面,采用安全接入机制,包括802.1x接入验证、ADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。

不仅如此,许多交换机还增加了硬件形式的安全模块,一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。这类型交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障企业用户网络业务的正常开展。企业交换机常通过以下几种常见的措施对企业网络实现多方位保护。

一.802.1x标准

802.1x标准是一个刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,是一个把网络设备授权给客户的标准。作为一种局域网的安全特性,802.1x标准可以强制网络用户在访问任何设备和资源之前先要登陆到网络,可有效限制非法用户接入,达到保护网络安全的目的。

802.1x标准还是相当实用的,但是由于802.1x依赖于Windows XP客户端,即只有Window XP的用户才支持这种协议,所以虽然很多的交换机设备都具有这个功能,但并没有受到网络的设计者和管理者的欢迎和广泛使用。

二.流量控制技术

交换机的这项技术可以使管理者轻松控制每个交换机端口的带宽,把流经端口的异常流量限制在一定的范围内,能够实现风暴控制、端口保护和端安全,在有效避免网络堵塞的同时还可以有效的防止DOS攻击,且不影响网络性能。

三.访问控制列表(ACL)技术

ACL技术通过对网络资源进行访问输入和输出控制,交换机可以阻止或者允许基于服务器和客户IP地址的网络访问。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

ACL技术不但可方便网络管理者根据用户的需要分配给他们适合的角色,也可以用来加强网络的安全屏蔽,让黑客找不到网络中的特定主机进行探测,从而无法对企业交换机发动攻击。

四.虚拟局域网(VLAN)技术

虚拟局域网是安全交换机必不可少的一个功能,也是应用相当广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以覆盖多个网络设备,与它们的物理位置无关,设备之间好像在同一个网络间通信一样,这样使得企业的网络管理变得简单、直观。

虚拟局域网可以用来把用户划分成若干小组,仅仅允许用户使用他们需要的网络资源。VLAN基于端口的VLAN、MAC地址及路由访问列表等原则划分,限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问,从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。

五.交换机与IDS系统的联动

企业交换机与IDS系统的联动是一个非常实际而又不会增加投资费用的理想方案。由于黑客和病毒都是依赖网络平台进行攻击,将IDS作为监控系统,与交换机进行联动,就能在网络平台上切断黑客和病毒的传播途径,实现意想不到的安全效果。具体来说,企业交换机与IDS系统的联动是指在运行的过程中,交换机将各种数据流的信息上报给安全设备,IDS可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。这项技术得到绝大多数用户的认可,但在实践中还没有得到广泛的应用。

六.防DDoS

企业网一旦遭到大规模分布式拒绝服务攻击,会使大量用户无法正常使用网络,严重的时候更会造成整个企业网络瘫痪,成为服务提供商最为头疼的攻击。若企业交换机采用专门的技术来防范DDoS攻击,那么它就可以在不影响网络正常使用的情况下,智能地检测和阻止恶意流量,从而防止企业网络受到DDoS攻击的威胁。现在很多的企业交换机都在应用需求的刺激下提供了强大的防DDoS功能。

七.全分布式体系结构设计

全分布式体系结构设计是通过功能强大的ASIC芯片进行高速路由查找,使用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。

人体健康的保障也非仅靠常备药物就可以解决的,还需要有定期检查和良好的健康习惯等,而企业网络的安全防护如同个人人身安全保障一样,都不是一种方法和措施就可以实现的,都需要从各个方面综合考虑。企业网络从内网到外网的安全既需要通防火墙等专业安全设备来解决,也需要交换机发挥积极的防护作用,以实现多重保护。

安全性加强的交换机在越来越多企业用户对通过交换机实现网络安全巩固抱积极态度下应运而生,安全性加强的交换机本身具有专业抗攻击能力,是普通交换机的完善版和升级版,具有更高的智能性和安全保护功能。相信企业网络在防火墙等安全设备和企业交换机的联手下定能把黑客拒之于门外,将病毒赶尽杀绝!

 

转载地址:http://www.chinaccna.com/networky/gli/200602/5808.html

0
相关文章