《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 不可不知 交換機應(yīng)用中的六種安全設(shè)置
不可不知 交換機應(yīng)用中的六種安全設(shè)置
CCTIME
CCTIME
摘要: 交換機,IP,局域網(wǎng),網(wǎng)絡(luò),LAN,WLAN,VLAN,移動,網(wǎng)絡(luò)安全,SNMP,摘要:現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則設(shè)置有兩種模式,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離,另一種是IP模式,可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包……
Abstract:
Key words :

    摘要:現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則設(shè)置有兩種模式,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離,另一種是lank">IP模式,可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包……

    L2-L4層過濾

    現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則設(shè)置有兩種模式,一種是MAC模式,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離,另一種是IP模式,可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包;建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上,則當(dāng)交換機此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時,根據(jù)過濾規(guī)則來過濾封包,決定是轉(zhuǎn)發(fā)還是丟棄。另外,交換機通過硬件“邏輯與非門”對過濾規(guī)則進行邏輯運算,實現(xiàn)過濾規(guī)則確定,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。

    802.1X基于端口的訪問控制

    為了阻止非法用戶對局域網(wǎng)的接入,保障網(wǎng)絡(luò)的安全性,基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應(yīng)用。新一代交換機產(chǎn)品不僅僅支持802.1X的Local、RADIUS驗證方式,而且支持802.1X的Dynamic VLAN 的接入,即在VLAN和802.1X 的基礎(chǔ)上,持有某用戶賬號的用戶無論在網(wǎng)絡(luò)內(nèi)的何處接入,都會超越原有802.1Q 下基于端口VLAN 的限制,始終接入與此賬號指定的VLAN組內(nèi),這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動用戶對資源的應(yīng)用提供了靈活便利,同時又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性;另外, 在802.1X的應(yīng)用中,如果端口指定了Guest VLAN項,此端口下的接入用戶如果認證失敗或根本無用戶賬號的話,會成為Guest VLAN 組的成員,可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源,這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資源,并為整個網(wǎng)絡(luò)提供了一個最外圍的接入安全。

    流量控制(trafficcontrol)

    交換機的流量控制可以預(yù)防因為廣播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機帶寬的異常負荷,并可提高系統(tǒng)的整體效能,保持網(wǎng)絡(luò)安全穩(wěn)定的運行。

    SNMPv3及SSH

    安全網(wǎng)管SNMPv3提出全新的體系結(jié)構(gòu),將各版本的SNMP標準集中到一起,進而加強網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶的安全模型,即USM.USM對網(wǎng)管消息進行加密和認證是基于用戶進行的,具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱(userNmae)權(quán)威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES,認證協(xié)議HMAC-MD5-96 和HMAC-SHA-96),通過認證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務(wù),從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

    至于通過Telnet的遠程網(wǎng)絡(luò)管理,由于Telnet服務(wù)有一個致命的弱點——它以明文的方式傳輸用戶名及口令,所以,很容易被別有用心的人竊取口令,受到攻擊,但采用SSH進行通訊時,用戶名及口令均進行了加密,有效防止了對口令的竊聽,便于網(wǎng)管人員進行遠程的安全網(wǎng)絡(luò)管理。

    Syslog和Watchdog

    交換機的Syslog日志功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器,網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運行狀況,及早發(fā)現(xiàn)問題,及時進行配置設(shè)定和排障,保障網(wǎng)絡(luò)安全穩(wěn)定地運行。

    Watchdog通過設(shè)定一個計時器,如果設(shè)定的時間間隔內(nèi)計時器沒有重啟,則生成一個內(nèi)在CPU重啟指令,使設(shè)備重新啟動,這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟,保障網(wǎng)絡(luò)的運行。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。
主站蜘蛛池模板: 久久99国产亚洲精品观看 | 国产中文在线观看 | 欧美日韩国产高清一区二区三区 | 黄色香蕉视频 | 三级黄a| 日韩欧美中文在线 | 国产老师制服丝袜裤视频 | 中国a毛片 | 午夜影院a级片 | 九九热在线播放 | 欧美一区二区三区久久久 | 日黄网站 | haose16在线永久免费 | 最近中文字幕免费mv在线视频 | 97久久精品人人澡人人爽 | 免费一级成人毛片 | 好吊色青青青国产在线播放 | 天天夜夜狠狠一区二区三区 | 高h浪诱受肉耽文 | 成年看片永远免费 | 国产日韩亚洲不卡高清在线观看 | 狠狠亚洲丁香综合久久 | 国产一卡 | 色的视频在线观看免费播放 | 亚洲成年网站在线观看 | 欧美日韩在线播放一区二区三区 | 一区二区在线观看视频 | 亚洲欧美日韩中文高清一 | 午夜性爽快免费视频播放 | 国产精品久久久久久亚洲伦理 | 一区二区三区日韩 | 免费黄色毛片视频 | 69黄在线看片免费视频 | 天天插天天操 | 精品国产欧美一区二区最新 | 麻豆回家视频区一区二 | 午夜爽爽性刺激一区二区视频 | 久久久久香蕉 | 狠狠色狠狠色综合日日小蛇 | 成人永久福利免费观看 | 热re91久久精品国产91热 |