教你如何架設安全的交換機系統(tǒng)

http://www.yibo1263.com　2008-10-7 8:52:20 　來源:東北IT網(wǎng) 　編輯:葉子

　　基于訪問控制列表的防火墻功能

　　安全交換機采用了訪問控制列表ACL來實現(xiàn)包過濾防火墻的安全功能，增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中，訪問控制過濾措施可以基于源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或MAC地址來實現(xiàn)。

　　ACL不但可以讓網(wǎng)絡管理者用來制定網(wǎng)絡策略，針對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡的安全屏蔽，讓黑客找不到網(wǎng)絡中的特定主機進行探測，從而無法發(fā)動攻擊。

　　入侵檢測IDS

　　安全交換機的IDS功能可以根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測，在發(fā)現(xiàn)網(wǎng)絡安全事件的時候，進行有針對性的操作，并將這些對安全事件反應的動作發(fā)送到交換機上，由交換機來實現(xiàn)精確的端口斷開操作。實現(xiàn)這種聯(lián)動，需要交換機能夠支持認證、端口鏡像、強制流分類、進程數(shù)控制、端口反查等功能

　　設備冗余也重要

　　物理上的安全也就是冗余能力是網(wǎng)絡安全運行的保證。任何廠商都不能保證其產(chǎn)品不發(fā)生故障，而發(fā)生故障時能否迅速切換到一個好設備上，是令人關心的問題。后備電源、后備管理模塊、冗余端口等冗余設備就能保證即使在設備出現(xiàn)故障的情況下，立刻賦予后備的模塊、安全保障網(wǎng)絡的運行。

　　安全交換機的布署

　　安全交換機的出現(xiàn)，使得網(wǎng)絡在交換機這個層次上的安全能力大大增強。安全交換機可以配備在網(wǎng)絡的核心，如同思科Catalyst 6500這個模塊化的核心交換機那樣，把安全功能放在核心來實現(xiàn)。這樣做的好處是可以在核心交換機上統(tǒng)一配置安全策略，做到集中控制，而且方便網(wǎng)絡管理人員的監(jiān)控和調(diào)整。而且核心交換機都具備強大的能力，安全性能是一項頗費處理能力的工作，核心交換機做起這個事情來能做到物盡其能。

　　把安全交換機放在網(wǎng)絡的接入層或者匯聚層，是另外一個選擇。這樣配備安全交換機的方式就是核心把權力下放到邊緣，在各個邊緣就開始實施安全交換機的性能，把入侵和攻擊以及可疑流量堵在邊緣之外，確保全網(wǎng)的安全。這樣就需要在邊緣配備安全交換機，很多廠家已經(jīng)推出了各種邊緣或者匯聚層使用的安全交換機。它們就像一個個的堡壘一樣，在核心周圍建立起一道堅固的安全防線。

　　安全交換機有時候還不能孤軍奮戰(zhàn)，如PPPoE認證功能就需要Radius服務器的支持，另外其他的一些交換機能夠和入侵檢測設備做聯(lián)動的，就需要其他網(wǎng)絡設備或者服務器的支持。

　　安全交換機的升級

　　目前市場上出了很多新的安全交換機，它們是一出廠就天生具備了一些安全的功能。那么一些老交換機如何能夠得到安全上的保障呢。一般來說，對于模塊化的交換機，這個問題很好解決。普遍的解決方式是在老的模塊化交換機上插入新的安全模塊，如思科Catalyst 6500就帶有防火墻模塊、入侵檢測IDS模塊等等安全模塊;神州數(shù)碼的6610交換機配備了PPPoE的認證模塊，直接插入老交換機就能讓這些“老革命”解決新問題。

　　如果以前購置的交換機是固定式的交換機，一些有能力的型號就需要通過升級固件firmware的形式來植入新的安全功能。

　　安全交換機的前景

　　隨著用戶對網(wǎng)絡環(huán)境的需求越來越高，對具備安全功能的交換機的需求也越來越大。很多用戶認為，花一定的投資在交換機的安全上，對整個網(wǎng)絡健壯性和安全性的提高是值得的。特別是一些行業(yè)用戶，他們對網(wǎng)絡的需求絕非連通即可。如銀行、證券以及大型企業(yè)，網(wǎng)絡病毒爆發(fā)一次或者入侵帶來的損失，足以超過在安全交換機上的額外投資。安全交換機已經(jīng)成為交換機市場上的一個新亮點。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费