如何过滤用户通信,保证安全有效的数据转发?如何阻止非法用户,保证网络安全应用?如何进行安全网络管理,
如何及时发现非法用户、非法行为以及远程网管信息的安全?在这里,我们总结了近期交换机市场上比较流行的六种安全设置功能,希望对大家有所帮助。
一:L2-L4层过滤现在大多数新型交换机都可以通过建立规则来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可以根据用户需求,按照源MAC或目的MAC有效隔离数据。
另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口、目的应用端口过滤数据包;建立的规则必须附加到相应的接收或发送端口,因此当交换机接收或转发数据时,根据过滤规则过滤数据包。
决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则的确定,完全不影响数据转发速率。二:基于802.1X端口的访问控制为了防止非法用户访问局域网,
为了保证网络的安全性,基于端口的访问控制协议802.1X在有线局域网和无线局域网中得到了广泛的应用。
比如华硕最新的GigaX2024/2048等新一代交换机产品,不仅支持802.1X本地和RADIUS认证方式,还支持802.1X动态VLAN接入。
也就是说,在VLAN和802.1X的基础上,一个拥有用户账号的用户无论在网络中的什么地方接入,都将始终访问该账号指定的VLAN组,超越了原有802.1q下VLAN端口的限制
该功能不仅为网络中移动用户申请资源提供了灵活性和便利性,还保证了网络资源申请的安全性;此外,GigaX2024/2048交换机还支持802.1X访客VLAN功能。
也就是说,在802.1X的应用中,如果在端口中指定了访客VLAN项,那么该端口下的接入用户将成为访客VLAN组的成员,在认证失败或者根本没有用户账户的情况下,可以享受该组中相应的网络资源。
该功能还可以为某些网络应用开放最少的资源,为整个网络提供外围访问安全。
3.流量控制交换机的流量控制可以防止由于目的地址错误的广播包、组播包和单播包的数据流量过大而导致的交换机带宽的异常负载,可以提高系统的整体效率。
保持网络安全稳定运行。四、SNMP v3和SSH安全网管SNMP v3提出了一种全新的架构,将所有版本的SNMP标准集合在一起,从而加强了网管安全。
SNMP v3建议的安全模型是基于用户的安全模型,即USM。USM根据用户对网络管理消息进行加密和身份验证。
具体来说,加密和认证使用什么协议和密钥是由用户名(userNmae)、权威引擎标识符(EngineID)(推荐加密协议CBCDES,
认证协议HMAC-MD5-96和HMAC-SHA-96)通过认证、加密和时限提供数据完整性、数据源认证、数据机密性和消息时限服务,从而有效防止未授权用户修改、伪装和窃听管理信息。
至于通过Telnet进行远程网络管理,由于Telnet服务有一个致命的弱点——,它是明文传输用户名和密码的,所以很容易被别有用心的人窃取密码并被攻击。然而,当SSH用于通信时,
用户名和密码均经过加密,有效防止密码被窃听,方便网络管理员远程管理安全网络。
5.Syslog和Watchdog交换机的Syslog日志记录功能可以将用户设置的系统错误、系统配置、状态变化、周期性状态报告和系统退出等预期信息传送到日志服务器。
根据这些信息,网络管理人员可以掌握设备的运行状态,及早发现问题,及时配置和排除故障,保证网络的安全稳定运行。看门狗设置定时器,如果定时器在设定的时间间隔内没有重启,
则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。 六:双映像文件一些最新的交换机,
像A S U SGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和mirror两部分进行保存,
如果一个文件系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。 其实,
近期出现的一些交换机产品在安全设计上大都下足了功夫——层层设防、节节过滤,想尽一切办法将可能存在的不安全因素最大程度地排除在外。 广大企业用户如果能够充分利用这些网络安全设置功能,
进行合理的组合搭配,则可以最大限度地防范网络上日益泛滥的各种攻击和侵害,愿您的企业网络自此也能更加稳固安全。
