教您如何构建安全交换机系统

wodeyayan 2010-02-22

安全交换机有很多值得学习的地方,这里我们主要讲解如何构建安全交换机系统,交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。

因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。

安全交换机三层含义

交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。

802.1x加强安全认证

在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。

802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。

802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

1. 客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。

2. 认证系统。在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。

3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。

流量控制

安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。

防DDoS

企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。

虚拟局域网VLAN

虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。

基于访问控制列表的防火墙功能

相关推荐