多重保护 谈企业交换机安全措施
作者:Jerry 来源:赛迪论坛 添加时间:2006-5-26 11:38:35简介
Cisco® Fabric Manager是一种基于Web、易于使用的响应性应用,能够用集成式方法实现交换机和网络管理,从而简化存储局域网(SAN)中Cisco MDS 9000系列交换机的管理。Cisco Fabric Manager能够为存储管理员提供网络级管理功能,包括识别、多交换机配置、连续网络监控和故障排除。这种功能强大的方法能够大大缩短交换机的设置时间,提高整个网络的可靠性,并提供丰富的诊断信息,帮助解决网络问题和配置不一致性。
利用Cisco Fabric Manager的直观图形界面,存储管理员可以对交换机配置进行对比,对Cisco MDS 9000系列交换机进行配置策略检查,为通报第三方错误管理应用设置阈值,实时查看单台设备的统计数据和总体统计数据,以及分析历史性能统计数据等。所有这些功能都可以通过一个安全的界面执行,而且几乎能够从任何位置远程管理(见图1)。
图1 Cisco Fabric Manager的用户界面
Cisco Fabric Manager的特点
- 嵌入交换机的Java应用——将交换机樱赐ü囟际醵酝绻芾硇畔⒔屑用堋⒖刂?在接入安全性方面,采用安全接入机制,包括802.1x接入验证、ADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。
不仅如此,许多交换机还增加了硬件形式的安全模块,一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。这类型交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障企业用户网络业务的正常开展。企业交换机常通过以下几种常见的措施对企业网络实现多方位保护。
一.802.1x标准
802.1x标准是一个刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,是一个把网络设备授权给客户的标准。作为一种局域网的安全特性,802.1x标准可以强制网络用户在访问任何设备和资源之前先要登陆到网络,可有效限制非法用户接入,达到保护网络安全的目的。
802.1x标准还是相当实用的,但是由于802.1x依赖于Windows XP客户端,即只有Window XP的用户才支持这种协议,所以虽然很多的交换机设备都具有这个功能,但并没有受到网络的设计者和管理者的欢迎和广泛使用。
二.流量控制技术
交换机的这项技术可以使管理者轻松控制每个交换机端口的带宽,把流经端口的异常流量限制在一定的范围内,能够实现风暴控制、端口保护和端安全,在有效避免网络堵塞的同时还可以有效的防止DOS攻击,且不影响网络性能。
三.访问控制列表(ACL)技术
ACL技术通过对网络资源进行访问输入和输出控制,交换机可以阻止或者允许基于服务器和客户IP地址的网络访问。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
ACL技术不但可方便网络管理者根据用户的需要分配给他们适合的角色,也可以用来加强网络的安全屏蔽,让黑客找不到网络中的特定主机进行探测,从而无法对企业交换机发动攻击。
四.虚拟局域网(VLAN)技术
虚拟局域网是安全交换机必不可少的一个功能,也是应用相当广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以覆盖多个网络设备,与它们的物理位置无关,设备之间好像在同一个网络间通信一样,这样使得企业的网络管理变得简单、直观。
虚拟局域网可以用来把用户划分成若干小组,仅仅允许用户使用他们需要的网络资源。VLAN基于端口的VLAN、MAC地址及路由访问列表等原则划分,限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问,从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。
五.交换机与IDS系统的联动
企业交换机与IDS系统的联动是一个非常实际而又不会增加投资费用的理想方案。由于黑客和病毒都是依赖网络平台进行攻击,将IDS作为监控系统,与交换机进行联动,就能在网络平台上切断黑客和病毒的传播途径,实现意想不到的安全效果。具体来说,企业交换机与IDS系统的联动是指在运行的过程中,交换机将各种数据流的信息上报给安全设备,IDS可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。这项技术得到绝大多数用户的认可,但在实践中还没有得到广泛的应用。
六.防DDoS
企业网一旦遭到大规模分布式拒绝服务攻击,会使大量用户无法正常使用网络,严重的时候更会造成整个企业网络瘫痪,成为服务提供商最为头疼的攻击。若企业交换机采用专门的技术来防范DDoS攻击,那么它就可以在不影响网络正常使用的情况下,智能地检测和阻止恶意流量,从而防止企业网络受到DDoS攻击的威胁。现在很多的企业交换机都在应用需求的刺激下提供了强大的防DDoS功能。
七.全分布式体系结构设计
全分布式体系结构设计是通过功能强大的ASIC芯片进行高速路由查找,使用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。
人体健康的保障也非仅靠常备药物就可以解决的,还需要有定期检查和良好的健康习惯等,而企业网络的安全防护如同个人人身安全保障一样,都不是一种方法和措施就可以实现的,都需要从各个方面综合考虑。企业网络从内网到外网的安全既需要通防火墙等专业安全设备来解决,也需要交换机发挥积极的防护作用,以实现多重保护。
安全性加强的交换机在越来越多企业用户对通过交换机实现网络安全巩固抱积极态度下应运而生,安全性加强的交换机本身具有专业抗攻击能力,是普通交换机的完善版和升级版,具有更高的智能性和安全保护功能。相信企业网络在防火墙等安全设备和企业交换机的联手下定能把黑客拒之于门外,将病毒赶尽杀绝!(T126)