L2-L4 層過濾
現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求��。規(guī)則設置有兩種模式��,一種是MAC模式��,可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離��,另一種是IP模式��,可以通過源IP��、目的IP��、協(xié)議��、源應用端口及目的應用端口過濾數(shù)據(jù)封包;建立好的規(guī)則必須附加到相應的接收或傳送端口上��,則當交換機此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時��,根據(jù)過濾規(guī)則來過濾封包��,決定是轉(zhuǎn)發(fā)還是丟棄��。另外��,交換機通過硬件"邏輯與非門"對過濾規(guī)則進行邏輯運算��,實現(xiàn)過濾規(guī)則確定��,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率��。
802.1X 基于端口的訪問控制
為了阻止非法用戶對局域網(wǎng)的接入,保障網(wǎng)絡的安全性��,基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應用��。例如華碩最新的 GigaX2024/2048等新一代交換機產(chǎn)品不僅僅支持802.1X 的Local��、RADIUS 驗證方式��,而且支持802.1X 的Dynamic VLAN 的接入��,即在VLAN和802.1X 的基礎上��,持有某用戶賬號的用戶無論在網(wǎng)絡內(nèi)的何處接入��,都會超越原有802.1Q 下基于端口VLAN 的限制��,始終接入與此賬號指定的VLAN組內(nèi)��,這一功能不僅為網(wǎng)絡內(nèi)的移動用戶對資源的應用提供了靈活便利��,同時又保障了網(wǎng)絡資源應用的安全性;另外��, GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能��,即在802.1X的應用中��,如果端口指定了Guest VLAN項��,此端口下的接入用戶如果認證失敗或根本無用戶賬號的話��,會成為Guest VLAN 組的成員��,可以享用此組內(nèi)的相應網(wǎng)絡資源��,這一種功能同樣可為網(wǎng)絡應用的某一些群體開放最低限度的資源��,并為整個網(wǎng)絡提供了一個最外圍的接入安全��。
流量控制(traffic control)
交換機的流量控制可以預防因為廣播數(shù)據(jù)包��、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機帶寬的異常負荷��,并可提高系統(tǒng)的整體效能��,保持網(wǎng)絡安全穩(wěn)定的運行��。
SNMP v3 及SSH
安全網(wǎng)管SNMP v3 提出全新的體系結構��,將各版本的SNMP 標準集中到一起��,進而加強網(wǎng)管安全性��。SNMP v3 建議的安全模型是基于用戶的安全模型,即USM.USM對網(wǎng)管消息進行加密和認證是基于用戶進行的��,具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱(userNmae)權威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES��,認證協(xié)議HMAC-MD5-96 和HMAC-SHA-96)��,通過認證��、加密和時限提供數(shù)據(jù)完整性��、數(shù)據(jù)源認證��、數(shù)據(jù)保密和消息時限服務��,從而有效防止非授權用戶對管理信息的修改��、偽裝和竊聽��。
至于通過Telnet 的遠程網(wǎng)絡管理��,由于Telnet 服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令��,所以��,很容易被別有用心的人竊取口令��,受到攻擊��,但采用SSH進行通訊時��,用戶名及口令均進行了加密��,有效防止了對口令的竊聽��,便于網(wǎng)管人員進行遠程的安全網(wǎng)絡管理��。
Syslog和Watchdog
交換機的Syslog 日志功能可以將系統(tǒng)錯誤��、系統(tǒng)配置��、狀態(tài)變化��、狀態(tài)定期報告��、系統(tǒng)退出等用戶設定的期望信息傳送給日志服務器��,網(wǎng)管人員依據(jù)這些信息掌握設備的運行狀況��,及早發(fā)現(xiàn)問題��,及時進行配置設定和排障��,保障網(wǎng)絡安全穩(wěn)定地運行。
Watchdog 通過設定一個計時器��,如果設定的時間間隔內(nèi)計時器沒有重啟��,則生成一個內(nèi)在CPU重啟指令��,使設備重新啟動��,這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟��,保障網(wǎng)絡的運行��。
雙映像文件
一些最新的交換機��, 像A S U SGigaX2024/2048還具備雙映像文件��。這一功能保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行��。文件系統(tǒng)分majoy和 mirror兩部分進行保存��,如果一個文件系統(tǒng)損害或中斷��,另外一個文件系統(tǒng)會將其重寫��,如果兩個文件系統(tǒng)都損害��,則設備會清除兩個文件系統(tǒng)并重寫為出廠時默認設置��,確保系統(tǒng)安全啟動運行��。
關鍵詞標簽:交換機
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程