掌握交換機(jī)設(shè)定秘籍守護(hù)網(wǎng)絡(luò)安全

標(biāo)簽：交換機(jī)設(shè)定  802.1X

現(xiàn)在企業(yè)面臨著不法黑客的覬覦和破壞，各種網(wǎng)絡(luò)安全漏洞頻出，在人力和物力上都耗費(fèi)相當(dāng)?shù)木薮?。那么如何阻擋非法用戶，保障企業(yè)網(wǎng)絡(luò)安全應(yīng)用?如何過濾用戶的通訊信息，保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)呢?

除了購買強(qiáng)勁的網(wǎng)絡(luò)安全設(shè)備外，其實(shí)交換機(jī)的安全配置也相當(dāng)重要，那么一些簡單常用卻又十分有效的交換機(jī)安全設(shè)置就很應(yīng)該引起大家的注意并加以使用了，下面就一起來看看容易被我們忽略掉的“秘籍”吧。

秘籍一：基于端口訪問控制的802.1X

IEEE802.1X協(xié)議技術(shù)是一種在有線LAN或WLAN中都得到了廣泛應(yīng)用的，可有效阻止非法用戶對局域網(wǎng)接入的技術(shù)。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運(yùn)行，運(yùn)行于網(wǎng)絡(luò)中的數(shù)據(jù)鏈路層的EAP協(xié)議和RADIUS協(xié)議。

802.1X配置界面

IEEE802.1X是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在LAN設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制，此處的物理接入級指的是局域網(wǎng)交換機(jī)設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問LAN內(nèi)的資源;如果不能通過認(rèn)證，則無法訪問LAN內(nèi)的資源，相當(dāng)于物理上斷開連接。

802.1X認(rèn)證涉及三方面

802.1X認(rèn)證涉及三方面：請求者、認(rèn)證者和認(rèn)證服務(wù)器。請求者是一個希望接入LAN或WLAN的客戶端設(shè)備(如筆記本)。認(rèn)證者是網(wǎng)絡(luò)設(shè)備，如以太網(wǎng)交換機(jī)或無線接入點(diǎn)。而認(rèn)證服務(wù)器通常是一臺主機(jī)上運(yùn)行的軟件支持RADIUS和EAP協(xié)議。

802.1X有如下的技術(shù)優(yōu)勢：

802.1X安全可靠，在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合MAC、端口、賬戶、VLAN和密碼等;綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1X結(jié)合EAP-TLS，EAP-TTLS，可以實(shí)現(xiàn)對WEP證書密鑰的動態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

802.1X容易實(shí)現(xiàn)，它可在普通L3、L2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

802.1X簡潔高效，純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余;消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

802.1X應(yīng)用靈活，它可以靈活控制認(rèn)證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

在行業(yè)標(biāo)準(zhǔn)方面，802.1X的IEEE標(biāo)準(zhǔn)和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對該協(xié)議的支持。

但是需要注意的是，雖然IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，該協(xié)議僅適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應(yīng)用方式有：局域網(wǎng)交換機(jī)的一個物理端口僅連接一個終端基站，這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。

秘籍二：進(jìn)行L2-L4層的安全過濾

現(xiàn)在，大多數(shù)的新型交換機(jī)都可以通過建立規(guī)則的方式來實(shí)現(xiàn)各種過濾需求，這也是企業(yè)網(wǎng)管對交換機(jī)進(jìn)行數(shù)據(jù)傳輸前的必要設(shè)置過程。

規(guī)則設(shè)置有兩種模式，一種是MAC模式，即常用的MAC地址過濾，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離。

可使用MAC地址過濾或IP地址過濾進(jìn)行端口綁定

MAC地址是底層網(wǎng)絡(luò)來識別和尋找目標(biāo)終端的標(biāo)示，每個接入網(wǎng)絡(luò)的設(shè)備都有一個唯一的MAC地址。這樣就可保證所有接入無線網(wǎng)絡(luò)的終端都有唯一的不同的MAC地址，而MAC地址過濾技術(shù)就有了理論上的可行性。

通過設(shè)置MAC訪問控制，來啟用對接入設(shè)備的MAC訪問控制，這樣其他未經(jīng)允許的設(shè)備就無法連入企業(yè)網(wǎng)絡(luò)了。

但MAC地址過濾，也并非完美。雖然MAC地址過濾可以阻止非信任的終端設(shè)備訪問，但在終端設(shè)備試圖連接交換機(jī)之前，MAC地址過濾是不會識別出誰是可信任的或誰是非信任的，訪問終端設(shè)備仍都可以連接到交換機(jī)，只是在做進(jìn)一步的訪問時，才會被禁止。而且它不能斷開客戶端與交換機(jī)的連接，這樣入侵者就可以探到通信，并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進(jìn)行監(jiān)控，一旦授權(quán)信任的用戶沒有出現(xiàn)，入侵者就使用授權(quán)用戶的MAC地址來進(jìn)行訪問。

因此僅僅依靠MAC地址過濾是不夠的，企業(yè)必須啟用盡可能多方面的安全防護(hù)手段來保護(hù)自身的網(wǎng)絡(luò)。

另一種是IP模式，即IP地址過濾模式，企業(yè)用戶可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包。

IP地址過濾界面

使用IP地址過濾可以拒絕或允許局域網(wǎng)中計(jì)算機(jī)與互聯(lián)網(wǎng)之間的通信，并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號，簡單直接。

最后，建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上，當(dāng)交換機(jī)在此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時，根據(jù)過濾規(guī)則來過濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機(jī)通過硬件“邏輯與非門”對過濾規(guī)則進(jìn)行邏輯運(yùn)算，實(shí)現(xiàn)過濾規(guī)則確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。

秘籍三：強(qiáng)化安全SNMPv3及SSH協(xié)議

更為完善的SNMPv3協(xié)議

SNMPv1和v2版本對用戶權(quán)力的惟一限制是訪問口令，而沒有用戶和權(quán)限分級的概念，只要提供相應(yīng)的口令，就可以對設(shè)備進(jìn)行read或read/write操作，安全性相對來的薄弱。而SNMPv3則采用了新的SNMP擴(kuò)展框架，它將各版本的SNMP標(biāo)準(zhǔn)集中到一起，在此架構(gòu)下，安全性和管理上有很大的提高。

SNMPv3工作原理

SNMPv3是在SNMPv2基礎(chǔ)之上增加、完善了安全和管理機(jī)制。RFC 2271定義的SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設(shè)計(jì)思想，使管理者可以簡單地實(shí)現(xiàn)功能的增加和修改。其主要特點(diǎn)在于適應(yīng)性強(qiáng)，可適用于多種操作環(huán)境，不僅可以管理最簡單的網(wǎng)絡(luò)，實(shí)現(xiàn)基本的管理功能，還能夠提供強(qiáng)大的網(wǎng)絡(luò)管理功能，滿足復(fù)雜網(wǎng)絡(luò)的管理需求。[!--empirenews.page--]

SNMPv3安全參數(shù)界面

SNMPv3建議的安全模型是基于用戶的安全模型，即USM。USM對網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的，具體地說就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱userName)權(quán)威引擎標(biāo)識符(EngineID)來決定(推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96和HMAC-SHA-96)，通過認(rèn)證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時限服務(wù)，從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

但SNMP也存在著一定的問題，它使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)，代理不斷地收集統(tǒng)計(jì)數(shù)據(jù)并記錄到MIB中，網(wǎng)絡(luò)管理人員通過向代理的MIB發(fā)出查詢信號(輪詢)可以得到這些信息。雖然MIB計(jì)數(shù)器將統(tǒng)計(jì)數(shù)據(jù)的總和記錄下來了，但它無法對日常通信量進(jìn)行歷史分析。而為了能全面地查看通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，這就帶來了巨大的工作量。

這時SNMP建立在輪詢管理上的兩個明顯弱點(diǎn)便顯現(xiàn)出來，如在大型的網(wǎng)絡(luò)中，輪詢會產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠情況的發(fā)生;它將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺上，管理站也許能輕松地收集8個網(wǎng)段的信息，但當(dāng)它們監(jiān)控48個網(wǎng)段時恐怕就難以應(yīng)付了。

更為可靠的SSH安全協(xié)議

至于通過FTP、POP和Telnet等網(wǎng)絡(luò)服務(wù)應(yīng)用的，由于它們都有一個致命的弱點(diǎn)——在網(wǎng)絡(luò)上以明文的方式傳送數(shù)據(jù)、用戶帳號及用戶口令，很容易受到中間人(man-in-the-middle)攻擊方式的攻擊，遭遇口令竊取。但采用SSH進(jìn)行通訊時，用戶名及口令均進(jìn)行了加密，可有效防止非法用戶對口令的竊聽，便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。

SSH是目前較可靠，專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。

SSH之另一項(xiàng)優(yōu)點(diǎn)為其傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、POP、甚至為PPP提供一個安全的“通道”。

秘籍四：掌握syslog和watchdog

系統(tǒng)日志syslog

對于交換機(jī)的安全設(shè)置，不可缺少的是關(guān)于syslog日志功能的利用。該功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報(bào)告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問題，及時進(jìn)行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。

系統(tǒng)日志syslog界面

syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來在網(wǎng)際網(wǎng)路協(xié)議(TCP/IP)的網(wǎng)路中傳遞記錄檔訊息的標(biāo)準(zhǔn)。syslog協(xié)議屬于一種主從式協(xié)議，syslog發(fā)送端會傳送出一個小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務(wù)器。

系統(tǒng)日志訊息可以被以UDP協(xié)議或TCP協(xié)議來傳送，并且是以明碼型態(tài)被傳送的。不過由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協(xié)議本身的一部分，因此可以被用來透過SSL/TLS方式提供一層加密。

syslog通常被用于資訊系統(tǒng)管理及資料審核，雖然它有不少缺陷，但仍獲得相當(dāng)多裝置及各種平臺終端的支持。因此syslog能被用來將來自許多不同類型系統(tǒng)的日志記錄整合到集中的儲存庫中。

設(shè)定watchdog

watchdog通過設(shè)定一個計(jì)時器，如果設(shè)定的時間間隔內(nèi)計(jì)時器沒有重啟，則生成一個內(nèi)在CPU重啟指令，使設(shè)備重新啟動，這一功能可使交換機(jī)在緊急故障或意外情況下時可智能自動重啟，保障網(wǎng)絡(luò)的安全運(yùn)行。

硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內(nèi)核的定時器實(shí)現(xiàn)，當(dāng)內(nèi)核或中斷出現(xiàn)異常時，軟件watchdog將會失效。而硬件watchdog由自身的硬件電路控制， 獨(dú)立于內(nèi)核。無論當(dāng)前系統(tǒng)狀態(tài)如何，硬件watchdog在設(shè)定的時間間隔內(nèi)沒有被執(zhí)行寫操作，仍會重新啟動系統(tǒng)。

秘籍五：查看是否可通過雙鏡像文件恢復(fù)

現(xiàn)在一些新型的交換機(jī)已經(jīng)具備了雙映像文件，這一功能可保護(hù)設(shè)備在異常情況下(固件升級失敗等)仍然可正常啟動運(yùn)行。

交換機(jī)文件系統(tǒng)分majoy和mirror兩部分進(jìn)行保存，如果一個文件系統(tǒng)損害或中斷，另外一個文件系統(tǒng)會將其重寫，如果兩個文件系統(tǒng)都損害，則設(shè)備會清除兩個文件系統(tǒng)并重寫為出廠時默認(rèn)設(shè)置，確保系統(tǒng)安全啟動運(yùn)行。

秘籍六：限制流量控制

通過交換機(jī)的流量控制功能，可以把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。

例如，思科交換機(jī)具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。

風(fēng)暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢，通過對不同種類流量設(shè)定一個閾值，交換機(jī)在端口流量達(dá)到設(shè)定值時啟動流量控制功能甚至將端口宕掉。

端口保護(hù)類似于端口隔離，設(shè)置了端口保護(hù)功能的端口之間不交換任何流量。

端口安全是對未經(jīng)許可的地址進(jìn)行端口級的訪問限制?，F(xiàn)在華為交換機(jī)也提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。

流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對超過設(shè)定值的廣播流量進(jìn)行丟棄處理。

不過，交換機(jī)的流量控制功能只能對經(jīng)過端口的各類流量進(jìn)行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設(shè)定一個合適的閾值也比較困難。如果需要對報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問控制列表 )。

ACL利用IP地址、TCP/UDP端口等對進(jìn)出交換機(jī)的報(bào)文進(jìn)行過濾，根據(jù)預(yù)設(shè)條件，對報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。思科和華為的交換機(jī)均支持IP ACL和MAC ACL，每種ACL分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式的ACL根據(jù)源地址和上層協(xié)議類型進(jìn)行過濾，擴(kuò)展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過濾。[!--empirenews.page--]

通過細(xì)分不同的網(wǎng)絡(luò)流量，企業(yè)用戶可以針對性地對異常流量分別進(jìn)行控制。如通過IP報(bào)文的協(xié)議字段控制單播類異常流量，通過以太幀的協(xié)議字段控制廣播類異常報(bào)文，通過IP目的地址段控制組播類報(bào)文。除了這些控制手段之外，網(wǎng)絡(luò)管理員還需要經(jīng)常注意網(wǎng)絡(luò)異常流量，及時定位異常流量的源主機(jī)，并且排除故障。

交換機(jī)的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機(jī)帶寬的異常負(fù)荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

總結(jié)：掌握配置秘籍 輕松防護(hù)

交換機(jī)產(chǎn)品是企業(yè)數(shù)據(jù)傳輸?shù)闹修D(zhuǎn)樞紐，它的安全設(shè)置直接關(guān)系到企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定安全?，F(xiàn)在為了應(yīng)對更加復(fù)雜的網(wǎng)絡(luò)環(huán)境，在安全設(shè)計(jì)上交換機(jī)產(chǎn)品也都配置有相當(dāng)豐富的安全功能，因此我們只需充分利用這些網(wǎng)絡(luò)安全設(shè)置功能，進(jìn)行合理的組合搭配，就可為企業(yè)網(wǎng)絡(luò)搭建一層安全的防護(hù)屏障。

雖然對于多數(shù)企網(wǎng)的高安全需求，企業(yè)仍需添加更為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，但對于交換機(jī)的防護(hù)設(shè)置，既可輕松增加企業(yè)網(wǎng)絡(luò)的安全性，又可為一些中小企業(yè)或網(wǎng)吧業(yè)主在網(wǎng)絡(luò)設(shè)備投入上節(jié)約成本，何樂而不為呢，因此一起來了解掌握交換機(jī)配置秘籍，進(jìn)行輕松地防護(hù)吧。