交换机安全概述-创新互联

确保园区网设备的安全性,与设计一个具有高可用性的网络同样重要。如果安全性出现漏洞,就会严重威胁至公司业务的正常动作。

天祝藏族自治网站建设公司创新互联建站,天祝藏族自治网站设计制作,有大型网站制作公司丰富经验。已为天祝藏族自治数千家提供企业网站建设服务。企业网站搭建\外贸网站建设要多少钱,请找那个售后服务好的天祝藏族自治做网站的公司定做!

大多数行业或企业对于安全性所关注的都是来自企业外部的***,以及针对OSI模型上层展开的***。网络安全性通常专注在边缘路由设备上,并且基于第三、四层头部、端口、状态化数据包检测等方式实施数据包过滤。常常会忽略园区网接入层设备和二层通信安全。

据数据统计显示,80%的安全***源自于内部***,因此,园区网接入设备的安全不得不认真考虑。

常见的二层安全***为为MAC层***、VLAN***、欺骗***和交换机设备***四类,详细***分类和***方法如下表如示。

***分类

***方法

***描述

抵御措施

MAC层***

MAC地址泛洪

具有唯一且无效源MAC地址的数据帧向交换机泛洪,消耗完交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目,去往无效主机的流量会向所有端口泛洪

端口安全

MAC地址VLAN访问控制列表

VLAN***

VLAN跳转

通过改变Trunk链路中封装的数据包的VLAN ID,***设备可以发送或接收不同VLAN中的数据包,而绕过三层安全机制

加强Trunk的配置和未使用端口的协商状态。

把未使用的端口放入公共VLAN

公共VLAN设备

之间的***

即使是公共VLAN中的设备,也需要逐一进行保护,尤其是在为多个客户提供设备的服务提供商网段中

实施私有VLAN(PVLAN)

欺骗***

DHCP耗竭和

DHCP欺骗

***设备可以在一段时间内,消耗完DHCP服务器上的可用地址空间,或者在中间人***中,把自己伪装成DHCP服务器

DHCP侦听

生成树欺骗

***设备伪装成STP拓扑中的根网桥。若成功了,***者就可以看到各种数据帧

主动配置主用和备用根设备

启用根防护

MAC欺骗

***设备伪装成当前CAM表中合法设备的MAC地址,这样交换机就会把去往合法设备的数据帧发到***设备上。

DHCP侦听

端口安全

ARP欺骗

***设备故意为合法主机伪造ARP应答。***设备的MAC地址就会成为该合法网络设备所发出的数据帧的二层目的地址。

动态ARP检测

DHCP侦听

端口安全

交换机设备安全

CDP修改

通过CDP发送的信息是明文形式且未加密,若***者截获CDP消息,就可以获得整个网络拓扑信息

在所有无意使用的端口上禁用CDP

SSH和

Telnet***

Telnet数据包可以以明文形式查看

SSH可以对数据包进行保护,但版本1中仍存在安全问题

使用SSH版本2

使用Telnet结合VTY ACL

安全防范措施一般应用于园区网络的分布层和接入层,核心层负责交换数据包,交换速度越快越好,如提供安全×××将会降低数据包的交换速度,建议不要在网络核心层运用安全措施。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站名称:交换机安全概述-创新互联
标题链接:http://scyanting.com/article/dscjep.html