守護企業(yè)網(wǎng)絡(luò)安全 掌握交換機設(shè)定秘籍

標(biāo)簽：交換機設(shè)定 802.1X認證

現(xiàn)在企業(yè)面臨著不法黑客的覬覦和破壞，各種網(wǎng)絡(luò)安全漏洞頻出，在人力和物力上都耗費相當(dāng)?shù)木薮?。那么如何阻擋非法用戶，保?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/企業(yè)">企業(yè)網(wǎng)絡(luò)安全應(yīng)用?如何過濾用戶的通訊信息，保障安全有效的數(shù)據(jù)轉(zhuǎn)發(fā)呢?除了購買強勁的網(wǎng)絡(luò)安全設(shè)備外，其實交換機的安全配置也相當(dāng)重要，那么一些簡單常用卻又十分有效的交換機安全設(shè)置就很應(yīng)該引起大家的注意并加以使用了，下面就一起來看看容易被我們忽略掉的“秘籍”吧。

秘籍一：基于端口訪問控制的802.1X

IEEE802.1X協(xié)議技術(shù)是一種在有線LAN或WLAN中都得到了廣泛應(yīng)用的，可有效阻止非法用戶對局域網(wǎng)接入的技術(shù)。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)(可以是以太網(wǎng)/802.3或者WLAN網(wǎng))之前運行，運行于網(wǎng)絡(luò)中的數(shù)據(jù)鏈路層的EAP協(xié)議和RADIUS協(xié)議。

802.1X配置界面

IEEE802.1X是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在LAN設(shè)備的物理接入級對接入設(shè)備進行認證和控制，此處的物理接入級指的是局域網(wǎng)交換機設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過認證，就可以訪問LAN內(nèi)的資源;如果不能通過認證，則無法訪問LAN內(nèi)的資源，相當(dāng)于物理上斷開連接。

802.1X認證涉及三方面

802.1X認證涉及三方面：請求者、認證者和認證服務(wù)器。請求者是一個希望接入LAN或WLAN的客戶端設(shè)備(如筆記本)。認證者是網(wǎng)絡(luò)設(shè)備，如以太網(wǎng)交換機或無線接入點。而認證服務(wù)器通常是一臺主機上運行的軟件支持RADIUS和EAP協(xié)議。

802.1X有如下的技術(shù)優(yōu)勢：

802.1X安全可靠，在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合MAC、端口、賬戶、VLAN和密碼等;綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1X結(jié)合EAP-TLS，EAP-TTLS，可以實現(xiàn)對WEP證書密鑰的動態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

802.1X容易實現(xiàn)，它可在普通L3、L2、IPDSLAM上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低，保留了傳統(tǒng)AAA認證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

802.1X簡潔高效，純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余;消除網(wǎng)絡(luò)認證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

802.1X應(yīng)用靈活，它可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設(shè)備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

在行業(yè)標(biāo)準(zhǔn)方面，802.1X的IEEE標(biāo)準(zhǔn)和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對該協(xié)議的支持。

但是需要注意的是，雖然IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，該協(xié)議僅適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應(yīng)用方式有：局域網(wǎng)交換機的一個物理端口僅連接一個終端基站，這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。

秘籍二：進行L2-L4層的安全過濾

現(xiàn)在，大多數(shù)的新型交換機都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求，這也是企業(yè)網(wǎng)管對交換機進行數(shù)據(jù)傳輸前的必要設(shè)置過程。

規(guī)則設(shè)置有兩種模式，一種是MAC模式，即常用的MAC地址過濾，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離。

可使用MAC地址過濾或IP地址過濾進行端口綁定

MAC地址是底層網(wǎng)絡(luò)來識別和尋找目標(biāo)終端的標(biāo)示，每個接入網(wǎng)絡(luò)的設(shè)備都有一個唯一的MAC地址。這樣就可保證所有接入無線網(wǎng)絡(luò)的終端都有唯一的不同的MAC地址，而MAC地址過濾技術(shù)就有了理論上的可行性。

通過設(shè)置MAC訪問控制，來啟用對接入設(shè)備的MAC訪問控制，這樣其他未經(jīng)允許的設(shè)備就無法連入企業(yè)網(wǎng)絡(luò)了。

但MAC地址過濾，也并非完美。雖然MAC地址過濾可以阻止非信任的終端設(shè)備訪問，但在終端設(shè)備試圖連接交換機之前，MAC地址過濾是不會識別出誰是可信任的或誰是非信任的，訪問終端設(shè)備仍都可以連接到交換機，只是在做進一步的訪問時，才會被禁止。而且它不能斷開客戶端與交換機的連接，這樣入侵者就可以探到通信，并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進行監(jiān)控，一旦授權(quán)信任的用戶沒有出現(xiàn)，入侵者就使用授權(quán)用戶的MAC地址來進行訪問。

因此僅僅依靠MAC地址過濾是不夠的，企業(yè)必須啟用盡可能多方面的安全防護手段來保護自身的網(wǎng)絡(luò)。

另一種是IP模式，即IP地址過濾模式，企業(yè)用戶可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包。

IP地址過濾界面

使用IP地址過濾可以拒絕或允許局域網(wǎng)中計算機與互聯(lián)網(wǎng)之間的通信，并且可以拒絕或允許特定IP地址的特定的端口號或所有端口號，簡單直接。