守護企業網絡安全掌握交換機設定秘籍

作者：時間：2012-07-02 來源：網絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

標簽：交換機設定 802.1X認證

本文引用地址：http://www.j9360.com/article/154490.htm

現在企業面臨著不法黑客的覬覦和破壞，各種網絡安全漏洞頻出，在人力和物力上都耗費相當的巨大。那么如何阻擋非法用戶，保障企業 網絡安全應用?如何過濾用戶的通訊信息，保障安全有效的數據轉發呢?除了購買強勁的網絡安全設備外，其實交換機的安全配置也相當重要，那么一些簡單常用卻又十分有效的交換機安全設置就很應該引起大家的注意并加以使用了，下面就一起來看看容易被我們忽略掉的“秘籍”吧。

秘籍一：基于端口訪問控制的802.1X

IEEE802.1X協議技術是一種在有線LAN或WLAN中都得到了廣泛應用的，可有效阻止非法用戶對局域網接入的技術。IEEE 802.1X協議在用戶接入網絡(可以是以太網/802.3或者WLAN網)之前運行，運行于網絡中的數據鏈路層的EAP協議和RADIUS協議。

802.1X配置界面

IEEE802.1X是一種基于端口的網絡接入控制技術，在LAN設備的物理接入級對接入設備進行認證和控制，此處的物理接入級指的是局域網交換機設備的端口。連接在該類端口上的用戶設備如果能通過認證，就可以訪問LAN內的資源;如果不能通過認證，則無法訪問LAN內的資源，相當于物理上斷開連接。

802.1X認證涉及三方面

802.1X認證涉及三方面：請求者、認證者和認證服務器。請求者是一個希望接入LAN或WLAN的客戶端設備(如筆記本)。認證者是網絡設備，如以太網交換機或無線接入點。而認證服務器通常是一臺主機上運行的軟件支持RADIUS和EAP協議。

802.1X有如下的技術優勢：

802.1X安全可靠，在二層網絡上實現用戶認證，結合MAC、端口、賬戶、VLAN和密碼等;綁定技術具有很高的安全性，在無線局域網網絡環境中802.1X結合EAP-TLS，EAP-TTLS，可以實現對WEP證書密鑰的動態分配，克服無線局域網接入中的安全漏洞。

802.1X容易實現，它可在普通L3、L2、IPDSLAM上實現，網絡綜合造價成本低，保留了傳統AAA認證的網絡架構，可以利用現有的RADIUS設備。

802.1X簡潔高效，純以太網技術內核，保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余;消除網絡認證計費瓶頸和單點故障，易于支持多業務和新興流媒體業務。

802.1X應用靈活，它可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術或者是業務的需要。

在行業標準方面，802.1X的IEEE標準和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操作系統內置支持，Linux也提供了對該協議的支持。

但是需要注意的是，雖然IEEE802.1X定義了基于端口的網絡接入控制協議，該協議僅適用于接入設備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有：局域網交換機的一個物理端口僅連接一個終端基站，這是基于物理端口的; IEEE 802.11定義的無線LAN接入方式是基于邏輯端口的。

秘籍二：進行L2-L4層的安全過濾

現在，大多數的新型交換機都可以通過建立規則的方式來實現各種過濾需求，這也是企業網管對交換機進行數據傳輸前的必要設置過程。

規則設置有兩種模式，一種是MAC模式，即常用的MAC地址過濾，可根據用戶需要依據源MAC或目的MAC有效實現數據的隔離。

可使用MAC地址過濾或IP地址過濾進行端口綁定

MAC地址是底層網絡來識別和尋找目標終端的標示，每個接入網絡的設備都有一個唯一的MAC地址。這樣就可保證所有接入無線網絡的終端都有唯一的不同的MAC地址，而MAC地址過濾技術就有了理論上的可行性。

通過設置MAC訪問控制，來啟用對接入設備的MAC訪問控制，這樣其他未經允許的設備就無法連入企業網絡了。

但MAC地址過濾，也并非完美。雖然MAC地址過濾可以阻止非信任的終端設備訪問，但在終端設備試圖連接交換機之前，MAC地址過濾是不會識別出誰是可信任的或誰是非信任的，訪問終端設備仍都可以連接到交換機，只是在做進一步的訪問時，才會被禁止。而且它不能斷開客戶端與交換機的連接，這樣入侵者就可以探到通信，并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進行監控，一旦授權信任的用戶沒有出現，入侵者就使用授權用戶的MAC地址來進行訪問。

因此僅僅依靠MAC地址過濾是不夠的，企業必須啟用盡可能多方面的安全防護手段來保護自身的網絡。

另一種是IP模式，即IP地址過濾模式，企業用戶可以通過源IP、目的IP、協議、源應用端口及目的應用端口過濾數據封包。