<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機與無線通信 > 設計應用 > 守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍

          守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍

          作者: 時間:2012-07-02 來源:網(wǎng)絡 收藏

          最后,建立好的規(guī)則必須附加到相應的接收或傳送端口上,當在此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時,根據(jù)過濾規(guī)則來過濾封包,決定是轉(zhuǎn)發(fā)還是丟棄。另外,通過硬件“邏輯與非門”對過濾規(guī)則進行邏輯運算,實現(xiàn)過濾規(guī)則確定,完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。

          三:強化安全SNMPv3及SSH協(xié)議

          更為完善的SNMPv3協(xié)議

          SNMPv1和v2版本對用戶權(quán)力的惟一限制是訪問口令,而沒有用戶和權(quán)限分級的概念,只要提供相應的口令,就可以對設備進行read或read/write操作,安全性相對來的薄弱。而SNMPv3則采用了新的SNMP擴展框架,它將各版本的SNMP標準集中到一起,在此架構(gòu)下,安全性和管理上有很大的提高。

          守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍

          SNMPv3工作原理

          SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設計思想,使管理者可以簡單地實現(xiàn)功能的增加和修改。其主要特點在于適應性強,可適用于多種操作環(huán)境,不僅可以管理最簡單的網(wǎng)絡,實現(xiàn)基本的管理功能,還能夠提供強大的網(wǎng)絡管理功能,滿足復雜網(wǎng)絡的管理需求。

          守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍

          SNMPv3安全參數(shù)界面

          SNMPv3建議的安全模型是基于用戶的安全模型,即USM。USM對網(wǎng)管消息進行加密和認證是基于用戶進行的,具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱userName)權(quán)威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES,認證協(xié)議HMAC-MD5-96和HMAC-SHA-96),通過認證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務,從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

          但SNMP也存在著一定的問題,它使用嵌入到網(wǎng)絡設施中的代理軟件來收集網(wǎng)絡通信信息和有關網(wǎng)絡設備的統(tǒng)計數(shù)據(jù),代理不斷地收集統(tǒng)計數(shù)據(jù)并記錄到MIB中,網(wǎng)絡管理人員通過向代理的MIB發(fā)出查詢信號(輪詢)可以得到這些信息。雖然MIB計數(shù)器將統(tǒng)計數(shù)據(jù)的總和記錄下來了,但它無法對日常通信量進行歷史分析。而為了能全面地查看通信流量和變化率,管理人員必須不斷地輪詢SNMP代理,這就帶來了巨大的工作量。

          這時SNMP建立在輪詢管理上的兩個明顯弱點便顯現(xiàn)出來,如在大型的網(wǎng)絡中,輪詢會產(chǎn)生巨大的網(wǎng)絡管理通信量,因而導致通信擁擠情況的發(fā)生;它將收集數(shù)據(jù)的負擔加在網(wǎng)絡管理控制臺上,管理站也許能輕松地收集8個網(wǎng)段的信息,但當它們監(jiān)控48個網(wǎng)段時恐怕就難以應付了。

          更為可靠的SSH安全協(xié)議

          至于通過FTP、POP和Telnet等網(wǎng)絡服務應用的,由于它們都有一個致命的弱點——在網(wǎng)絡上以明文的方式傳送數(shù)據(jù)、用戶帳號及用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊,遭遇口令竊取。但采用SSH進行通訊時,用戶名及口令均進行了加密,可有效防止非法用戶對口令的竊聽,便于網(wǎng)管人員進行遠程的安全網(wǎng)絡管理。

          SSH是目前較可靠,專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進行加密,也能夠防止DNS欺騙和IP欺騙。

          SSH之另一項優(yōu)點為其傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣?。SSH有很多功能,它既可以代替Telnet,又可以為FTP、POP、甚至為PPP提供一個安全的“通道”。

          四:syslog和watchdog

          系統(tǒng)日志syslog

          對于的安全設置,不可缺少的是關于syslog日志功能的利用。該功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等用戶的期望信息傳送給日志服務器,網(wǎng)管人員依據(jù)這些信息設備的運行狀況,及早發(fā)現(xiàn)問題,及時進行配置和排障,保障穩(wěn)定地運行。

          守護企業(yè)網(wǎng)絡安全 掌握交換機設定秘籍

          系統(tǒng)日志syslog界面

          syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄,是一種用來在網(wǎng)際網(wǎng)路協(xié)議(TCP/IP)的網(wǎng)路中傳遞記錄檔訊息的標準。syslog協(xié)議屬于一種主從式協(xié)議,syslog發(fā)送端會傳送出一個小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務器。

          系統(tǒng)日志訊息可以被以UDP協(xié)議或TCP協(xié)議來傳送,并且是以明碼型態(tài)被傳送的。不過由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協(xié)議本身的一部分,因此可以被用來透過SSL/TLS方式提供一層加密。

          syslog通常被用于資訊系統(tǒng)管理及資料審核,雖然它有不少缺陷,但仍獲得相當多裝置及各種平臺終端的支持。因此syslog能被用來將來自許多不同類型系統(tǒng)的日志記錄整合到集中的儲存庫中。

          watchdog

          watchdog通過設定一個計時器,如果設定的時間間隔內(nèi)計時器沒有重啟,則生成一個內(nèi)在CPU重啟指令,使設備重新啟動,這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟,保障網(wǎng)絡的安全運行。

          硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內(nèi)核的定時器實現(xiàn),當內(nèi)核或中斷出現(xiàn)異常時,軟件watchdog將會失效。而硬件watchdog由自身的硬件電路控制, 獨立于內(nèi)核。無論當前系統(tǒng)狀態(tài)如何,硬件watchdog在設定的時間間隔內(nèi)沒有被執(zhí)行寫操作,仍會重新啟動系統(tǒng)。

          五:查看是否可通過雙鏡像文件恢復

          現(xiàn)在一些新型的交換機已經(jīng)具備了雙映像文件,這一功能可保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行。

          交換機相關文章:交換機工作原理




          評論


          相關推薦

          技術專區(qū)

          關閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();