您好,登錄后才能下訂單哦!
確保園區(qū)網(wǎng)設(shè)備的安全性,與設(shè)計(jì)一個(gè)具有高可用性的網(wǎng)絡(luò)同樣重要。如果安全性出現(xiàn)漏洞,就會(huì)嚴(yán)重威脅至公司業(yè)務(wù)的正常動(dòng)作。
大多數(shù)行業(yè)或企業(yè)對(duì)于安全性所關(guān)注的都是來自企業(yè)外部的***,以及針對(duì)OSI模型上層展開的***。網(wǎng)絡(luò)安全性通常專注在邊緣路由設(shè)備上,并且基于第三、四層頭部、端口、狀態(tài)化數(shù)據(jù)包檢測(cè)等方式實(shí)施數(shù)據(jù)包過濾。常常會(huì)忽略園區(qū)網(wǎng)接入層設(shè)備和二層通信安全。
據(jù)數(shù)據(jù)統(tǒng)計(jì)顯示,80%的安全***源自于內(nèi)部***,因此,園區(qū)網(wǎng)接入設(shè)備的安全不得不認(rèn)真考慮。
常見的二層安全***為為MAC層***、VLAN***、欺騙***和交換機(jī)設(shè)備***四類,詳細(xì)***分類和***方法如下表如示。
***分類 | ***方法 | ***描述 | 抵御措施 |
MAC層*** | MAC地址泛洪 | 具有唯一且無效源MAC地址的數(shù)據(jù)幀向交換機(jī)泛洪,消耗完交換機(jī)的CAM表空間,從而阻止合法主機(jī)的MAC地址生成新條目,去往無效主機(jī)的流量會(huì)向所有端口泛洪 | 端口安全 MAC地址VLAN訪問控制列表 |
VLAN*** | VLAN跳轉(zhuǎn) | 通過改變Trunk鏈路中封裝的數(shù)據(jù)包的VLAN ID,***設(shè)備可以發(fā)送或接收不同VLAN中的數(shù)據(jù)包,而繞過三層安全機(jī)制 | 加強(qiáng)Trunk的配置和未使用端口的協(xié)商狀態(tài)。 把未使用的端口放入公共VLAN |
公共VLAN設(shè)備 之間的*** | 即使是公共VLAN中的設(shè)備,也需要逐一進(jìn)行保護(hù),尤其是在為多個(gè)客戶提供設(shè)備的服務(wù)提供商網(wǎng)段中 | 實(shí)施私有VLAN(PVLAN) | |
欺騙*** | DHCP耗竭和 DHCP欺騙 | ***設(shè)備可以在一段時(shí)間內(nèi),消耗完DHCP服務(wù)器上的可用地址空間,或者在中間人***中,把自己偽裝成DHCP服務(wù)器 | DHCP偵聽 |
生成樹欺騙 | ***設(shè)備偽裝成STP拓?fù)渲械母W(wǎng)橋。若成功了,***者就可以看到各種數(shù)據(jù)幀 | 主動(dòng)配置主用和備用根設(shè)備 啟用根防護(hù) | |
MAC欺騙 | ***設(shè)備偽裝成當(dāng)前CAM表中合法設(shè)備的MAC地址,這樣交換機(jī)就會(huì)把去往合法設(shè)備的數(shù)據(jù)幀發(fā)到***設(shè)備上。 | DHCP偵聽 端口安全 | |
ARP欺騙 | ***設(shè)備故意為合法主機(jī)偽造ARP應(yīng)答。***設(shè)備的MAC地址就會(huì)成為該合法網(wǎng)絡(luò)設(shè)備所發(fā)出的數(shù)據(jù)幀的二層目的地址。 | 動(dòng)態(tài)ARP檢測(cè) DHCP偵聽 端口安全 | |
交換機(jī)設(shè)備安全 | CDP修改 | 通過CDP發(fā)送的信息是明文形式且未加密,若***者截獲CDP消息,就可以獲得整個(gè)網(wǎng)絡(luò)拓?fù)湫畔?/span> | 在所有無意使用的端口上禁用CDP |
SSH和 Telnet*** | Telnet數(shù)據(jù)包可以以明文形式查看 SSH可以對(duì)數(shù)據(jù)包進(jìn)行保護(hù),但版本1中仍存在安全問題 | 使用SSH版本2 使用Telnet結(jié)合VTY ACL |
安全防范措施一般應(yīng)用于園區(qū)網(wǎng)絡(luò)的分布層和接入層,核心層負(fù)責(zé)交換數(shù)據(jù)包,交換速度越快越好,如提供安全×××將會(huì)降低數(shù)據(jù)包的交換速度,建議不要在網(wǎng)絡(luò)核心層運(yùn)用安全措施。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。