企业网络拓扑图+设计+组建与维护 第7页
网络安全及管理机制
5.1 完善的安全机制
企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流 量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口 ARP 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。
1.防火墙技术。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统 802.1QVLAN造成全网 VID 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;
3. 可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
4. 支持业界特有的IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;
5. 提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC 更高效安全 地运行;
6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备;
7. 提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
8.硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
解决安全威胁
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
1.防冲击波病毒
随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保 卫企业网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了企业 网络的各个角落。
2.来自网络内部的恶意或误操作攻击
据相关数字显示,目前,网络遭受的恶意攻击 90%以上是来自于内部, 诸如窃取他人密码等重要信息、盗打 IP 电话、企业一卡通金额被盗等事件时 有发生。对此,如果仅仅 倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管人员制造了难以逾越的瓶颈。
5.2 VPN (虚拟专用网)
虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说 VPN 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2 Tunneling Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有 MPPE,IPsec,VPNd,SSH.. IP sec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IP sec 运行于传 输模式