|
|
知识路径: > 网络设备安全 > 网络设备安全增强技术方法 > 交换机安全增强技术方法(配置交换机访问口令和 ACL 以限制安全登陆、利用镜像技术监测网络流量、MAC 地址控制技术、安全增强等) >
|
|
相关知识点:10个
|
|
|
|
|
|
|
目前,交换机提供了多种用户登录、访问设备的方式,主要有通过Console端口、AUX端口、SNMP访问、Telnet访问、SSH访问、HTTP访问等方式。为增强交换机的访问安全,交换机支持ACL访问和口令认证安全控制,防止非法用户登录访问交换机设备。交换机的安全访问控制分为两级:
|
|
|
|
(1)第一级通过控制用户的连接实现。配置交换机ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接。
|
|
|
|
(2)第二级通过用户口令认证实现。连接到交换机设备的用户必须通过口令认证才能真正登录到设备。为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面设置口令,同时设置登录和访问的默认级别和切换口令。
|
|
|
|
通过配置ACL对登录用户进行过滤控制,可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证交换机设备的安全。
|
|
|
|
|
|
以太网交换机提供基于端口和流量的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除。
|
|
|
|
|
|
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
|
|
|
|
|
|
通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count,则该端口学习到的MAC地址条数达到count时,该端口将不再对MAC地址进行学习。缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
|
|
|
|
|
|
设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,进而影响交换机的运行性能。如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。一般情况下,推荐使用老化时间age的默认值300秒。
|
|
|
|
|
|
安全增强的作用在于减少交换机的网络攻击威胁面,提升抗攻击能力。方法主要包括关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。现以思科交换机安全增强为例,安全配置如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
