交換機安全策略全方位解析

交換機在企業(yè)網(wǎng)中占有重要的地位，通常是整個網(wǎng)絡(luò)的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網(wǎng)絡(luò)時代，作為核心的交換機也理所當然要承擔起網(wǎng)絡(luò)安全的一部分責任。因此，交換機要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。安全交換機由此應(yīng)運而生，在交換機中集成安全認證、ACL（Access Control List，訪問控制列表）、防火墻、入侵檢測甚至防毒的功能，網(wǎng)絡(luò)的安全真的需要“武裝到牙齒”。

安全交換機三層含義

交換機最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵擾下，交換機要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機所需要的最基本的安全功能。同時，交換機作為整個網(wǎng)絡(luò)的核心，應(yīng)該能對訪問和存取網(wǎng)絡(luò)信息的用戶進行區(qū)分和權(quán)限控制。更重要的是，交換機還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進行監(jiān)控和阻止。

安全交換機的新功能

802.1x強安全認證

在傳統(tǒng)的局域網(wǎng)環(huán)境中，只要有物理的連接端口，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng)，或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進入網(wǎng)絡(luò)。這樣給一些企業(yè)造成了潛在的安全威脅。另外，在學校以及智能小區(qū)的網(wǎng)絡(luò)中，由于涉及到網(wǎng)絡(luò)的計費，所以驗證用戶接入的合法性也顯得非常重要。IEEE 802.1x 正是解決這個問題的良藥，目前已經(jīng)被集成到二層智能交換機中，完成對用戶的接入安全審核。

802.1x協(xié)議是剛剛完成標準化的一個符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進行認證和授權(quán)的手段，達到了接受合法用戶接入，保護網(wǎng)絡(luò)安全的目的。

802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實現(xiàn)了LAN端口上的設(shè)備認證。在認證過程中，LAN端口要么充當認證者，要么扮演請求者。在作為認證者時，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進行認證，如若認證失敗則不允許接入；在作為請求者時，LAN端口則負責向認證服務(wù)器提交接入服務(wù)申請�；�于端口的MAC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會被自動丟棄，從而確保最大限度的安全性。

在802.1x協(xié)議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權(quán)。

1. 客戶端。一般安裝在用戶的工作站上，當用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)�會送出連接請求。

2. 認證系統(tǒng)。在以太網(wǎng)系統(tǒng)中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結(jié)果打開或關(guān)閉端口。

3. 認證服務(wù)器。通過檢驗客戶端發(fā)送來的身份標識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認證結(jié)果向交換機發(fā)出打開或保持端口關(guān)閉的狀態(tài)。

流量控制

安全交換機的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機的帶寬被無限制濫用。安全交換機的流量控制功能能夠?qū)崿F(xiàn)對異常流量的控制，避免網(wǎng)絡(luò)堵塞。

防DDoS

企業(yè)網(wǎng)一旦遭到大規(guī)模分布式拒絕服務(wù)攻擊，會影響大量用戶的正常網(wǎng)絡(luò)使用，嚴重的甚至造成網(wǎng)絡(luò)癱瘓，成為服務(wù)提供商最為頭疼的攻擊。安全交換機采用專門的技術(shù)來防范DDoS攻擊，它可以在不影響正常業(yè)務(wù)的情況下，智能地檢測和阻止惡意流量，從而防止網(wǎng)絡(luò)受到DDoS攻擊的威脅。

在Windows系統(tǒng)中，用戶名和密碼對系統(tǒng)安全的影響毫無疑問是最重要。通過一定方式獲得計算機用戶名，然后再通過一定的方法獲取用戶名的密碼，已經(jīng)成為許多黑客的重要攻擊方式。即使現(xiàn)在許多防火墻軟件不端涌現(xiàn)，功能也逐步加強，但是通過獲取用戶名和密碼的攻擊方式仍然時有發(fā)生。其實通過加固Windows系統(tǒng)用戶的權(quán)限，在一定程度上對安全有著很大的幫助。

Windows是一個支持多用戶、多任務(wù)的操作系統(tǒng)，不同的用戶在訪問這臺計算機時，將會有不同的權(quán)限。同時，對用戶權(quán)限的設(shè)置也是是基于用戶和進程而言的，Windows 里，用戶被分成許多組，組和組之間都有不同的權(quán)限，并且一個組的用戶和用戶之間也可以有不同的權(quán)限。以下就是常見的用戶組。