确保局域网安全的三种方法
目前,局域网主要采用基于广播技术的以太网。任何两个节点之间的通信数据包,不仅两节点接收,也被在同一个以太网网络节点。因此,黑客只要节点接入网络的基于以太网的拦截,可以在以太网数据包捕获、解包分析,从而窃取关键信息,这是以太网的固有安全性。事实上,免费的黑客工具网上很多以以太网作为其最基本的手段。局域网的安全
目前,局域网安全的解决方案有多种。
1。网络分割
网络分割通常被认为是控制网络广播风暴的基本手段,也是保证网络安全的重要措施,其目的是将非法用户从敏感的网络资源中隔离开来,以防止可能的非法侦听。网络分割可以分为物理分割和逻辑分割两种。
目前,一般的局域网主要用于开关为中心,路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,物理的第二分割方法和逻辑的综合运用,实现对局域网的安全控制。例如,常用的使用入侵检测功能的12多开关900实际上是基于MAC地址的访问控制,它是基于数据链路层的物理分割。
2。交换集线器而不是共享集线器
以太网侦听的危险后,局域网的中心交换机的网络段分割仍然存在。这是因为网络最终用户的接入往往是通过分支而不是中央交换机集线器,和使用最广泛的分支集线器通常是共享集线器。这样,当用户与主机进行通信,在这两台机器之间的数据包,称为单播包单播包,还是会被其他用户在同一个中心。一个危险的情况是用户登录到一个主机。由于telnet程序本身缺乏加密功能,用户输入的每个字符,包括用户名、密码等重要信息都将以纯文本形式发送,为黑客提供了可乘之机。
因此,交换中心应该被共享集线器,单播数据包传递只有两节点之间以防止非法监听。当然,交换式集线器只能控制单播数据包无法控制广播包(广播包)和多播包(组播)。幸运的是,在广播包和多播包的关键信息远远少于单播包。
对3.vlan分工
为了克服以太网的广播问题,除了上述方法外,VLAN还可以用来将以太网通信转换为点到点通信,以防止大多数基于网络的侦听。
VLAN技术有三种主要类型:基于交换机端口的VLAN、基于节点MAC地址的VLAN,VLAN基于应用协议,基于端口的VLAN,虽然灵活的略少,但比较成熟,在实际应用中,效果显著,popular.vlan基于MAC地址提供了一种移动计算的可能性,但它还具有MAC诈骗隐患。基于协议的VLAN在理论上非常理想,但其实际应用尚不成熟。
在集中式网络环境下,我们通常集中所有主机系统转化为一个VLAN,没有用户节点在这个VLAN允许的,这样我们才能更好的保护敏感的主机资源。在分布式网络环境中,我们可以根据机构或部门设置VLAN划分。所有服务器和用户节点在每个部门都在各自的VLAN和互不干扰。
在VLAN内部的连接进行交换,而VLAN和VLAN之间的连接采用路由实现。目前,大多数的交换机(包括常用的12月多开关900)支持国际标准的路由协议RIP和OSPF。如有特殊需要,必须使用其他的路由协议,如作为思科EIGRP或IS-IS支持网络,或外部的以太网端口可以用来代替交换机实现VLAN间路由的功能。当然,在这种情况下,路由转发的效率会下降。
无论是交换式集线器或VLAN交换机都集中在交换技术,他们在控制广播和防止黑客是相当有效的,但同时,他们也带来麻烦,一些基于广播技术和协议分析的入侵检测技术。因此,如果有这样一个入侵LAN的设备或协议分析与监测装置,跨度特殊开关(默认功能分析仪)必须选择。此开关允许系统管理员地图所有或部分端口的数据包到指定的端口,并提供他们的入侵监控设备或协议分析设备连接到端口。在外部的设计,我选择了Cisco公司的跨度系列催化剂ST交换机不仅获得了交换技术的优势,而且还制作了原来的嗅探协议分析器。