LAN 边缘交换机安全性功能详解

日期: 2010-03-18 作者:John Burke翻译:曾少宁 来源:TechTarget中国 英文

许多组织或多或少地购买了一些并不局限于提供连接功能的智能边缘交换机,但是许多组织都往往只用这些交换机来执行最基本的工作。其中经常被忽视的就是 LAN 边缘交换机的安全性功能,包括端口级安全性和交换机级访问控制列表(ACL)。   LAN 边缘交换机 ACL 可作为深度防御的一个重要部分。类似于路由器和防火墙上的 ACL,交换机级 ACL 能够过滤流量、允许或拒绝端口访问。

但是将这个功能放到边缘不仅能够分散负载,而且还可能能够减少其它位置所需要的规则和流量处理数量,从而改进性能。同时, LAN 边缘交换机 ACL 能够保护边缘设备不受操作同类设备的影响,这是其它 ACL 所不能完成的。   LA……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

许多组织或多或少地购买了一些并不局限于提供连接功能的智能边缘交换机,但是许多组织都往往只用这些交换机来执行最基本的工作。其中经常被忽视的就是 LAN 边缘交换机的安全性功能,包括端口级安全性和交换机级访问控制列表(ACL)。

  LAN 边缘交换机 ACL 可作为深度防御的一个重要部分。类似于路由器和防火墙上的 ACL,交换机级 ACL 能够过滤流量、允许或拒绝端口访问。但是将这个功能放到边缘不仅能够分散负载,而且还可能能够减少其它位置所需要的规则和流量处理数量,从而改进性能。同时, LAN 边缘交换机 ACL 能够保护边缘设备不受操作同类设备的影响,这是其它 ACL 所不能完成的。

  LAN 边缘交换机 ACL 是如何工作的?

  ACL 工作方式很简单:它们可以用来确认一个行为,受影响的流量类型(行为的目标)以及行为的来源与目的地。

  行为:可选行为通常仅限于转发数据包(“允许”),或者阻止它们的传输(“拒绝”)。

  目标:如果交换机有 ACL,它通常至少具备三个可能:所有 IP 流量、所有 TCP 流量以及所有 UDP 流量。例如,许多交换机也为 TCP 和 UDP 提供单个端口的过滤,这样我们就能够允许 SSL 流量而阻止 NFS 流量传输。

  来源和目的地:这些可能总是通过一个或一组 IP 地址指定的(地址与掩码)。我们也能够使用 MAC 地址和 EtherType 数据。

  注意 ACL 中融合了来自 2层(MAC 地址)、3层(IP 地址)和4层(TCP/UDP 端口)的信息。这个注重多层协议流量并对其执行操作的功能是智能交换机实现智能的部分。

  ACL 是按顺序处理的:流量会轮流与从上到下的每一个规则进行比对,直到遇到对应的规则,然后就会执行这个行为。例如,为了使交换机上的端口只针对连接 Citrix XenApp/XenDesktop 群的瘦客户端开放,我们可以应用一个类似于这样的 ACL(假定数据中心网络是在 192.168.100.000/000.000.000.255):

  • Permit TCP any 192.168.100.000 000.000.000.255 port 1494

  • Permit TCP 192.168.100.000 000.000.000.255 any port 2598

  • Permit TCP any 192.168.100.000 000.000.000.255 port 1494

  • Permit TCP 192.168.100.000 000.000.000.255 any port 2598

  • Deny any any

  端口 1494 和 2598 主要由 ICA 使用,即 Citrix 的瘦客户端协议。来自交换机上所有 IP 节点的流量都绑定到数据中心,或者来自数据中心的绑定到交换机上的所有节点,同时穿越具体 TCP 端口的流量将被允许通过交换机到达边缘端口或上行端口。

  智能边缘交换机安全特性:支持 VLAN;端口管理

  ACL 并不是智能边缘交换机的唯一安全特性。所有智能交换机都支持 VLAN。VLAN 是处理端口分组和控制这些组间流量的更可靠方法。同时,还有许多其它的安全设置(根据供应商和产品的不同而不同)可用于执行控制广播风暴和限制连接端口的 MAC 地址等功能。

  例如,假设你的办公室在办公时办公电脑之间不需要直接连接,因为数据中心已经提供了所有的服务。为了防止病毒在主机之间的快速传播,你可以配置边缘交换机阻止相互连接的端口。下面是几种方法:

  用 ACL 进行管理:

  o Permit IP Any 192.168.100.000 000.000.000.255

  o Permit IP 192.168.100.000 000.000.000.255 Any

  o Deny IP Any 192.168.000.000 000.000.255.255

  o Deny IP 192.168.000.000 000.000.255.255 Any

  o Permit IP Any any

  用 VLAN 进行管理,将每一个端口设置在一个 VLAN 中,并且不要将 VLAN 扩展到交换机外。

  通过其它设置进行管理,如设置Cisco 交换机上所有边缘端口为“受保护的”,或者使用 HP ProCurve 交换机的“端口隔离”功能。

  如果只有少量的交换机,手动管理 ACL (像交换机上的其余安全设置)是很容易的。交换机越多,维护一个标准的“黄金”配置和使用自动化配置工具来维护和审计配置就越重要。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • CISCO常用配置命令及参数(二)

    本文将介绍如何配置标准ACL、扩展ACL、命名ACL、DCE时钟和PPP协议,并给出了PAP单、双向认证配置实例。

  • 边缘交换机攻略

    局域网(LAN)不断变化的需求迫使企业将特性和功能从核心扩展到边缘。边缘交换机是深度网络防御的一个重要部分,对于保护边缘节点不受其它节点影响尤为重要,同时它们能够降低网络内部安全设备的低端工作量,并且更专注于高级威胁。在本手册中,我们将会为大家介绍购买边缘交换机前需要考虑的因素,LAN 边缘交换机的安全性等。

  • 整合 LAN 边缘交换机的安全性和网络访问控制

    认证的访问能保证用户必须提供身份信息才能访问企业 LAN。但这并不能保证用户的计算机在连接网络后的行为是良好的。所以,认证控制会在一些位置增加一些……

  • 下一代的智能交换机能否站稳市场前沿

    目前中小型企业网、教育网、宽带智能小区等场合智能交换机已成为网络建设的关键设备,这就给智能交换机迎来了广大的市场,未来的智能交换机将会发展如何呢?