为了帮助大家更好的复习2014年思科考试科目,我们考吧(kao8.cc)主要为大家汇编了以下辅导资料,希望考生们能够喜欢。想了解更多相关思科考试信息,我们考吧网会第一时间为大家奉上。
部署交换机上的安全
在内网安全构造中,交换机是非常重要的,它在整个内网安全体系中起了决定性的作用。目前市面上的大多数两层、三层交换机都有丰富的安全功能,比如三一通讯的Crosskey系列交换机、港湾网络μHammer系列交换机、锐捷网络的Star-S6808。在构建内网安全时,要了解这些交换机有些什么安全功能,如何工作,如何部署,一层有问题时会不会影响整个网络。
抵挡DoS攻击:从可用性出发,交换机需要能抵挡拒绝服务式DoS攻击,并在攻击期间保持可用性。理想状态是它们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时它们也能识别并对蠕虫攻击做出反应。
交换机使用FTP、HTTP、Telnet或SSH都会有代码漏洞,在漏洞被发现并报告后,可以通过厂商升级包或补丁,来弥补漏洞。
基于角色的管理给予管理员最低程度的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。控制管理权限的最好办法是在授权进入前分权限,可以通过认证和账户服务器,例如远程接入服务、终端服务或LDAP服务。
远程连接的加密:很多情况下,管理员需要远程管理交换机,通常只能从公共网络上访问。为了保证管理传输的安全,需要加密协议:SSH是所有远程命令行设置和文件传输的标准协议,基于Web的则用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则加密此通讯。
SNMP用来发现、监控、配置网络设备,SNMP 3是足够安全的版本,可以保证授权的通信。
建立登录控制可以减轻受攻击的可能性,设定尝试登录的次数,在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。
交换机的配置文件的安全也是不容忽视的,通常配置文件保存在安全的位置,在混乱的情况下,可以取出备份文件,安装并激活系统,恢复到已知状态。有些交换机结合了入侵检测的功能,一些通过端口映射支持,允许管理员选择监控端口。虚拟网络的角色虚拟的本地网络VLAN是第二层上的有限广播域,由一组计算机设备组成,通常位于多个LAN上,可能跨越一个或多个LAN交换机,而与它们的物理位置无关,设备之间好像在同一个网络间通信一样,允许管理员将网络分为多个可管理运行良好的小块,将啬、移动、更改设备、用户及权限的任务简化。
VLAN可在各种形式上形成,如交换口、MAC地址、IP地址、协议类型、DHCP、802.1X标准或用户自定义。这些可以单独或组合部署。VLAN认证技术在用户通过认证过程后授权给用户进入一个或多个VLAN,该授权不是给予设备。
防火墙可以控制网络之间的访问,最广泛应用的是嵌在传统路由器和多层交换机上的,也称作ACLs。防火墙的不同主要在于他们扫描包的深度,是端到端的直接通讯还是通过代理,是否有session。在网络之间的访问控制中,路由过滤措施可以基于源/目标交换槽或端口、源/目标VLAN、源/目标IP、或TCP/UDP端口、ICMP类型、或MAC地址。对于某些交换机和路由器,动态ACL标准可以由用户通过认证过程后被创建,就像是认证的VLAN,不过是在第三层上。当未知的源地址要求连入已知的内部目标时是有用的。
现在的内网要求设计成各层次都是安全的,通过部署交换机的安全设置,企业可以用传统的安全技术创建强壮、各层都安全的内网系统。
推荐阅读:
请微信扫码打开
