守护企业网络安全 掌握交换机设定秘籍

标签：交换机设定 802.1X认证

现在企业面临着不法黑客的觊觎和破坏，各种网络安全漏洞频出，在人力和物力上都耗费相当的巨大。那么如何阻挡非法用户，保障企业网络安全应用?如何过滤用户的通讯信息，保障安全有效的数据转发呢?除了购买强劲的网络安全设备外，其实交换机的安全配置也相当重要，那么一些简单常用却又十分有效的交换机安全设置就很应该引起大家的注意并加以使用了，下面就一起来看看容易被我们忽略掉的“秘籍”吧。

秘籍一：基于端口访问控制的802.1X

IEEE802.1X协议技术是一种在有线LAN或WLAN中都得到了广泛应用的，可有效阻止非法用户对局域网接入的技术。IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行，运行于网络中的数据链路层的EAP协议和RADIUS协议。

802.1X配置界面

IEEE802.1X是一种基于端口的网络接入控制技术，在LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是局域网交换机设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源;如果不能通过认证，则无法访问LAN内的资源，相当于物理上断开连接。

802.1X认证涉及三方面

802.1X认证涉及三方面：请求者、认证者和认证服务器。请求者是一个希望接入LAN或WLAN的客户端设备(如笔记本)。认证者是网络设备，如以太网交换机或无线接入点。而认证服务器通常是一台主机上运行的软件支持RADIUS和EAP协议。

802.1X有如下的技术优势：

802.1X安全可靠，在二层网络上实现用户认证，结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性，在无线局域网网络环境中802.1X结合EAP-TLS，EAP-TTLS，可以实现对WEP证书密钥的动态分配，克服无线局域网接入中的安全漏洞。

802.1X容易实现，它可在普通L3、L2、IPDSLAM上实现，网络综合造价成本低，保留了传统AAA认证的网络架构，可以利用现有的RADIUS设备。

802.1X简洁高效，纯以太网技术内核，保持了IP网络无连接特性，不需要进行协议间的多层封装，去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。

802.1X应用灵活，它可以灵活控制认证的颗粒度，用于对单个用户连接、用户ID或者是对接入设备进行认证，认证的层次可以进行灵活的组合，满足特定的接入技术或者是业务的需要。

在行业标准方面，802.1X的IEEE标准和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商在其设备，包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持，Linux也提供了对该协议的支持。

但是需要注意的是，虽然IEEE802.1X定义了基于端口的网络接入控制协议，该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：局域网交换机的一个物理端口仅连接一个终端基站，这是基于物理端口的; IEEE 802.11定义的无线LAN接入方式是基于逻辑端口的。

秘籍二：进行L2-L4层的安全过滤

现在，大多数的新型交换机都可以通过建立规则的方式来实现各种过滤需求，这也是企业网管对交换机进行数据传输前的必要设置过程。

规则设置有两种模式，一种是MAC模式，即常用的MAC地址过滤，可根据用户需要依据源MAC或目的MAC有效实现数据的隔离。

可使用MAC地址过滤或IP地址过滤进行端口绑定

MAC地址是底层网络来识别和寻找目标终端的标示，每个接入网络的设备都有一个唯一的MAC地址。这样就可保证所有接入无线网络的终端都有唯一的不同的MAC地址，而MAC地址过滤技术就有了理论上的可行性。

通过设置MAC访问控制，来启用对接入设备的MAC访问控制，这样其他未经允许的设备就无法连入企业网络了。

但MAC地址过滤，也并非完美。虽然MAC地址过滤可以阻止非信任的终端设备访问，但在终端设备试图连接交换机之前，MAC地址过滤是不会识别出谁是可信任的或谁是非信任的，访问终端设备仍都可以连接到交换机，只是在做进一步的访问时，才会被禁止。而且它不能断开客户端与交换机的连接，这样入侵者就可以探到通信，并从帧中公开的位置获取合法的使用MAC地址。然后通过对无线信号进行监控，一旦授权信任的用户没有出现，入侵者就使用授权用户的MAC地址来进行访问。

因此仅仅依靠MAC地址过滤是不够的，企业必须启用尽可能多方面的安全防护手段来保护自身的网络。

另一种是IP模式，即IP地址过滤模式，企业用户可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包。

IP地址过滤界面

使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信，并且可以拒绝或允许特定IP地址的特定的端口号或所有端口号，简单直接。