|
合法报文才能进入网络 前面提到了合法用户的控制问题,但合法用户只是安全的开始,并不是安全的结束。合法用户会因为中毒而被动、或者好奇而主动发送欺骗类报文到网络中,从而导致其他用户不能正常使用网络。对网络中心而言,仍然会接到一轮又一轮的咨询和投诉。交换机作为网络的边缘,如果能将这类欺骗报文隔离在边缘,则可完美解决因此而带来的网络问题。
1、 防ARP欺骗 目前业内公认的完善解决ARP欺骗的方案是在接入层交换机上绑定用户的IP和MAC(正确的对应关系),然后检查ARP报文,针对欺骗的ARP报文(不符合IP和MAC绑定表)采取丢弃措施。但是绑定IP和MAC的工作量十分巨大,所以针对不同的网络环境需要采取不同的解决方案。下面是业界常用的防ARP欺骗解决方案:
在静态分配IP,且没有启用认证的的网络环境下,可由管理员灵活自主的实现IP-MAC的绑定关系,为防ARP欺骗提供正确的匹配关系,而无需第三方系统的支持。适用于中小型的局域网络。 在动态分配IP的环境下,无论是否有认证,均可通过探测DHCP报文自动实现IP-MAC的绑定关系,既无需第三方系统的支持,也能极大的减轻工作量,降低网络维护成本。
不管是动态还是静态分配IP,只要启用了802.1x认证,即可自动实现IP-MAC的绑定关系,在大型网络环境中能极大的减轻工作量,从而降低网络维护成本。 指定由交换机上的某个端口转发ARP报文,其它的端口均不可转发ARP报文,这样就可以在接入层隔离掉ARP欺骗。 ARP防火墙 实际上ARP防火墙已有很多网友正在免费使用,例如《360安全卫士》、《金山卫士》、《QQ电脑管家》等常用安全软件里都内置ARP防火墙。它们通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制。
ARP防火墙的功能主要有:拦截ARP攻击、拦截IP冲突、Dos攻击抑制、ARP数据分析等功能。 2、防DHCP欺骗 DHCP因为其使用的方便性在园区网络里面也得到了广泛的使用,但是DHCP本身存在着一些安全隐患。 (1) DHCP服务器私设 在DHCP环境下,可以很容易伪装成DHCP服务器给其他用户分配IP地址,造成其他用户不能正常上网,甚至会导致信息失窃。通过DHCP Snooping功能,通过设置连接真实DHCP服务器的端口为信任口,其他口为非信任口的方式解决这种问题。 (2) DHCP环境下的IP地址私设 在DHCP环境下,每个用户的IP地址都是由DHCP服务器分配的,如果用户私设IP地址,而DHCP服务器不知道,则可能把该IP地址分配给其他用户,导致IP地址冲突。可以在交换机上自动绑定用户的IP和MAC,如果私设IP将被拒之网外,达到防止IP地址私设冲突的目的。
至此,我们已经解决了“合法用户”和“合法报文”的问题,也就是说能保证合法用户的合法报文才能进入网络。而这些均由边缘设备——接入交换机通过硬件完成,完全不影响报文的转发速度,实现了安全与速度的融合。[返回频道首页] |
正在阅读:我的网络我的掌控 企业网管的认证管理我的网络我的掌控 企业网管的认证管理
2011-11-30 08:54
出处:PConline原创
责任编辑:huangxing
键盘也能翻页,试试“← →”键
| 本文导航 | ||
|
