╃苍狼山庄╃╃苍狼山庄╃

Clang出品,
必属精品!

企业网安全特性要点

2006-04-05 分类:服 务 器 阅读(620) 评论(0)

发布:国家信息中心信息安全研究与服务中心企业网的应用正在向深度发展,已经成为多业务、多需求的综合承载平台,企业的运作越来越多地受益和依赖于网络和信息系统。企业网用户已不仅仅满足于网络的吞吐能力,而越来越注重网络安全与可靠,对网络安全功能也变得越来越重视,以以太网为代表的企业网技术很好地解决了网络整体的互联功能和网络层的安全问题。

网络安全是一项系统工程,通常的网络信息安全模型具备系统单元、网络层次、安全特性三个维度,其中安全特性包括网络的可用与可靠性、用户身份的真实性、用户访问的可控性、网络的可监控性、数据的完整性与网络操纵的机密性、可追溯性、抵御攻击能力、安全审计。

可用与可靠性

可用性指系统可以稳定运行的能力,包括系统可靠性设计和防止网络攻击等内容。除了选择设备时考虑系统可靠性和冗余性外,在网络拓扑结构设计中要考虑冗余路由,包括传输线路的冗余及拓扑结构上的冗余,在骨干设计中采用多局向。例如神州数码网络的DCRS-7500交换机,支持冗余结构,包括冗余管理模块、多个负载均衡冗余电源、冗余系统文件的配置等软硬件的冗余配置;在二层协议上,支持IEEE802.1d/802.1w、802.1ad等标准链路冗余功能特性;在三层协议上,支持VRRP和多路由负载均衡;在物理特性上,DCRS-7500系列交换机的每个模块均配备温度传感功能,可根据设备运行的温度状态采取相应措施。

用户身份的真实性

主要通过各种用户认证技术对网络用户身份的真实性进行检验,阻止非法用户对网络资源的访问。

802.1x接入认证:该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口访问网络。802.1x系统将交换机端口分为非授权端口和授权端口。非授权端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终可以发送或接收认证。授权端口只有在认证通过后才打开,用于传递网络资源和服务。

MAC地址端口验证:用户可以在三层交换机的一个端口上配置有限数量的“安全”MAC地址,这样交换机只转发源地址与安全MAC地址匹配的包。安全MAC地址可以配置,更可由交换机自动学习。对于该端口收到的非法包(源地址不在安全MAC地址表中),交换机会自动生成Syslog和SNMP陷阱,并且用户可以指定交换机丢弃包含非法的数据包或者将相应端口关闭。

用户访问的可控性

根据用户身份、IP地址、VLANID等用户识别方式,针对不同用户设置不同的网络资源访问权限,并进行访问控制。在企业网内部,通常采用的访问控制方式有IP包过滤、应用代理和基于状态检测的包过滤等多种手段。在交换机的实现上,包过滤是一种重要的访问控制手段。很多三层交换机可以实现基于L2/L3/L4包过滤机制的访问控制,能够根据源或目的IP地址、IP协议类型、TCP或UDP端口、IP优先次序或服务类型值等来识别数据流并实现访问控制。神州数码网络的DCRS-7500,访问控制完全通过硬件实现,这使得交换机在实现安全的访问控制的同时,丝毫不影响其线速的转发能力。

网络的可监控性

传统的网络监控手段SNMPTRAP和RMON,在目前的企业网环境下,已远远不能满足需要,独特的SFLOW技术可以为网络的流量和安全提供有效的监控手段。SFLOW可对企业内部网内的流量进行统计,并可分析企业不同部门间网络使用状况,预先估算部门的网络流量增长,为网络的容量规划提供可靠的数据,以达到优化网络结构和降低投资费用的目的。SFLOW可实现安全审核,它是在网络内的“安全监视器”,可以查看、监控和管理从第二层到第四层的网络流量,可识别和记录MAC地址、VLAN(802.1q)、,服务级别(802.1p)、IP地址、IP服务(TCP和UDP)以及服务类型(TOS位),并可识别并监控网络安全策略的实施。SFLOW同样可实现实时的性能和故障管理,可预先发现网络性能和故障,确保识别网络瓶颈,避免网络流量增长导致系统性能下降。

数据完整性与操纵机密性

数据完整性是指数据在存储和传输的过程中不被篡改和破坏,数据机密性是指数据在存储和传输的过程中通过加密的方式确保机密不会泄露。很多三层核心交换机支持加密的配置管理方式,确保远程管理的安全。

可追溯性

可追溯性是指能够在网络访问和操作过程中留下相应记录,为恶意访问和攻击的相应处理提供依据。具备SNMPtraps和系统日志功能的三层交换机,以及后台网管系统完善的系统日志功能可以对此提供很好的支持。SFLOW技术由于可以查看、监控和管理从第二层到第四层的网络流量,也可进一步提供信息。

抵御攻击能力

当发生DoS攻击时,企业网设备被无用的数据包淹没,无法正常工作。三层交换机的Smurf攻击和TCPSYN攻击可以防范这两种DoS攻击。例如,用户可以通过配置神州数码DCRS-7500交换机来防止其成为Smurf攻击的受害者。设置发送到交换机或交换机某一端口的ICMP包的阀值,当ICMP包的数量超过阀值时,丢弃ICMP包。

安全审计和管理

网络的安全不能单靠技术手段一劳永逸地解决,没有一种技术可以绝对保证网络安全,人的因素很重要。据Yankee集团对229家公司与政府机构的网络管理员(他们管理着50%以上的网络设备)的调查结果,2001年有31%的网络故障是由于人为错误造成的,其中有一半是用户对网络做了未经授权的更改。所以,采用网管系统与设备互动的方式,对用户、主机、时间、地址、URL的安全进行审计和管理尤为重要。

本原创文章未经允许不得转载 | 当前页面:╃苍狼山庄╃ » 企业网安全特性要点
标签:network

相关推荐

评论

文章评论已关闭!