交换安全用三层交换阻击DoS攻击.docVIP

交换安全：用三层交换阻击DoS攻击 　　尽管全球网络安全专家都在着力开发抗DoS攻击的办法，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS识别和预防工具，能最大限度地减少DoS攻击造成的损失。?　　利用三层交换建立全面的网络安全体系，其基础必须是以三层交换和路由为核心的智能型网络，有完善的三层以上的安全策略管理工具。同时，在网络的设计阶段，就应该进行合理布置。?　　局域网层?　　在局域网层上，网管员可采取很多预防措施。例如，尽管完全消除IP分组假冒现象几乎不可能，但网管员可构建过滤器，如果数据带有内部网的信源地址，则通过限制数据输入流量，可有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流，防止假冒IP的DoS攻击被当作中间系统。?　　其他方法还有：关闭或限制特定服务，如限定UDP服务只允许于内部网中用于网络诊断目的。?　　遗憾的是，这些限制措施可能给合法应用（如采用UDP作为传输机制的RealAudio）带来负面影响。如果攻击者能胁迫受害者不使用IP服务或其他合法应用，那么这些黑客已经达到了DoS攻击的目的。?　　网络传输层?　　以下对网络传输层的控制可对以上不足进行补充。?　　1、独立于层的线速服务质量 QoS 和访问控制?　　带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现，改善了网络