互联网金融信息安全 交换机安全 交换机安全.pptxVIP

互联网金融信息安全2.1.4 交换机安全《互联网金融信息安全》本节教学目标：了解交换机的安全相关知识。《交换机安全》交换机是一种基于MAC(网卡的硬件地址)识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的源发送者和目标接收者之间建立临时的交换路径，使数据帧由源地址到达目的地址。交换机安全虚拟互联网VLAN防范DDoS攻击基于ACL的防火墙功能安全交换机的三层含义流量控制 IDS功能六一五三二四2.1.4交换机安全·安全交换机的三层含义 交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需的最基本的安全功能。同时,交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。2.1.4交换机安全·流量控制 安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，以避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制，以避免网络堵塞。2.1.4交换机安全·防范DDOS攻击 企业网一旦遭到分布式拒绝服务(DDoS)攻击，就会影响大量用户的正常使用，严重时甚至造成网络瘫痪。安全交换机采用专门技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁。2.1.4交换机安全·虚拟互联网VLAN 虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或三层交换机上实现有限的广播域。它可把网络分成一个个独立的区域，并控制这些区域是否可以通信。VLAN可能会跨越一个或多个交换机，设备之间好像在同一个网络间通信一样，而与它们的物理位置无关。VLAN可在各种形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问，并且可以设置IP/MAC地址绑定功能限制用户的非授权访问网络。2.1.4交换机安全·基于ACL的防火墙功能 安全交换机采用了访问控制列表(ACL)来实现包过滤防火墙的安全功能和增强安全防范能力。ACL通过对网络资源的访问控制，确保网络设备不被非法访问或被用作攻击跳板。 ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)允许或拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络是至关重要的。 ACL以前只在核心路由器中才有使用。在安全交换机中，访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现2.1.4交换机安全·IDS功能 安全交换机的入侵检测系统(IDS)功能可以根据上报信息和数据流内容进行检测，在发现网络安全事件时，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机支持认证、端口镜像、强制流分类、进程数控制、端口反向查询等功能。