现在企业面临着不法黑客的觊觎和破坏,各种网络安全漏洞频出,在人力和物力上都耗费相当的巨大。那么如何阻挡非法用户,保障企业网络安全应用?如何过滤用户的通讯信息,保障安全有效的数据转发呢?除了购买强劲的网络安全设备外,其实交换机的安全配置也相当重要,那么一些简单常用却又十分有效的交换机安全设置就很应该引起大家的注意并加以使用了,下面就一起来看看容易被我们忽略掉的“秘籍”吧。
秘籍一:基于端口访问控制的802.1X
IEEE802.1X协议技术是一种在有线LAN或WLAN中都得到了广泛应用的,可有效阻止非法用户对局域网接入的技术。IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行,运行于网络中的数据链路层的EAP协议和RADIUS协议。
802.1X配置界面
IEEE802.1X是一种基于端口的网络接入控制技术,在LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是局域网交换机设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
802.1X认证涉及三方面
802.1X认证涉及三方面:请求者、认证者和认证服务器。请求者是一个希望接入LAN或WLAN的客户端设备(如笔记本)。认证者是网络设备,如以太网交换机或无线接入点。而认证服务器通常是一台主机上运行的软件支持RADIUS和EAP协议。
802.1X有如下的技术优势:
802.1X安全可靠,在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1X结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
802.1X容易实现,它可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
802.1X简洁高效,纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
802.1X应用灵活,它可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
在行业标准方面,802.1X的IEEE标准和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
但是需要注意的是,虽然IEEE802.1X定义了基于端口的网络接入控制协议,该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:局域网交换机的一个物理端口仅连接一个终端基站,这是基于物理端口的; IEEE 802.11定义的无线LAN接入方式是基于逻辑端口的。
