秘籍二:进行L2-L4层的安全过滤
现在,大多数的新型交换机都可以通过建立规则的方式来实现各种过滤需求,这也是企业网管对交换机进行数据传输前的必要设置过程。
规则设置有两种模式,一种是MAC模式,即常用的MAC地址过滤,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离。
可使用MAC地址过滤或IP地址过滤进行端口绑定
MAC地址是底层网络来识别和寻找目标终端的标示,每个接入网络的设备都有一个唯一的MAC地址。这样就可保证所有接入无线网络的终端都有唯一的不同的MAC地址,而MAC地址过滤技术就有了理论上的可行性。
通过设置MAC访问控制,来启用对接入设备的MAC访问控制,这样其他未经允许的设备就无法连入企业网络了。
但MAC地址过滤,也并非完美。虽然MAC地址过滤可以阻止非信任的终端设备访问,但在终端设备试图连接交换机之前,MAC地址过滤是不会识别出谁是可信任的或谁是非信任的,访问终端设备仍都可以连接到交换机,只是在做进一步的访问时,才会被禁止。而且它不能断开客户端与交换机的连接,这样入侵者就可以探到通信,并从帧中公开的位置获取合法的使用MAC地址。然后通过对无线信号进行监控,一旦授权信任的用户没有出现,入侵者就使用授权用户的MAC地址来进行访问。
因此仅仅依靠MAC地址过滤是不够的,企业必须启用尽可能多方面的安全防护手段来保护自身的网络。
另一种是IP模式,即IP地址过滤模式,企业用户可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包。
IP地址过滤界面
使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信,并且可以拒绝或允许特定IP地址的特定的端口号或所有端口号,简单直接。
最后,建立好的规则必须附加到相应的接收或传送端口上,当交换机在此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
