交换机是整个网络的核心主干,
相当于人体的脊髓、骨干。
冠航智能交换机,
通过交换机维度提升无线、
有线边界安全,防御病毒的侵入,
提升安全性。
网络中各种安全威胁复杂多样,网络的安全是网络建设的最基本的保证,以下主要从交换机的安全特性上的使用来保证网络的安全,包括DHCP Snooping、Qos、ACL、流量镜像。 DHCP Snooping是DHCP的一种安全特性,通过在智能交换机端口上配置DHCP Snooping,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址的对应关系,防止网络上伪冒的DHCP服务器为客户端提供DHCP服务,导致非法用户对网络的攻击。 DHCP Snooping的信任功能将交换机接口分为信任接口和非信任接口: 信任接口正常接收DHCP服务器响应的DHCP报文。另外,交换机设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器 非信任接口接收DHCP服务器响应的DHCP报文后,丢弃该报文。 非信任端口支持根据客户端IP地址、MAC地址设置白名单允许DHCP响应报文通过 ACL定义 ACL本质上是一种报文过滤器。智能交换机设备基于特定的规则进行报文匹配,然后过滤出特定的报文,根据预定的ACL策略出允许或阻止该报文通过。 ACL功能目的 随着网络的飞速发展,网络安全问题日益突出,对网络的正常网络通信造成了很大的影响。 1)网络中重要服务器资源被随意访问,金融机密信息容易泄露,造成安全隐患 2)Internet病毒肆意侵略金融网络,内网环境的安全性堪忧 面对上述问题通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的 传统的网络部署架构上,网络是基于交换机、路由器等标准网络设备建立的,通常的边界都是通过一系列的安全设备在网络访问互联网的出口搭建防御体系。但随着信息化应用的发展,越来越多的应用终端接入网络,更多的流量开始在终端之间相互交互,并不全部经过互联网出口,致使内部接入边界逐步扩大。通常一个新的安全边界出现包括在往运行设备不受管控(交换机、控制器、接入终端等)、在接入层交换机下面私接路由器、随身WiFi等新型设备,对网络造成极大的安全隐患。基于上述问题,冠航开发了基于边界终端安全的管控方案,通过从以下四个方面管控终端接入安全问题。 很多情况下,网络管理员并不清楚自己运维的网络接入哪些终端类型,对终端的管控非常少,网管软件只能解决网络设备的管理,因此也无法防止私接共享设备。冠航结合智能交换机+控制器设备推出了终端类型识别库,对接入终端进行精确识别,同时又能够防止私接共享设备。比如:办公区的交换机可以严格限定路由器的接入;监控区域的交换机严格限定其他终端的接入;甚至还可以做到基于端口的终端限定,比如1端口只能限定为打印机1接入,其他的终端、打印机无法接入。