从上回的解说中,我们可以了解到网路安全解决方案的基本架构及应用。
这回,让我们继续了解更多的细节吧!
・第三/四级安全防护 DHCP监听
监听就像是未受信的主机和已受信的DHCP服务器之间的防火墙。它执行以下活动:
验证从未受信的来源接收到的DHCP消息,并过滤出无效的消息
限制已受信和未受信来源的DHCP流量速度
构建和维护DHCP监听绑定数据库,包含了未受信主机的租用IP地址信息
使用DHCP监听绑定数据库,以验证来自未受信主机的后续请求
DHCP监听是基于VLAN启用的。默认情况下,该功能在所有VLAN中处于非激活状态。您可以在单个VLAN或一定范围的VLAN上启用该功能。
・动态ARP检测(DAI)
DAI 验证网络中的 ARP 数据包。 DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。
DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:
截取所有未受信的端口上的 ARP 请求和回应
确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定
丢弃无效的 ARP 数据包
DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。
如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。
如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。
・IP来源保护
IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。
该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。
一开始,除了DHCP 数据包,受保护端口上的所有IP 通信将会被阻断,当用户端从DHCP 服务器收到IP 地址后,或者管理员配置静态IP 来源绑定后,所有具有IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。
此过滤机制限制了主机攻击邻近网络IP地址的能力
・IPv4/IPv6访问控制列表
数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。 ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包 ACL 为数据包的允许与拒绝条件的有序集合。
当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。
中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。
关于中波动光 :
中波动光集团是跨国的公司,有20多年工业市场销售的经验。从工业计算机,数据撷取,有线与无线网络通讯,与网络监控,均有非常完整的解决方案。客户遍及各垂直产业,包含电厂,智能交控,医疗,铁道,公共工程与工厂自动化。
电邮 : sales@womtek.cn
网站 : www.womaster.hk