你的网路安全吗?专家不私藏解决方案(下回)

   日期:2024-01-23     浏览:50    评论:0    
核心提示:影响网络安全的威胁何其繁多,全面且有效的解决方案更为重要。 中波动光​提供软硬件集成保护机制,采最新专用集成电路安全技术,并高于IEC62443-4-2 2级要求,为工业应用构建最安全的系统。
从上回的解说中,我们可以了解到网路安全解决方案的基本架构及应用。,

从上回的解说中,我们可以了解到网路安全解决方案的基本架构及应用。

这回,让我们继续了解更多的细节吧!

第三/四级安全防护   DHCP监听

监听就像是未受信的主机和已受信的DHCP服务器之间的防火墙。它执行以下活动:

• 验证从未受信的来源接收到的DHCP消息,并过滤出无效的消息

• 限制已受信和未受信来源的DHCP流量速度

• 构建和维护DHCP监听绑定数据库,包含了未受信主机的租用IP地址信息

• 使用DHCP监听绑定数据库,以验证来自未受信主机的后续请求

DHCP监听是基于VLAN启用的。默认情况下,该功能在所有VLAN中处于非激活状态。您可以在单个VLAN或一定范围的VLAN上启用该功能。

动态ARP检测(DAI)

DAI 验证网络中的 ARP 数据包。 DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。

DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:

• 截取所有未受信的端口上的 ARP 请求和回应

• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定

• 丢弃无效的 ARP 数据包

DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。

如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。

如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。

IP来源保护

IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。

该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。

一开始,除了DHCP 数据包,受保护端口上的所有IP 通信将会被阻断,当用户端从DHCP 服务器收到IP 地址后,或者管理员配置静态IP 来源绑定后,所有具有IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。

此过滤机制限制了主机攻击邻近网络IP地址的能力

IPv4/IPv6访问控制列表

数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。 ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包 ACL 为数据包的允许与拒绝条件的有序集合。

当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。

中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。

关于中波动光 :
中波动光集团是跨国的公司,有20多年工业市场销售的经验。从工业计算机,数据撷取,有线与无线网络通讯,与网络监控,均有非常完整的解决方案。客户遍及各垂直产业,包含电厂,智能交控,医疗,铁道,公共工程与工厂自动化。

电邮 : sales@womtek.cn

网站 : www.womaster.hk

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服