目前在局域网内有大量的病毒在危害着网络,例如ARP欺骗,网络剪刀手、无赖服务器攻击、窃取用户资料木马等导致网络连通性出现问题。
保护有线网络可以从以下方面去考虑和实施:
-改变登陆设备和远程访问默认的口令
-安装最新的固化软件升级程序
-用VLAN隔离广播域,减小受害面积
-带宽管理保护网络设备
-使用ARP与MAC绑定、ACL、URL过滤/封锁功能
-启用防火墙、SPI检测
-启用防止DDOS攻击服务
-使用认证服务器
以下主要讲述新款7324NSW配合高端路由器解决网络安全问题。
MAC地址的泛洪攻击
-病毒原理:由于交换机内部的MAC地址表空间是有限的,正常情况下,空间是足够的,一般情况下,是不会发生MAC地址表被占满的情况。但是如果有人恶意向交换机发送大量非法源MAC地址的数据包,进行MAC地址泛洪攻击,则在很短的时间内交换机的内部MAC地址表会被占满,使得交换机无法进行MAC地址学习。那么原来按照MAC地址转发的单播机制由于MAC地址表被占满的情况下,所有的交换机端口变成在一个广播域里面了,因此转发变成了广播,所有端口可以收到其它端口的数据,变成一个HUB,传输没有了安全保障。
-防范手段: 在Netcore7324NSW交换机上使用MAC地址管理系列功能实现防御
首先进行MAC地址的绑定,将合法的MAC绑定在端口上,然后关闭每个端口的MAC地址学习,这样交换机不进行MAC学习,只按照绑定的条目进行数据转发。当关闭了MAC地址学习功能以后,交换机不转发非法源MAC地址的数据帧,不转发泛洪的数据。
1
2
3
4
5
下一页>>
|
