Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

⇐ ПредыдущаяСтр 18 из 26Следующая ⇒

Меню лекции

7.1 Списки управления доступом (ACL)

7.1.1 Профили доступа и правила ACL

7.1.2 Примеры настройки ACL

7.2 Функции контроля над подключением узлов к портам коммутатора

7.2.1 Функция Port Security

7.2.1.1 Пример настройки функции Port Security

7.2.2 Функция IP-MAC-Port Binding

7.2.2.1 Пример настройки функции IP-MAC-Port Binding

7.3 Аутентификация пользователей 802.1x

7.3.1 Роли устройств в

Для любого системного администратора одной из наиболее важных задач остается обеспечение безопасности компьютерной сети. Эту задачу призваны решать межсетевые экраны, однако зачастую «первый удар» принимают на себя именно коммутаторы, поэтому в настоящее время они обладают широкими функциональными возможностями для обеспечения безопасности. Речь идет не только о защите сетей от атак извне, а в большей степени о всевозможных атаках внутри сети, таких как подмена DHCP-сервера, атаки типа DoS, ARP Spoofing, неавторизованный доступ и т.д. В некоторых случаях коммутаторы не способны полностью защитить сеть от подобного рода атак, но могут значительно ослабить угрозы их возникновения. Данная глава будет посвящена основным принципам обеспечения сетевой безопасности на базе оборудования D-Link.

D-Link предлагает комплексный подход к решению вопросов обеспечения безопасности End-to-EndSecurity (E2ES), который включает в себя следующие решения:

Endpoint Security (Защита конечного пользователя) – обеспечивает защиту внутренней сети от внутренних атак; Gateway Security (Защита средствами межсетевых экранов)

– обеспечивает защиту внутренней сети от внешних атак; Joint Security (Объединенная безопасность) – связующее звено между Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети.

Прежде чем приступить к рассмотрению темы, уточним некоторые понятия.

Аутентификация – процедура проверки подлинности субъекта на основе предоставленных им о себе данных в какой-либо форме (логин – пароль, цифровой сертификат, сведения биометрического датчика и т. д).

Авторизация – предоставление субъекту определенных прав

(полномочий) на выполнение некоторых действий.

Как правило, за аутентификацией следует авторизация. Решение Endpoint Security включает следующие функции,

обеспечивающие аутентификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети.

Функции аутентификациипользователей:

аутентификация IEEE 802.1Х; MAC-based Access Control (MAC); WEB-based Access Control (WAC).

Функции авторизации:

Guest VLAN.

Функции контроля надтрафиком:

Traffic Segmentation; Access Control List (ACL).

Функции контроля над подключением/адресацией узлов в сети:

Port Security;

IP-MAC-Port Binding (IMPB).

Функции ослабления атакв сети:

Access Control List (ACL);

IP-MAC-Port Binding (IMPB); Broadcast Storm Control;

ARP Spoofing Prevention; LoopBack Detection (LBD).

Решение Joint Security включает в себя функции:

Zone Defense; NAP.

Помимо основных функций безопасности, в коммутаторах D- Link реализованы дополнительные решения, позволяющие обнаруживать аномальные потоки кадров в сети Ethernet и уменьшать загрузку ЦПУ в результате множественных широковещательных запросов, вызванных атаками типа ARP Flood:

D-Link Safeguard Engine; Traffic Storm Control.

Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс

D-Link ▶ STN_Base v.3 ▶ Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Глава 7. Функции обеспечения безопасности и ограничения доступа к сети