日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

最大限度地避免VLAN虛擬網(wǎng)的弱點(diǎn)

云知道

交換機(jī)不是被設(shè)計(jì)用來作安全設(shè)備的,其功能仍是以提高網(wǎng)絡(luò)性能為主 。假如要將交換機(jī)納入安全機(jī)制的一部分,前提是首先要對交換機(jī)進(jìn)行正確的配置,其次交換機(jī)的制造商要對交換機(jī)軟件的基礎(chǔ)標(biāo)準(zhǔn)有著全面理解并徹底實(shí)現(xiàn)了這些標(biāo)準(zhǔn) 。

假如對網(wǎng)絡(luò)安全有著嚴(yán)格的要求,還是不要使用共享的交換機(jī),應(yīng)該使用專門的交換機(jī)來保證網(wǎng)絡(luò)安全 。假如一定要在不可信的網(wǎng)絡(luò)和可信的用戶之間共享一個(gè)交換機(jī),那么帶來的只能是安全上的災(zāi)難 。

VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能,這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī) 。但是交換機(jī)的設(shè)計(jì)者們在把這種隔離功能加入到產(chǎn)品之中時(shí),優(yōu)先考慮的并不是安全問題 。VLAN的工作原理是限制和過濾廣播業(yè)務(wù)流量,不幸的是,VLAN是依靠軟件和配置機(jī)制而不是通過硬件來完成這一任務(wù)的 。

最近幾年,一些防火墻已經(jīng)成為VLAN設(shè)備,這意味著可以制定基于包標(biāo)簽的規(guī)則來使一個(gè)數(shù)據(jù)包轉(zhuǎn)到特定的VLAN 。然而,作為VLAN設(shè)備的防火墻也為網(wǎng)頁寄存站點(diǎn)增加了很多靈活的規(guī)則,這樣防火墻所依靠的這些標(biāo)簽在設(shè)計(jì)時(shí)就不是以安全為準(zhǔn)則了 。交換機(jī)之外的設(shè)備也可以生成標(biāo)簽,這些標(biāo)簽可以被輕易地附加在數(shù)據(jù)包上用來欺騙防火墻 。

VLAN的工作原理究竟是怎樣的?VLAN又有著什么樣的安全性上的優(yōu)點(diǎn)呢?假如決定使用VLAN作為安全體系的一部分,怎樣才能最大限度地避免VLAN的弱點(diǎn)呢?

分區(qū)功能

“交換機(jī)”一詞最早被用來描述這樣一種設(shè)備,這種設(shè)備將網(wǎng)絡(luò)業(yè)務(wù)在被稱之為“端口”的網(wǎng)絡(luò)接口間進(jìn)行交換 。就在不久以前,局域網(wǎng)的交換機(jī)被稱作“橋接器” ?,F(xiàn)在,即使是與交換機(jī)相關(guān)的IEEE標(biāo)準(zhǔn)中也不可避免地用到“橋接器”這一術(shù)語 。

橋接器用來連接同一局域網(wǎng)上不同的段,這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò) 。橋接器軟件通過檢測收到數(shù)據(jù)包中所含的MAC地址來獲悉哪個(gè)端口聯(lián)接到哪個(gè)網(wǎng)絡(luò)設(shè)備 。最初,橋接器將所有收到的數(shù)據(jù)包發(fā)送到每個(gè)端口,經(jīng)過一段時(shí)間以后,橋接器通過建立生成樹和表的方法獲悉如何將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口 。這些生成樹和表將MAC地址映射到端口的工作,是通過一些選擇正確網(wǎng)絡(luò)接口和避免回路的算法來完成的 。通過將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口,橋接器減少了網(wǎng)絡(luò)業(yè)務(wù)流量 ??梢詫蚪悠骺醋魇沁B接兩條不同道路的高速公路,在高速公路上只通過兩條道路間必要的交通流量 。

盡管橋接器從整體上減少了網(wǎng)絡(luò)業(yè)務(wù)流量,使得網(wǎng)絡(luò)可以更加高效地運(yùn)行 。橋接器仍然需要對所有端口進(jìn)行廣播數(shù)據(jù)包的發(fā)送 。在任何局域網(wǎng)中,廣播的含義是:一個(gè)消息廣播發(fā)送給局域網(wǎng)內(nèi)所有系統(tǒng) 。ARP(地址解析協(xié)議)包就是廣播信息的一個(gè)例子 。

隨著端口數(shù)目和附加治理軟件數(shù)目的增多,橋接器設(shè)備的功能變得越來越強(qiáng) 。一種新的功能出現(xiàn)了:橋接器具有了分區(qū)功能,可被分成多個(gè)虛擬橋 。當(dāng)通過這種方式進(jìn)行分區(qū)時(shí),廣播信息將被限制在與虛擬橋和對應(yīng)的VLAN的那些端口上,而不是被發(fā)送到所有的端口 。

將廣播限制在一個(gè)VLAN中并不能夠阻止一個(gè)VLAN中的系統(tǒng)訪問與之連接在同一橋接器而屬于不同VLAN的系統(tǒng) 。但要記住,ARP廣播被用來獲得與特定IP對應(yīng)的MAC地址,而沒有MAC地址,即使在同一網(wǎng)絡(luò)中的機(jī)器也不能相互通信 。

Cisco網(wǎng)站上描述了在兩種情況下,數(shù)據(jù)包可以在連接于同一交換機(jī)的VLAN中傳送 。在第一種情況下,系統(tǒng)在同一VLAN中建立了TCP/IP連接,然后交換機(jī)被重新設(shè)置,使得一個(gè)交換機(jī)的端口屬于另一個(gè)VLAN 。通信仍將繼續(xù),因?yàn)橥ㄐ烹p方在自己的ARP緩沖區(qū)中都有對方的MAC地址,這樣橋接器知道目的MAC地址指向哪個(gè)端口 。在第二種情況下,某人希望手動(dòng)配制VLAN,為要訪問的系統(tǒng)建立靜態(tài)ARP項(xiàng) 。這要求他知道目標(biāo)系統(tǒng)的MAC地址,也許需要在物理上直接訪問目標(biāo)系統(tǒng) 。

推薦閱讀