南京CCIE培训　安全交换机内网安全的关键

      外部网络的入侵就像一个人被打了脸;

　　而对内部网络的成功入侵，就像一个人被伤及了五脏六腑……

　　通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。因此包括防火墙在内的一系列的措施被广泛使用。但在实际环境中， 80%的攻击和越权访问来自于内部，也就是说，防火墙等一系列措施在对付网络安全的主要威胁时束手无策。随着内网应用的不断发展，在一定的意义上，内部网络的应用远复杂于传统外部网络的应用，内网甚至包含了许多外网所没有的应用，如各种辅助设计应用、办公自动化系统、各种管理系统、财务系统等。这些应用往往非常庞大，很可能会给系统造成更多的漏洞。并且，如今网络攻击的手段变得越来简单，通过许多黑客软件便可以轻易对网络实施有效果的攻击。更为重要的是，内部网络上大多数的应用，对企业是很重要的，甚至是严格保密的，一旦出现涉密、破坏的事件，将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。南京CCIE培训

　　全网安全以内网为核心

　　在安全领域，我们经常可以听到黑客们攻破和破坏系统的报道，因此所有人都非常关注来自Internet的远程黑客攻击，并配备了很多边界式防火墙系统。这些措施无疑对网络的安全起到了良好的保护作用，但是，有一个基本的但又非常重要的事实却经常被忽视：

　　80%以上的网络攻击事件源于网络内部。

　　恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为根据地，再伺机对Internet上其他主机发起恶性攻击。南京CCIE培训

　　要想从根本上杜绝恶性攻击事件的发生，必须首先强化企业内部网络的安全防范与安全管理。

　　这些事实足以证明，内网安全是整体网络安全的基石和出发点，我们在关注外网安全的同时，必须要加倍地重视内部网络的安全控制，必须加大内网安全策略的规划力度和投资力度。内网安全问题是我们在制定安全策略时必须要考虑的重点之一，只有这样才能事半功倍。

　　在建立一个完善的网络安全策略时，应该是以内网安全控制为核心，以应用系统安全、操作系统安全、网络病毒防护、入侵检测系统监测、边界式防火墙隔离、动态安全漏洞扫描与回馈、安全管理制度保障为不同防线的复合环型结构。南京CCIE培训

　　内网的安全隐患

　　内网安全危害分为三大类：操作失误、存心捣乱及用户无知。操作失误包括用户不经意获得了不应该拥有的权限，虽然自己没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限。但基于查询的分析却无法显示，谁拥有引发问题的权限，也无法显示是谁授予了这些权限。 以在职员工和已辞职员工的蓄意破坏为例，可能存在的企业内部安全漏洞包括：满腹牢骚的员工离开公司后设立特洛伊木马以获得访问权，在职员工被解雇或工作变动前造成严重破坏等;对用户和用户组权限管理不善，会常常导致员工离开后很长时间仍能访问极重要的公司系统。对这种恶意事件，正确措施包括取消权限、消除捣乱的机会、通知管理员，若有必要，收集证据把非法活动记录在案。传统的安全措施如入侵检测和基于查询的分析无法显示这类活动的作恶者。

　　对高度重视存储空间和工作效率的公司来说，由于员工无知引起的安全漏洞会造成极大的代价。如员工下载大量MP3和图像文件而使服务器不堪重负以危及整个网络的性能。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。基于查询的分析就无法采取这些行动。南京CCIE培训

　　公司利用包括实时事件跟踪和自动执行政策的积极主动的安全政策管理工具，就能够成功瓦解违反内部安全政策的每次破坏。不管居心不良还是破坏危害极大，由具有实时执行功能的实时审查工具跟踪的合理政策几乎能够消除所有重大安全漏洞。这种工具可以揭示谁破坏了安全、破坏情况及何时发生，但也许更重要的是，它能采取自愈行动，使系统恢复到攻击前的状态。

　　内网安全交换机是关键

　　通常讲的采用防火墙和VPN技术并不能彻底消除安全隐患，尤其是对隐藏在内部网络的合法攻击者，这些技术经常束手无策。（南京CCIE认证）目前很多的被动式的防范技术很难有效解决内网络的安全问题。比如防火墙，反查找能力比较薄弱，它只简单地记录活动状态，并没把所记录的活动状态资料和物理端口关联起来,导致反查功能很难实现。

　　侵检测软件包(IDS)对于来自内部的入侵行为无法向管理员做出报告，更让人担忧的是，无法调查内部员工造成的破坏程度。为克服这个难题，许多组织利用基于查询的内部分析工具来加强内部安全，发现未授权的活动。基于查询的分析工具虽然为发现安全漏洞或滥用网络权限提供了有效方法，但最多也只能算是被动的补救办法，即使最警惕的基于查询的分析，通常也要晚一个小时。南京CCIE培训

　　而网络边缘设备(交换机)，却可以轻易实现这些功能。另外从网络的层次上来说，链路层的安全，主要是接入设备和核心设备链路的安全性，目前部署在交换机上的802.1x、802.1w标准协议就可以轻松实现链路的安全快速实现和切换。此外，对于网络层以上的安全，例如一些主要依靠广播方式传播的病毒、S拒绝服务攻击等，可以通过对交换机器端口的流量控制等一些方式来很好地解决。例如，作为对付2003年1月底肆虐全球的“SQL slammer”蠕虫病毒的措施之一，就可以通过禁止交换机上采用UDP 1434端口来得已防范。

　　因此要做好内网的安全，交换机是关键。