所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

E9000 服务器 V100R001 用户指南 23

本指南详细介绍了E9000服务器的产品简介、安装、配置和常用操作及其规范。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
交换模块安全

交换模块安全

设备的安全

命令行分级保护

用户从以太网口通过Telnet方式登录交换模块时,出于安全性考虑,交换模块需要对登录用户进行验证。只有验证通过的用户才能登录成功,并进行各种配置和维护操作。

交换模块的命令行采用分级保护方式,命令行划分为参观级、监控级、配置级、管理级4个级别,等级逐级升高。登录用户对应的也被划分为4个等级,分别与命令级别对应。不同级别的用户登录交换模块后,只能使用等于或低于自己级别的命令,有效控制了登录用户的权限。

交换模块支持命令级别和用户级别的扩展(即级别映射),从而实现了对用户级别的精细化管理。

SSH远程安全登录

交换模块支持SSH(Secure Shell)。在不保证安全的网络环境中,SSH为用户登录交换模块提供了强大的安全保障和验证功能,可以防范多种攻击。

SNMP加密认证

交换模块支持SNMPv3加密认证功能。当交换模块在接受网管站点的SNMP管理时,可以通过基于用户的安全模型USM(User-based Security Mode)的加密认证模式来保障交换模块的安全。

AAA身份验证

交换模块支持完善的AAA(Authentication,Authorization and Accounting)机制,不仅可以配合命令行分级保护机制来对登录用户进行认证、授权,还可以在网络管理中对网管用户的合法性进行验证。基于AAA机制,交换模块可以有效防止非法用户登录。

CPU防攻击

对于上送CPU的协议报文和管理报文,交换模块根据协议号、接口及VLAN和接口组合信息对各类报文进行过滤,从而避免CPU通道受到DoS(Denial of Service)攻击而阻塞。

业务的安全

划分VLAN

交换模块支持VLAN划分,不同VLAN间各设备不能直接互相通信,有效地隔离了广播域,增强了信息的安全性。

接口MAC地址学习限制

通过在交换模块指定端口上配置MAC表项学习的最大数目,可以避免黑客从该接口发起源MAC地址攻击,从而确保整个交换模块设备的MAC表资源不被耗尽。

黑洞MAC表项

交换模块支持黑洞MAC功能。交换模块接收到某报文后,会将该报文的源MAC地址或者目的MAC地址与黑洞MAC表中各项比较,如果和黑洞MAC表项相同则将该报文丢弃。

当用户察觉到某MAC地址的报文具有一定攻击性,则可以在交换模块上配置黑洞MAC,从而将携带该MAC地址的报文过滤掉,避免遭受攻击。

基于“VLAN+MAC”的查表方式

为了提高接口安全性,交换模块采用“VLAN+MAC”方式查询MAC地址表。网络管理员在MAC地址表中加入静态表项,记录特定MAC地址和接口的对应关系。这种查表方式可以将设备与接口绑定,防止MAC地址仿冒的攻击。

端口隔离

端口隔离是指禁止同一交换模块上各端口之间互相收发二层报文,支持单向和双向隔离。采用端口隔离技术,可以防止端口之间的彼此访问,确保了用户网络的安全,有助于低成本构建智能小区网络。同时,隔离技术还可以有效地控制不必要的广播报文,增加网络吞吐量。

包过滤

包过滤用于过滤那些用户不感兴趣或者不合法的数据包。

交换模块对每个数据包按照用户所定义的项目进行过滤,如比较数据包的MAC地址、IP地址、端口号、VLAN等信息是否符合规则等。包过滤不检查会话的状态,也不分析数据。通过包过滤方法,交换模块可以有效控制通过设备的数据包。

翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1000015877

浏览量:68367

下载量:18800

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页