華爲網絡設備上幾個常用的安全技術
基本 ACL:只根據數據包的源IP 地址制定規則。
高級 ACL:根據數據包的源IP 地址、目的IP 地址、IP 承載的協議類型、端口號,協議特性等三、四層信息制定規則。
二層 ACL:根據數據包的源MAC 地址、目的MAC 地址、802.1p 優先級、二層協議類型等二層信息制定規則。
用戶自定義 ACL:以數據包的頭部爲基準,指定從第幾個字節開始與掩碼進行“與”操作,將從報文提取出來的字符串和用戶定義的字符串進行比較,找到匹配的報文。
100~199:表示WLAN ACL;
2000~2999:表示IPv4 基本ACL;
3000~3999:表示IPv4 高級ACL;
4000~4999:表示二層ACL;
5000~5999:表示用戶自定義ACL。
當以太網交換機接入的用戶數量不大時,爲了降低組網成本,局域網服務提
供者可以不使用認證計費服務器以及DHCP 服務器,而使用以太網交換機提
供的一種低成本簡單可行的替代方案。在這個低成本的替代方案中用到了交
換機的兩個特性功能:端口和IP 地址的綁定、端口間的二層隔離。
MAC地址綁定就是利用三層交換機的安全控制列表將交換機上的端口與所對應的MAC地址進行捆綁。由於每個網絡適配卡具有唯一的MAC地址,爲了有效防止非法用戶盜用網絡資源,MAC地址綁定可以有效的規避非法用戶的接入。以進行網絡物理層面的安全保護。
AAA 是Authentication,Authorization and Accounting(認證、授權和計費)的簡稱,它是對網絡安全的一種管理方式。提供了一個對認證、授權和計費這三種功能進行統一配置的框架。
認證:哪些用戶可以訪問網絡服務器;
授權:具有訪問權的用戶可以得到哪些服務;
計費:如何對正在使用網絡資源的用戶進行計費。
AAA 一般採用客戶端/服務器結構:客戶端運行於被管理的資源側,服務器上集中存放用戶信息。因此,AAA 框架具有良好的可擴展性,並且容易實現用戶信息的集中管理。
802.1x協議是一種基於端口的網絡接入控制(Port Based Network Access Control)協議。“基於端口的網絡接入控制”是指在局域網接入設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源。