交换机安全防范技术(下)

下一页 1 2 3 

　　 
　　上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术，本期将继续为您介绍交换机常用的安全防范技术。以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。

　　流量及端口限速控制技术
　　为了防止因大流量数据传输引起的端口阻塞，消除恶意用户或者中毒用户对网络的影响，可以采用流量及端口限速控制技术。

　　配置端口流量阈值
　　通过配置端口流量阈值，系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后，系统将根据指定的方式进行处理：自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式：

　　flow-constrain time-value flow-value { bps | pps }
　　flow-constrain method { shutdown | trap }

　　流量监管
　　流量监管是基于流的速率限制，它可以监督某一流量的速率，如果流量超出指定的规格，就采用相应的措施，如丢弃那些超出规格的报文或重新设置它们的优先级。

　　端口限速
　　端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

　　TCP属性及CPU负载控制技术
　　黑客扫描、蠕虫病毒等都会引起过多TCP连接，CPU负载过重与此也有关系，适当地调整交换机的TCP属性和送达CPU的报文，可以有效地降低CPU负载。

　　配置TCP 属性
　　synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait超时前未收到回应报文，则TCP连接将被终止。synwait定时器的超时时间取值范围为2～600秒，缺省值为75秒：
　　tcp timer syn-timeout time-value

　　finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时，启动finwait 定时器，如果finwait定时器超时前仍未收到FIN报文，则TCP连接被终止。finwait的取值范围为76～3600秒，finwait的缺省值为675秒：
　　tcp timer fin-timeout time-value

　　面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为4K字节：
　　tcp window window-size

　　配置特殊IP报文是否送CPU处理
　　在交换机的IP报文转发过程中，通常重定向、TTL超时及路由不可达的报文会送到CPU，CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击，则会造成CPU负载过重，这时便可通过下面的命令设置相应报文不送CPU处理，以保护系统的正常运行。缺省情况下，重定向、路由不可达的报文不送CPU处理，TTL超时报文送CPU处理：
　　undo ip { redirects | ttl-expires | unreachables }

原文转自：http://www.ltesting.net