“惩罚箱”策略 

　　下面介绍一种基于交换机的安全策略。目前一些学校发现一些学生总是尝试着攻击学校的数据库服务器，或者一些学生下载大量的多媒体文件，这些事情对网络拥塞非常严重使得网络访问变的很慢。针对这些问题，学校里使用了三层和四层交换机，并且建立安全策率以限制网络带宽和网络访问，这样有效的防止的学生的黑客行为和对带宽的占用。 

　　这些方法也被一些使用私用网络的公司中的E1交换机所采用。这些E1交换机支持三层和四层的服务例如基于IP地址，UDP协议端口和媒体访问控制层（MAC）地址的速度限制和访问控制列表（ACL）。UPN软件可以有效的利用这些特性使得网络的管理人员制定一些策略和具有一定限制的访问角色：一个全部特性的角色可能包括对全部服务的访问，并且保证在每秒100M的速度。而一个具有限制的角色（受限制的访问者或者和“惩罚箱”有关的一些人）可能被禁止对因特网的访问，只保留了一些电子邮箱和企业内部网服务的访问。并且被限制在一个比全部特性角色要低的带宽。 

　　在一些学校里ACL也被用来限制学生的活动，通过限制一定的IP地址组访问服务器和其他的禁止学生访问的资源就可以很好的保护网络的安全和性能。思科的 Catalyst 3550 和2950交换机就具有三层ACL，包过滤和802.1x授权的功能，可以很好的用来保护校园网络中局域网的安全。这些智能的局域网交换机可以帮助学校使学生访问更多的服务而同时又能保护重要的资源如财务系统的服务器---仅仅可以让授权的用户访问。 

　　小结： 

　　下面我们总结一下上述所涉及到的技术和协议。许多的交换机都支持下面的这些功能，使用这些技术和协议可以很好的帮助用户对网络资源的访问控制。 

安全技术	简单介绍	技术不足
访问控制列表（ACL）	使用三层和四层信息，交换机可以阻止或者允许基于服务器和客户IP地址的网络访问。让网络管理者根据用户的需要分配给他们适合的角色。	难于管理，需要对许多的网络设备进行配置。
虚拟局域网	虚拟局域网可以用来把用户划分成若干小组，仅仅允许用户使用他们需要的网络资源。	不能保证完全的安全，子网间的路由可以引起网络拥塞。
802.1x	一个IEEE的授权协议，可以强制网络用户在访问任何设备和资源之前先要登陆到网络。	虽然很多的交换机设备都具有这个功能，但是只有Window XP客户支持这种协议。
流量控制技术	此技术可以使管理者控制每个交换机端口的带宽。它可以用来限制一定种类的传输带宽，如对等网络带宽。也可以有效的防止DOS攻击，并且不影响网络性能。	主要应用在私有网络中，一些高端的交换机具有这种功能。

　　现在，业界普遍认为安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。目前，绝大多数用户对通过交换机解决安全问题抱积极态度，很多用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。

上一页  [1] [2]