以太網(wǎng)交換機有哪些安全功能

2020-03-20 00:48 作者：艾銻無限 瀏覽量：

   
股神巴菲特的故事很多人都有所了解，7歲時就開始涉足投資，12歲時就把整個圖書館的書全部讀完，一生最喜歡喝的飲料就是可口可樂，無論是接受采訪，還是開全球股東大會，可口可樂飲料都是他的標配，擁有富可敵國的資產(chǎn)讓他生命中的每個故事富有傳奇色彩，以下是他獲得成功的10條基本法則.
 
第一法則.找到自己的激情（find your passion）；
大部分人為了生存而工作，只有極少部分的人為了自己的使命而工作，所以在工作中我們看到人們沒有激情和斗志，那是因為這份工作對他來說只是謀生的手段. 生命短暫，我們永遠不知道意外和明天哪個先到，盡最大可能找到自己最想做的事，那怕這件事短時間讓你的生存困難，你都有必要堅持下來，因為激情才是你本有的源動力，只有啟動你內(nèi)在的發(fā)動機，你才是一個靈魂和肉體合一的人，你做的事才會有具有非凡的意義和價值.
   
第二法則.雇傭人的標準：正直，聰明，精力充沛（integrity, intelligence, energy）；
如果想創(chuàng)建自己的團隊，一定要雇傭正直，聰明，和精力充沛的人
首先要正直，一個優(yōu)良的品質(zhì)比聰明更重要，就像大樹越大根就會越深，而優(yōu)良的品質(zhì)就是樹根，不夠牢固的大樹也經(jīng)不起狂風暴雨，其次就是這個人需要足夠的聰明，因為聰明的人不僅僅會為你的事業(yè)帶來效率，還會帶來更低的成本和更大的收益，當然最后精力充沛也是極其重要，這就像一輛跑車，只是啟動速度快，不能持續(xù)的快下去也沒有什么用，所以即要可以快速啟動，又要能持續(xù)加速，不斷領先，只有這樣的人才能為你的事業(yè)創(chuàng)造源源不斷的價值.  
3.不在乎別人的眼光（don't care what others think）；
永遠不要在乎別人的眼光，我們身處在一個普通平凡的世界中，只有少數(shù)人真正能創(chuàng)造奇跡，大部分人還是過著普普通通的生活，所以他們的思維也是極其普通的，如果你想要創(chuàng)造一番偉大的事業(yè)，就需要有非凡的想法和出人意料的創(chuàng)意，甚至需要經(jīng)歷無數(shù)的坎坷和挫折，所以這個過程別人如何看待你并不重要，重要的是你自己如何看待自己，你想要成為一個什么樣的人，你想要成就一件什么樣的事，這才是你真正需要關心的.
 
4.每天讀書五六個小時（read, read, read）；
富家不用買良田，書中自有千鐘粟。安居不用架高堂，書中自有黃金屋。出門莫恨無人隨，書中車馬多如簇。娶妻莫恨無良媒，書中自有顏如玉。男兒若遂平生志，五經(jīng)勤向窗前讀。宋真宗趙恒在《勸學詩》中明確地向我們闡述了書里面有什么，所以有時間少一點聚會，多一點讀書，就能獲得生命中想要的一切.
 
5.尊重安全邊際（margin of safety）；
無論是做投資，還是人生中的任何事，都需要有底線，因為你永遠都不知道下一刻會發(fā)生什么，而底線就是你的安全邊際，可以讓你在不確定性的未來中獲得確定性的當下，讓你有信心有勇氣不斷向前，縱觀古往今來，那些能人志士最終失敗的原因就是沒有底線的做事，太高估了自己的能力，不尊重安全邊際，最后都是一失足千古恨.
 
6.必須要有自己的競爭優(yōu)勢（have a competitive advantage）；
這個星球缺什么都不缺人，在上百億人口中你的優(yōu)勢是什么呢，如果你想要成就一番事業(yè)，不能有鶴立雞群的能力，就很難做出什么有影響力的事，所以找到自己內(nèi)在的激情，釋放出本有的潛能，是每一個年輕人開創(chuàng)事業(yè)時需要做到的事，大部分人都是用表意識的能力在這個社會上競爭，所以得到的只有普通的結果，只有極少數(shù)人運用潛意識的力量，讓自己的優(yōu)勢突顯，從而獲得巨大的競爭資本，比喻說馬云，運用了自己演講和英語能力，比喻說喬布斯運用了自己的產(chǎn)品開發(fā)能力和市場營銷能力，比喻說扎克伯格運用了自已技術能力和聯(lián)結能力，三位互聯(lián)網(wǎng)時代最偉大的創(chuàng)造者，運用了各自不同的潛能卻創(chuàng)造出了同樣影響世界的產(chǎn)品，技術和服務.
 
7.找到自己獨有的步伐（schedule for your personality）；
很多人只看見別人成功的結果，卻看不見別人為成功付出的過程，總期望可以和別人一樣成功，卻不期望和別人一樣的付出努力和投入時間，向內(nèi)看才是關鍵，每個人都有自己成功的時間點和節(jié)奏，用心關注自己的步伐，找到屬于自己獨特的規(guī)律，成功只是早晚的事，肯德雞老爺爺60歲開始在美國開啟第一家店，成功永遠沒有早晚，有的是你對成功的決心，有了決心，只要你還活著，就永遠有機會，相信自己，找到自己獨有的步伐，你就一定能成功.
 
8.永不自滿（always be competing）；
謙受益，滿招損，永不滿足才能永遠進步，喬布斯說， Stay hungry, stay foolish 保持饑餓，保持愚鈍，肚子太飽了就不想吃東西，大腦太滿了就不想學習，覺得自己太聰明了，就不會擁有進步，這個宇宙無邊無際，已經(jīng)擁有百億年的歷史，而人類的存在只有上萬年，我們所了解和學習的知識就如沙漠中的一粒微塵，大海中的一個水滴，天空中的一絲云朵，所以要永遠對我們看見和看不見的東西保持著敬畏和空杯的心態(tài)，并充滿好奇，不斷更新我們的思維和認知.
 
9.找到一個榜樣（model success）；
生命是混沌的，其實一生中我們并不知道自己想要去哪，所以在迷茫的時候找到一個榜樣來引領我們向前是非常有必要的，萬物同體，能量合一，人類彼此之間是相互聯(lián)結的，看得見的是身體，看不見的是靈魂，靈魂是以能量的形式存在這個宇宙中，而那些吸引我們的榜樣往往和自己擁有同樣的靈魂，只不過榜樣讓靈魂更綻放，發(fā)出了耀眼的光，所以奪目，從而讓我們想要成為和他們一樣，其實我們就是他們，只要我們打開自己，讓內(nèi)在的光釋放出來，也能成為他人的榜樣.
 
10.給予無條件的愛（give unconditional love）
黃金有價，寶石無價，這個世界上有很多珍奇異寶都無法用價格來定義它們的價值，但無論它們有多貴都無法和無條件的愛相提并論，因為愛可以改變一切，因為愛有人創(chuàng)造了<<圣經(jīng)>>,因為愛有人創(chuàng)造了<<金剛經(jīng)>>,因為愛有人創(chuàng)造了<<道德經(jīng)>>,而且創(chuàng)造這些經(jīng)典的人都付出無條件愛的人，他們內(nèi)心里裝的都是天下，所以才有耶穌被釘在十字架上的故事，才有釋迦牟尼于菩提樹下一座就是七七四十九天的故事，才有老子放下一切西出函谷關留下5000字道德經(jīng)的故事，因為這些愛是無條件的，2500后的今天依然被人們傳播和尊重，所以每個人都擁有這個世界上比無價的珍奇異寶還要貴的東西，那就是無條件的愛.
   
在你一生中，你為誰付出過無條件的愛呢？
 

交換機作為局域網(wǎng)中最常見的設備，在安全上面臨著重大威脅，這些威脅有的是針對交換機管理上的漏洞，攻擊者試圖控制交換機。有的針對的是交換機的功能，攻擊者試圖擾亂交換機的正常工作，從而達到破壞甚至竊取數(shù)據(jù)的目的。
針對交換機的攻擊主要有以下幾類：

• 交換機配置/管理的攻擊
• MAC泛洪攻擊
• DHCP欺騙攻擊
• MAC和IP欺騙攻擊
• ARP欺騙
• VLAN跳躍攻擊
• STP攻擊
• VTP攻擊

交換機的訪問安全
為了防止交換機被攻擊者探測或控制，必須在交換機上配置基本的安全：

• 使用合格的密碼
• 使用ACL，限制管理訪問
• 配置系統(tǒng)警告用語
• 禁用不需要的服務
• 關閉CDP
• 啟用系統(tǒng)日志
• 使用SSH替代Telnet
• 關閉SNMP或使用SNMP V3

交換機的端口安全
交換機依賴MAC地址表轉發(fā)數(shù)據(jù)幀，如果MAC地址不存在，則交換機將幀轉發(fā)到交換機上的每一個端口(泛洪)，然而MAC地址表的大小是有限的。
MAC泛洪攻擊利用這一限制用虛假源MAC地址轟炸交換機，直到交換機MAC地址表變滿。交換機隨后進入稱為 “失效開放” (Fail-open)的模式，開始像集線器一樣工作，將數(shù)據(jù)包廣播到網(wǎng)絡上的所有機器。
因此，攻擊者可看到發(fā)送到無MAC地址表條目的另一臺主機的所有幀。要防止MAC泛洪攻擊，可以配置端口安全特性，限制端口上所允許的有效MAC地址的數(shù)量，并定義攻擊發(fā)生時端口的動作：關閉、保護、限制。
DHCP Snooping
當交換機開啟了 DHCP-Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。
另外，DHCP-Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄。
這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP地址。

• dhcp-snooping的主要作用就是隔絕非法的dhcp server，通過配置非信任端口。
• 與交換機DAI的配合，防止ARP病毒的傳播。
• 建立和維護一張dhcp-snooping的綁定表，這張表一是通過dhcp ack包中的ip和mac地址生成的，二是可以手工指定。這張表是后續(xù)DAI(dynamic arp inspect)和IPSource Guard 基礎。這兩種類似的技術，是通過這張表來判定ip或者mac地址是否合法，來限制用戶連接到網(wǎng)絡的。
• 通過建立信任端口和非信任端口，對非法DHCP服務器進行隔離，信任端口正常轉發(fā)DHCP數(shù)據(jù)包，非信任端口收到的服務器響應的DHCP offer和DHCPACK后，做丟包處理，不進行轉發(fā)。

DAI
動態(tài)ARP檢查(Dynamic ARP Inspection, DAI)可以防止ARP欺騙，它可以幫助保證接入交換機只傳遞“合法的"ARP請求和應答信息。
DAI基于DHCP Snooping來工作，DHCP Snooping監(jiān)聽綁定表，包括IP地址與MAC地址的綁定信息，并將其與特定的交換機端口相關聯(lián)，動態(tài)ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP) ，確保應答來自真正的MAC所有者。
交換機通過檢查端口紀錄的DHCP綁定信息和ARP應答的IP地址決定其是否是真正的MAC所有者，不合法的ARP包將被拒絕轉發(fā)。
DAI針對VLAN配置,對于同一VLAN內(nèi)的接口，可以開啟DAI也可以關閉，如果ARP包是從一個可信任的接口接受到的，就不需要做任何檢查;
如果ARP包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉發(fā)出去。這樣,，DHCP Snooping 對于DAI來說也成為必不可少的。
DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設置上的改變。對于沒有使用DHCP的服務器，個別機器可以采用靜態(tài)添加DHCP綁定表或ARP access-list的方法實現(xiàn)。
另外，通過DAI可以控制某個端口的ARP請求報文頻率。一旦ARP請求頻率超過預先設定的閾值，立即關閉該端口。該功能可以阻止網(wǎng)絡掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也可以起到阻斷作用。