VACLs 和PVLANs的已知限制
当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整 。
假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的 。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地答应片段。如此假如想要从离开服务器终止回应数据包,您必须用线 路deny icmp any any fragment 明确配置 此 。配置在本文考 虑到此 。
有一个着名的安全限制对 PVLANs,是可能性路由器转发数据流来自的取消相同子网 。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口 。此限制归结于事实PVLANs是提供隔离在L2的工具,不在第三 层(L3)。
有修正到此问题,通过在 主VLAN配置的VACLs达到 。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs 。
在一些线路卡,PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置 。那些限制在新的 端口ASIC Coil3 被去除 。参见软件配置的最新的 Catalyst 交换机文档的这些具体资料 。
示例分析
以下部分描述三个案例 分析,我们相信是多数实施代表并且给予具体资料与PVLANs 和 VACLs的安全部署有关 。
这些方案是 :
转接DMZ
外部DMZ
与防火墙并联 的VPN集中器
转接DMZ
这是其中一个最普通配置的方案 。在本例中,DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的 。
图2:转接 DMZ
在本例中,DMZ服务器应该由外部获取并且内部用户,但他 们不需要与彼此联络 。在某些情况下,DMZ服务器需要打开 与一台内部主机的连接 。同时,内部客户端应该访问互联网 没有限制 。一个好例子将是那个带有网络服务器在DMZ,需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网。
配置外部防火墙答应与服务器的 流入的连接位于DMZ,但通常过滤器或限制没有被运用于流出的数据 流,于DMZ发起的非凡数据流 。因为我们及早在本文讨论,这 能潜在实现一名攻击者的活动为二个原因: 第一个,当其中 一台DMZ主机被攻陷,其他DMZ主机显示; 第二个,攻击者能 轻易地利用向外的连接 。
因为DMZ服 务器不需要彼此谈,推荐是确定他们查出在L2 。而连接到二 个防火墙的端口将被定义如混乱,服务器端口将被定义作为PVLANs 隔离的端口 。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此 。
将用于VACLs控制于DMZ发 起的数据流 。这将防止一名攻击者能打开非法向外的连接 。记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的,但他们也将需要一些其它服务,例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现 。如此,ACL应该答应 DMZ服务器需要的所有服务 。
QQRead.com 推出数据恢复指南教程 数据恢复指南教程数据恢复故障解析常用数据恢复方案硬盘数据恢复教程数据保护方法数据恢复软件专业数据恢复服务指南
前言 其中一个要害要素到建立一个成功的网络安全设计是识别和强制执行 一个适当信任模式 。适当信任模式定义了谁需要谈与谁并且 什么样的数据流需要被交换; 应该否决其他数据流 。一旦适当信任模式被识别,然后安全设计员应该决定如何强制执行 型号 。因为重要资源是全局可用的并且网络攻击的新的表演 变,网络安全基础设施倾向于变得更加复杂,并且更多产品是可用 的 。防火墙、路由器、LAN交换机、入侵检测系统、AAA服务 器和VPN是可帮助强制执行型号的某些技术和产品 。当然,每 一个这些产品和技术在整体安全实施之内扮演一个特定的角色,并 且了解设计员是重要的这些元素如何可以配置 。
推荐阅读
- 租赁房动迁款归谁所有
- 人固有一死或重于泰山或轻于鸿毛出自司马迁的什么 人固有一死或重于泰山或轻于鸿毛出自什么
- 手机快播用私有云收集影片
- 巩义特产
- 张小斐和冯巩什么关系
- 水蛭人工养殖法
- b类地址标准子网掩码 b类私有地址的子网掩码
- 冯国璋跟冯巩什么关系 冯国璋和冯巩什么关系
- 私有地址是什么意思 私有地址是什么意思怎么判断
- 电器维修怎么赚钱