另一个注重事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网 。没什么每防火 墙或路由器能执行因为切断将设法直接地沟通 。另一个选项 是投入一个防火墙端口每个服务器,但这是可能太消耗大,难实现 和不扩展 。
在后面,我们具体描述您能使用此功能的一些其他典型的方案 。
VLAN访问控制表
VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列 。
VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC)) 。他们在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500 。因为VACLs查找在硬件执行不管访问控制列 表的大小,转发速率保持不变 。
VACLs可以分开被映射对主要或备用VLAN。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流 。
通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量 。例 如,假如二个路由器连接到分段和一些主机(例如服务器一样),VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时 。
VACLs可以轻易地配置强制执行适当信任模式 。请分析我们的DMZ案件 。服务器在DMZ应该服务仅流入 的连接,并且他们没有预计首次与外界的连接 。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流 。注 意到是要害的,当时使用VACLs,数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机 。在案件一个服务器在分 布拒绝服务(DDos)攻击涉及作为来源,交换机将降低所有非法数 据流以线速,没有任何影响性能 。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用,但这通常有严重性能指 示 。
VACLs 和PVLANs的已知限制
当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整 。
假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的 。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地答应片段。如此假如想要从离开服务器终止回应数据包,您必须用线 路deny icmp any any fragment 明确配置 此 。配置在本文考 虑到此 。
有一个着名的安全限制对 PVLANs,是可能性路由器转发数据流来自的取消相同子网 。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口 。此限制归结于事实PVLANs是提供隔离在L2的工具,不在第三 层(L3)。
有修正到此问题,通过在 主VLAN配置的VACLs达到 。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs 。
在一些线路卡,PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置 。那些限制在新的 端口ASIC Coil3 被去除 。参见软件配置的最新的 Catalyst 交换机文档的这些具体资料 。
示例分析
以下部分描述三个案例 分析,我们相信是多数实施代表并且给予具体资料与PVLANs 和 VACLs的安全部署有关 。
这些方案是 :
转接DMZ
外部DMZ
与防火墙并联 的VPN集中器
转接DMZ
这是其中一个最普通配置的方案 。在本例中,DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的 。
图2:转接 DMZ
在本例中,DMZ服务器应该由外部获取并且内部用户,但他 们不需要与彼此联络 。在某些情况下,DMZ服务器需要打开 与一台内部主机的连接 。同时,内部客户端应该访问互联网 没有限制 。一个好例子将是那个带有网络服务器在DMZ,需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网。
推荐阅读
- 租赁房动迁款归谁所有
- 人固有一死或重于泰山或轻于鸿毛出自司马迁的什么 人固有一死或重于泰山或轻于鸿毛出自什么
- 手机快播用私有云收集影片
- 巩义特产
- 张小斐和冯巩什么关系
- 水蛭人工养殖法
- b类地址标准子网掩码 b类私有地址的子网掩码
- 冯国璋跟冯巩什么关系 冯国璋和冯巩什么关系
- 私有地址是什么意思 私有地址是什么意思怎么判断
- 电器维修怎么赚钱