首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

交换机安全防范技术(下)


http://www.gipsky.com/
上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术,本期将继续为您介绍交换机常用的安全防范技术。以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。



  流量及端口限速控制技术

  为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术。

<BR>  配置端口流量阈值

  通过配置端口流量阈值,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式:



  flow-constrain time-value flow-value { bps | pps }

  flow-constrain method { shutdown | trap }



  流量监管

  流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。



  端口限速

  端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。



  TCP属性及CPU负载控制技术

  黑客扫描、蠕虫病毒等都会引起过多TCP连接,CPU负载过重与此也有关系,适当地调整交换机的TCP属性和送达CPU的报文,可以有效地降低CPU负载。



  配置TCP 属性

  synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接将被终止。synwait定时器的超时时间取值范围为2~600秒,缺省值为75秒:

  tcp timer syn-timeout time-value



  finwait定时器:当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时,启动finwait 定时器,如果finwait定时器超时前仍未收到FIN报文,则TCP连接被终止。finwait的取值范围为76~3600秒,finwait的缺省值为675秒:

  tcp timer fin-timeout time-value



  面向连接Socket的接收和发送缓冲区的大小:范围为1~32K字节,缺省值为4K字节:

  tcp window window-size



  配置特殊IP报文是否送CPU处理

  在交换机的IP报文转发过程中,通常重定向、TTL超时及路由不可达的报文会送到CPU,CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击,则会造成CPU负载过重,这时便可通过下面的命令设置相应报文不送CPU处理,以保护系统的正常运行。缺省情况下,重定向、路由不可达的报文不送CPU处理,TTL超时报文送CPU处理:

  undo ip { redirects | ttl-expires | unreachables }本新闻共3页,当前在第1页 1 2 3
<< 安全的电信网可能吗? 交换机安全防范技术(上) >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号