10、网络设计元素与网络威胁防护
网络设计元素与网络威胁防护
1. 网络设计概述
网络设计对于网络、服务器和客户端计算机的安全至关重要。合理的网络设计元素能够抵御多种网络攻击。在设计网络时,需要考虑保护网络设备,实施网络地址转换(NAT),了解标准的私有 IP 范围,掌握网络区域(如局域网和非军事区),并运用子网划分、虚拟局域网(VLAN)、网络访问控制(NAC)和安全的电话设备等技术。
2. 网络设备
2.1 集线器(Hub)
- 集线器是物理星型拓扑结构中使用的中央连接设备,仅用于以太网网络。它内部只有一个主干电路,所有端口都连接到该电路,会将信息广播到所有端口,因此容易受到攻击。例如,恶意人员可以通过协议分析器连接到集线器的任何端口来访问所有网络流量。
- 集线器位于 OSI 模型的物理层,为了确保其安全,应将其放置在安全区域,如服务器机房或带锁的配线柜。但最好的方法是移除基本集线器,用交换机或其他更先进的设备取代它。
2.2 交换机(Switch)
- 以太网交换技术于 1996 年发展起来,迅速成为首选的网络连接方式。与集线器不同,交换机通过将计算机的 MAC 地址映射到相应的物理端口,以单播方式将信号发送到正确的计算机,从而提高了数据传输和安全性。
- 然而,交换机也存在一些安全隐患:
- MAC 泛洪攻击:攻击者发送大量具有不同源 MAC 地址的数据包,耗尽交换机的内存,使交换机进入故障开放模式,导致网络带宽降低,恶意人员可使用协议分析器捕获数据。为防范此类攻击,可使用支持端口安全的交换机