b>
安全交换机的IDS功能可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。实现这种联动,需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
设备冗余也重要
物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
放在哪里用?
安全交换机的出现,使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心,如同思科Catalyst 6500这个模块化的核心交换机那样,把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略,做到集中控制,而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力,安全性能是一项颇费处理能力的工作,核心交换机做起这个事情来能做到物尽其能。
把安全交换机放在网络的接入层或者汇聚层,是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘,在各个边缘页码:[1] [2] [3] [4] [5] [6] [7] 第5页、共7页 |
