如何利用Catalyst交换机处理蠕虫病毒的入侵

新客网 XKER.COM 2007-01-31 来源： 收藏本文

   

　　追踪可疑源头。　Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS)，以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息，同时防范IP地址假冒。这点非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就没有意义了。　用户一旦登录网络，就可获得这些信息。结合ACS，还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件，当发现可疑流量时，就能以email的方式，把相关信息发送给网络管理员。

　　在通知email里，报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10，物理接口是FastEthernet4/1，另外还有客户端IP地址和MAC地址 ，以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。

　　掌握了这些信息后，网管员就可以马上采取以下行动了：

　　通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上，例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口，只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块)，作进一步的分析和做出相应的动作。

　　整个过程需要多长时间呢？对于一个有经验的网管员来说，在蠕虫发生的5分钟内就能完成，而且他不需要离开他的座位！

我们可以看到，这个解决方案结合了Catalyst上集成的多种安全特性功能，从扩展的802.1x，到DHCP 监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用，为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案，这个方案不需更多额外投资，因为利用的是集成在Catalyst 上的IOS中的功能特性，也带给我们一个思考：如何利用网络来保护网络？这些我们在选择交换机时可能忽略的特性，会带给我们意想不到的行之有效的安全解决方案！

[责任编辑:editor]

• ·交换技术 边缘交换机智能与性能
• ·交换机应用中的六种安全设置介绍详解
• ·软交换技术详解 软交换技术中的分组协议
• ·网络交换技术 软交换的十大功能
• ·Cisco交换机防止VLAN间的ARP攻击
• ·实用：思科交换机密码恢复方法
• ·Cisco交换机常见问题大集合
• ·三层交换机典型应用配置实例
• ·用Cisco交换机防止VLAN间ARP攻击
• ·Cisco交换机配置入门帮助与注意
• ·经典：交换机故障检测检查表
• ·交换机DHCP服务器中继代理配置
• ·修改路由器和交换机密码的技巧
• ·实战路由器和交换机不通排障
• ·交换机基础 详解第三层交换机技术
• ·通过串口连接设置来管理交换机