以太網(wǎng)交換機(jī)有哪些安全功能

2020-03-20 00:48 作者：艾銻無(wú)限 瀏覽量：

   
股神巴菲特的故事很多人都有所了解，7歲時(shí)就開(kāi)始涉足投資，12歲時(shí)就把整個(gè)圖書館的書全部讀完，一生最喜歡喝的飲料就是可口可樂(lè)，無(wú)論是接受采訪，還是開(kāi)全球股東大會(huì)，可口可樂(lè)飲料都是他的標(biāo)配，擁有富可敵國(guó)的資產(chǎn)讓他生命中的每個(gè)故事富有傳奇色彩，以下是他獲得成功的10條基本法則.
 
第一法則.找到自己的激情（find your passion）；
大部分人為了生存而工作，只有極少部分的人為了自己的使命而工作，所以在工作中我們看到人們沒(méi)有激情和斗志，那是因?yàn)檫@份工作對(duì)他來(lái)說(shuō)只是謀生的手段. 生命短暫，我們永遠(yuǎn)不知道意外和明天哪個(gè)先到，盡最大可能找到自己最想做的事，那怕這件事短時(shí)間讓你的生存困難，你都有必要堅(jiān)持下來(lái)，因?yàn)榧で椴攀悄惚居械脑磩?dòng)力，只有啟動(dòng)你內(nèi)在的發(fā)動(dòng)機(jī)，你才是一個(gè)靈魂和肉體合一的人，你做的事才會(huì)有具有非凡的意義和價(jià)值.
   
第二法則.雇傭人的標(biāo)準(zhǔn)：正直，聰明，精力充沛（integrity, intelligence, energy）；
如果想創(chuàng)建自己的團(tuán)隊(duì)，一定要雇傭正直，聰明，和精力充沛的人
首先要正直，一個(gè)優(yōu)良的品質(zhì)比聰明更重要，就像大樹越大根就會(huì)越深，而優(yōu)良的品質(zhì)就是樹根，不夠牢固的大樹也經(jīng)不起狂風(fēng)暴雨，其次就是這個(gè)人需要足夠的聰明，因?yàn)槁斆鞯娜瞬粌H僅會(huì)為你的事業(yè)帶來(lái)效率，還會(huì)帶來(lái)更低的成本和更大的收益，當(dāng)然最后精力充沛也是極其重要，這就像一輛跑車，只是啟動(dòng)速度快，不能持續(xù)的快下去也沒(méi)有什么用，所以即要可以快速啟動(dòng)，又要能持續(xù)加速，不斷領(lǐng)先，只有這樣的人才能為你的事業(yè)創(chuàng)造源源不斷的價(jià)值.  
3.不在乎別人的眼光（don't care what others think）；
永遠(yuǎn)不要在乎別人的眼光，我們身處在一個(gè)普通平凡的世界中，只有少數(shù)人真正能創(chuàng)造奇跡，大部分人還是過(guò)著普普通通的生活，所以他們的思維也是極其普通的，如果你想要?jiǎng)?chuàng)造一番偉大的事業(yè)，就需要有非凡的想法和出人意料的創(chuàng)意，甚至需要經(jīng)歷無(wú)數(shù)的坎坷和挫折，所以這個(gè)過(guò)程別人如何看待你并不重要，重要的是你自己如何看待自己，你想要成為一個(gè)什么樣的人，你想要成就一件什么樣的事，這才是你真正需要關(guān)心的.
 
4.每天讀書五六個(gè)小時(shí)（read, read, read）；
富家不用買良田，書中自有千鐘粟。安居不用架高堂，書中自有黃金屋。出門莫恨無(wú)人隨，書中車馬多如簇。娶妻莫恨無(wú)良媒，書中自有顏如玉。男兒若遂平生志，五經(jīng)勤向窗前讀。宋真宗趙恒在《勸學(xué)詩(shī)》中明確地向我們闡述了書里面有什么，所以有時(shí)間少一點(diǎn)聚會(huì)，多一點(diǎn)讀書，就能獲得生命中想要的一切.
 
5.尊重安全邊際（margin of safety）；
無(wú)論是做投資，還是人生中的任何事，都需要有底線，因?yàn)槟阌肋h(yuǎn)都不知道下一刻會(huì)發(fā)生什么，而底線就是你的安全邊際，可以讓你在不確定性的未來(lái)中獲得確定性的當(dāng)下，讓你有信心有勇氣不斷向前，縱觀古往今來(lái)，那些能人志士最終失敗的原因就是沒(méi)有底線的做事，太高估了自己的能力，不尊重安全邊際，最后都是一失足千古恨.
 
6.必須要有自己的競(jìng)爭(zhēng)優(yōu)勢(shì)（have a competitive advantage）；
這個(gè)星球缺什么都不缺人，在上百億人口中你的優(yōu)勢(shì)是什么呢，如果你想要成就一番事業(yè)，不能有鶴立雞群的能力，就很難做出什么有影響力的事，所以找到自己內(nèi)在的激情，釋放出本有的潛能，是每一個(gè)年輕人開(kāi)創(chuàng)事業(yè)時(shí)需要做到的事，大部分人都是用表意識(shí)的能力在這個(gè)社會(huì)上競(jìng)爭(zhēng)，所以得到的只有普通的結(jié)果，只有極少數(shù)人運(yùn)用潛意識(shí)的力量，讓自己的優(yōu)勢(shì)突顯，從而獲得巨大的競(jìng)爭(zhēng)資本，比喻說(shuō)馬云，運(yùn)用了自己演講和英語(yǔ)能力，比喻說(shuō)喬布斯運(yùn)用了自己的產(chǎn)品開(kāi)發(fā)能力和市場(chǎng)營(yíng)銷能力，比喻說(shuō)扎克伯格運(yùn)用了自已技術(shù)能力和聯(lián)結(jié)能力，三位互聯(lián)網(wǎng)時(shí)代最偉大的創(chuàng)造者，運(yùn)用了各自不同的潛能卻創(chuàng)造出了同樣影響世界的產(chǎn)品，技術(shù)和服務(wù).
 
7.找到自己獨(dú)有的步伐（schedule for your personality）；
很多人只看見(jiàn)別人成功的結(jié)果，卻看不見(jiàn)別人為成功付出的過(guò)程，總期望可以和別人一樣成功，卻不期望和別人一樣的付出努力和投入時(shí)間，向內(nèi)看才是關(guān)鍵，每個(gè)人都有自己成功的時(shí)間點(diǎn)和節(jié)奏，用心關(guān)注自己的步伐，找到屬于自己獨(dú)特的規(guī)律，成功只是早晚的事，肯德雞老爺爺60歲開(kāi)始在美國(guó)開(kāi)啟第一家店，成功永遠(yuǎn)沒(méi)有早晚，有的是你對(duì)成功的決心，有了決心，只要你還活著，就永遠(yuǎn)有機(jī)會(huì)，相信自己，找到自己獨(dú)有的步伐，你就一定能成功.
 
8.永不自滿（always be competing）；
謙受益，滿招損，永不滿足才能永遠(yuǎn)進(jìn)步，喬布斯說(shuō)， Stay hungry, stay foolish 保持饑餓，保持愚鈍，肚子太飽了就不想吃東西，大腦太滿了就不想學(xué)習(xí)，覺(jué)得自己太聰明了，就不會(huì)擁有進(jìn)步，這個(gè)宇宙無(wú)邊無(wú)際，已經(jīng)擁有百億年的歷史，而人類的存在只有上萬(wàn)年，我們所了解和學(xué)習(xí)的知識(shí)就如沙漠中的一粒微塵，大海中的一個(gè)水滴，天空中的一絲云朵，所以要永遠(yuǎn)對(duì)我們看見(jiàn)和看不見(jiàn)的東西保持著敬畏和空杯的心態(tài)，并充滿好奇，不斷更新我們的思維和認(rèn)知.
 
9.找到一個(gè)榜樣（model success）；
生命是混沌的，其實(shí)一生中我們并不知道自己想要去哪，所以在迷茫的時(shí)候找到一個(gè)榜樣來(lái)引領(lǐng)我們向前是非常有必要的，萬(wàn)物同體，能量合一，人類彼此之間是相互聯(lián)結(jié)的，看得見(jiàn)的是身體，看不見(jiàn)的是靈魂，靈魂是以能量的形式存在這個(gè)宇宙中，而那些吸引我們的榜樣往往和自己擁有同樣的靈魂，只不過(guò)榜樣讓靈魂更綻放，發(fā)出了耀眼的光，所以?shī)Z目，從而讓我們想要成為和他們一樣，其實(shí)我們就是他們，只要我們打開(kāi)自己，讓內(nèi)在的光釋放出來(lái)，也能成為他人的榜樣.
 
10.給予無(wú)條件的愛(ài)（give unconditional love）
黃金有價(jià)，寶石無(wú)價(jià)，這個(gè)世界上有很多珍奇異寶都無(wú)法用價(jià)格來(lái)定義它們的價(jià)值，但無(wú)論它們有多貴都無(wú)法和無(wú)條件的愛(ài)相提并論，因?yàn)閻?ài)可以改變一切，因?yàn)閻?ài)有人創(chuàng)造了<<圣經(jīng)>>,因?yàn)閻?ài)有人創(chuàng)造了<<金剛經(jīng)>>,因?yàn)閻?ài)有人創(chuàng)造了<<道德經(jīng)>>,而且創(chuàng)造這些經(jīng)典的人都付出無(wú)條件愛(ài)的人，他們內(nèi)心里裝的都是天下，所以才有耶穌被釘在十字架上的故事，才有釋迦牟尼于菩提樹下一座就是七七四十九天的故事，才有老子放下一切西出函谷關(guān)留下5000字道德經(jīng)的故事，因?yàn)檫@些愛(ài)是無(wú)條件的，2500后的今天依然被人們傳播和尊重，所以每個(gè)人都擁有這個(gè)世界上比無(wú)價(jià)的珍奇異寶還要貴的東西，那就是無(wú)條件的愛(ài).
   
在你一生中，你為誰(shuí)付出過(guò)無(wú)條件的愛(ài)呢？
 

交換機(jī)作為局域網(wǎng)中最常見(jiàn)的設(shè)備，在安全上面臨著重大威脅，這些威脅有的是針對(duì)交換機(jī)管理上的漏洞，攻擊者試圖控制交換機(jī)。有的針對(duì)的是交換機(jī)的功能，攻擊者試圖擾亂交換機(jī)的正常工作，從而達(dá)到破壞甚至竊取數(shù)據(jù)的目的。
針對(duì)交換機(jī)的攻擊主要有以下幾類：

• 交換機(jī)配置/管理的攻擊
• MAC泛洪攻擊
• DHCP欺騙攻擊
• MAC和IP欺騙攻擊
• ARP欺騙
• VLAN跳躍攻擊
• STP攻擊
• VTP攻擊

交換機(jī)的訪問(wèn)安全
為了防止交換機(jī)被攻擊者探測(cè)或控制，必須在交換機(jī)上配置基本的安全：

• 使用合格的密碼
• 使用ACL，限制管理訪問(wèn)
• 配置系統(tǒng)警告用語(yǔ)
• 禁用不需要的服務(wù)
• 關(guān)閉CDP
• 啟用系統(tǒng)日志
• 使用SSH替代Telnet
• 關(guān)閉SNMP或使用SNMP V3

交換機(jī)的端口安全
交換機(jī)依賴MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀，如果MAC地址不存在，則交換機(jī)將幀轉(zhuǎn)發(fā)到交換機(jī)上的每一個(gè)端口(泛洪)，然而MAC地址表的大小是有限的。
MAC泛洪攻擊利用這一限制用虛假源MAC地址轟炸交換機(jī)，直到交換機(jī)MAC地址表變滿。交換機(jī)隨后進(jìn)入稱為 “失效開(kāi)放” (Fail-open)的模式，開(kāi)始像集線器一樣工作，將數(shù)據(jù)包廣播到網(wǎng)絡(luò)上的所有機(jī)器。
因此，攻擊者可看到發(fā)送到無(wú)MAC地址表?xiàng)l目的另一臺(tái)主機(jī)的所有幀。要防止MAC泛洪攻擊，可以配置端口安全特性，限制端口上所允許的有效MAC地址的數(shù)量，并定義攻擊發(fā)生時(shí)端口的動(dòng)作：關(guān)閉、保護(hù)、限制。
DHCP Snooping
當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。
另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。
這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP地址。

• dhcp-snooping的主要作用就是隔絕非法的dhcp server，通過(guò)配置非信任端口。
• 與交換機(jī)DAI的配合，防止ARP病毒的傳播。
• 建立和維護(hù)一張dhcp-snooping的綁定表，這張表一是通過(guò)dhcp ack包中的ip和mac地址生成的，二是可以手工指定。這張表是后續(xù)DAI(dynamic arp inspect)和IPSource Guard 基礎(chǔ)。這兩種類似的技術(shù)，是通過(guò)這張表來(lái)判定ip或者mac地址是否合法，來(lái)限制用戶連接到網(wǎng)絡(luò)的。
• 通過(guò)建立信任端口和非信任端口，對(duì)非法DHCP服務(wù)器進(jìn)行隔離，信任端口正常轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包，非信任端口收到的服務(wù)器響應(yīng)的DHCP offer和DHCPACK后，做丟包處理，不進(jìn)行轉(zhuǎn)發(fā)。

DAI
動(dòng)態(tài)ARP檢查(Dynamic ARP Inspection, DAI)可以防止ARP欺騙，它可以幫助保證接入交換機(jī)只傳遞“合法的"ARP請(qǐng)求和應(yīng)答信息。
DAI基于DHCP Snooping來(lái)工作，DHCP Snooping監(jiān)聽(tīng)綁定表，包括IP地址與MAC地址的綁定信息，并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)(DAI-Dynamic ARP Inspection)可以用來(lái)檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP) ，確保應(yīng)答來(lái)自真正的MAC所有者。
交換機(jī)通過(guò)檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定其是否是真正的MAC所有者，不合法的ARP包將被拒絕轉(zhuǎn)發(fā)。
DAI針對(duì)VLAN配置,對(duì)于同一VLAN內(nèi)的接口，可以開(kāi)啟DAI也可以關(guān)閉，如果ARP包是從一個(gè)可信任的接口接受到的，就不需要做任何檢查;
如果ARP包是從一個(gè)不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會(huì)被轉(zhuǎn)發(fā)出去。這樣,，DHCP Snooping 對(duì)于DAI來(lái)說(shuō)也成為必不可少的。
DAI是動(dòng)態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。對(duì)于沒(méi)有使用DHCP的服務(wù)器，個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARP access-list的方法實(shí)現(xiàn)。
另外，通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文頻率。一旦ARP請(qǐng)求頻率超過(guò)預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時(shí)對(duì)有大量ARP報(bào)文特征的病毒或攻擊也可以起到阻斷作用。