扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
VACLs 和PVLANs的已知限制
当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整。
假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包,您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。
有一个着名的安全限制对 PVLANs,是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具,不在第三 层(L3) 。
有修正到此问题,通过在 主VLAN配置的VACLs达到。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs。
在一些线路卡,PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置。那些限制在新的 端口ASIC Coil3 被去除。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。
示例分析
以下部分描述三个案例 分析,我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。
这些方案是 :
转接DMZ
外部DMZ
与防火墙并联 的VPN集中器
转接DMZ
这是其中一个最普通配置的方案。 在本例中 ,DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的。
图2:转接 DMZ
在本例中,DMZ服务器应该由外部获取并且内部用户,但他 们不需要与彼此联络。 在某些情况下,DMZ服务器需要打开 与一台内部主机的连接。同时,内部客户端应该访问互联网 没有限制。一个好例子将是那个带有网络服务器在DMZ,需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网 。
配置外部防火墙允许与服务器的 流入的连接位于DMZ,但通常过滤器或限制没有被运用于流出的数据 流,于DMZ发起的特殊数据流。因为我们及早在本文讨论,这 能潜在实现一名攻击者的活动为二个原因: 第一个,当其中 一台DMZ主机被攻陷,其他DMZ主机显示; 第二个,攻击者能 容易地利用向外的连接。
因为DMZ服 务器不需要彼此谈,推荐是确定他们查出在L2。而连接到二 个防火墙的端口将被定义如混乱,服务器端口将被定义作为PVLANs 隔离的端口。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此。
将用于VACLs控制于DMZ发 起的数据流。 这将防止一名攻击者能打开非法向外的连接。 记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的,但他们也将需要一些其它服务,例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现。 如此,ACL应该允许 DMZ服务器需要的所有服务。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。