交換機是整個網(wǎng)絡(luò)的核心主干，

相當于人體的脊髓、骨干。

冠航智能交換機，

通過交換機維度提升無線、

有線邊界安全，防御病毒的侵入，

提升安全性。

網(wǎng)絡(luò)中各種安全威脅復(fù)雜多樣，網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)建設(shè)的最基本的保證，以下主要從交換機的安全特性上的使用來保證網(wǎng)絡(luò)的安全，包括DHCP Snooping、Qos、ACL、流量鏡像。

DHCP Snooping是DHCP的一種安全特性，通過在智能交換機端口上配置DHCP Snooping，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址的對應(yīng)關(guān)系，防止網(wǎng)絡(luò)上偽冒的DHCP服務(wù)器為客戶端提供DHCP服務(wù)，導(dǎo)致非法用戶對網(wǎng)絡(luò)的攻擊。

DHCP Snooping的信任功能將交換機接口分為信任接口和非信任接口：

• 信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCP報文。另外，交換機設(shè)備只會將DHCP客戶端的DHCP請求報文通過信任接口發(fā)送給合法的DHCP服務(wù)器

• 非信任接口接收DHCP服務(wù)器響應(yīng)的DHCP報文后，丟棄該報文。

• 非信任端口支持根據(jù)客戶端IP地址、MAC地址設(shè)置白名單允許DHCP響應(yīng)報文通過

ACL定義

ACL本質(zhì)上是一種報文過濾器。智能交換機設(shè)備基于特定的規(guī)則進行報文匹配，然后過濾出特定的報文，根據(jù)預(yù)定的ACL策略出允許或阻止該報文通過。

?ACL功能目的

隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，對網(wǎng)絡(luò)的正常網(wǎng)絡(luò)通信造成了很大的影響。

1）網(wǎng)絡(luò)中重要服務(wù)器資源被隨意訪問，金融機密信息容易泄露，造成安全隱患

2）Internet病毒肆意侵略金融網(wǎng)絡(luò)，內(nèi)網(wǎng)環(huán)境的安全性堪憂

面對上述問題通過ACL可以實現(xiàn)對網(wǎng)絡(luò)中報文流的精確識別和控制，達到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的

傳統(tǒng)的網(wǎng)絡(luò)部署架構(gòu)上，網(wǎng)絡(luò)是基于交換機、路由器等標準網(wǎng)絡(luò)設(shè)備建立的，通常的邊界都是通過一系列的安全設(shè)備在網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)的出口搭建防御體系。但隨著信息化應(yīng)用的發(fā)展，越來越多的應(yīng)用終端接入網(wǎng)絡(luò)，更多的流量開始在終端之間相互交互，并不全部經(jīng)過互聯(lián)網(wǎng)出口，致使內(nèi)部接入邊界逐步擴大。通常一個新的安全邊界出現(xiàn)包括在往運行設(shè)備不受管控（交換機、控制器、接入終端等）、在接入層交換機下面私接路由器、隨身WiFi等新型設(shè)備，對網(wǎng)絡(luò)造成極大的安全隱患?；谏鲜鰡栴}，冠航開發(fā)了基于邊界終端安全的管控方案，通過從以下四個方面管控終端接入安全問題。

很多情況下，網(wǎng)絡(luò)管理員并不清楚自己運維的網(wǎng)絡(luò)接入哪些終端類型，對終端的管控非常少，網(wǎng)管軟件只能解決網(wǎng)絡(luò)設(shè)備的管理，因此也無法防止私接共享設(shè)備。冠航結(jié)合智能交換機+控制器設(shè)備推出了終端類型識別庫，對接入終端進行精確識別，同時又能夠防止私接共享設(shè)備。比如：辦公區(qū)的交換機可以嚴格限定路由器的接入；監(jiān)控區(qū)域的交換機嚴格限定其他終端的接入；甚至還可以做到基于端口的終端限定，比如1端口只能限定為打印機1接入，其他的終端、打印機無法接入。