|
| |
ML-9280 Layer2+~7
交换机是第一个將使用者的网络行为纳入交换机功能,所以將它命名为网络行为控制交换机(Network Behavior
Anomaly Control Switch),传统中、小型企业会用到的核心交换机功能,它全部都有,如Trunking、Vlan、static
Route,再加上ShareTech独特的网络行为分析理论,在第一时间將有问题的电脑隔离在外,避免感染內部网络的人。
ML-9280 是一款 48 Port 的10/100 Mbps + 2 10/100/1000M bps 的Layer
2+/4 交换机,它具备了一般Layer 2+ 骨干交换机的所有功能,包含802.1x 认证,Spanning
Tree,Port Mirror/Monitor 等功能,也有Layer 3 的基本路由设定, 最重要的是它提供Layer 4
Session Accounting 能力。这个功能让ML-9280
可以轻易地检测出网络的流量异常处,并將故障点限制在单台PC/主机內,避免藉由网络感染到其他台电脑。 |
|
|
|
一、理论基础:蠕虫、病毒、木马的特征值 |
|
|
不论是哪种木马、病毒、蠕虫,以TCP/UDP封包來分析,可以归纳成下列几种模式,只要它的连线数超过设定的临界值,就可以合理的怀疑是否有攻击。 |
|
|
1 |
某一來源IP,对不特定的目标IP执行相同的Destination 通讯端口,例如:445 . 443 . 135 . 137。 |
|
|
|
推测:这个來源IP已经中毒。 |
|
|
2 |
某一來源IP,对特定的目标IP执行不相同的通讯端口, |
|
|
|
推测:这个來源IP在执行Portscan。 |
|
|
3 |
不特定來源IP,对特定的目标IP,执行相同Destination通讯端口,例如445.443.135… |
|
|
|
推测:这个目标IP正遭受攻击 |
|
|
4 |
狂送出
TCP SYN 或 UDP SYN |
|
|
|
推测:想把目标IP的TCP或UDP buffers 占完,藉以瘫痪主机或产生缓冲区溢位。 |
|
|
当然攻击与被攻击在TCP/UDP的连线数的表征下还有许多可能性,这些都可以用ML-9280的WORM
configuration一个个定义出來,最重要的是ML-9280不仅可以侦测出來,并且可以立刻执行隔离动作,确保內部网络的安全。 |
|
|
|
二、系统功能与特色 |
|
|
|
|
侦测到有问题的PC,立刻送到隔离区 |
|
|
这是所有的网络管理者在发现內部网络中毒时最想做的第一件事情,ML-9280 原本就是支持Layer 2 的VLAN功能,原來VLAN设计上就是让2个不同的VLAN互不相通,当侦测机制发现到异常的MAC
位址或是实体连接端口后,会將有问题的电脑自动归类到隔离区的VLAN,让它跟实际运作的VLAN群组隔离,当然就沒有机会利用网络感染其他部电脑。 |
|
|
|
|
|
快速阻断流窜內网的木马、蠕虫 |
|
|
內部网络中毒,所有的IDP、弱点侦测、防火墙通通沒办法根本解決问题,ML-9280可以直接隔离中毒的电脑,不再会互相感染。 |
|
|
|
|
|
高速交换频宽 |
|
|
ML-9280 Switch 使用最新型ASIC技术,提供了最高可达16Gbps的硬件交换背板频宽(Switch fabric)
,这支持了ML-9280 在 Layer 2 线速无阻塞的Store and
Forward架构下,输出效能最高每秒可达9.55M个封包,而內建之Layer 4 处理晶片使本设备执 IP
的连接数统计、蠕虫及异常连接检测时,并不牺牲网络传输品质及效能。 |
|
|
|
|
|
自动防护MAC位址伪裝(Netcut) |
|
|
ML-9280 具有侦测NETCUT 软件攻击的能力,一但发现有人执行这个软件,会立刻对锁这个交换机端口,并且通知管理者。 |
|
|
|
|
|
自动防护MAC 位址的流量攻击 |
|
|
为了干扰网络的正常运作,攻击者送出大量的MAC 位址清求,造成网络服务不正常,速度变慢。ML-9280
可以预先设定每个实体端口做高的MAC 位址请求流量,一但超过这个正常使用下的数值,立刻封锁这个端口。 |
|
|
|
|
|
异常网络行为侦测(蠕虫、病毒、木马的特征值) |
|
|
跟其他网络流量分析软件或IDS软件最大不同是,ML-9280一但发现异常的网络行为(超过500 个Packet /
5秒),能管制这个异常行为,不让它继续肆虐。它可以采取4种控制行为: |
|
|
|
1.封锁这个MAC 位址。
2.封锁发生异常流量的交换机PORT。
3.限定发生异常流量MAC 位址的频宽,以64Kbps 为单位。
4.將这个IP/MAC 自动隔离到隔离区。 |
|
|
所以ML-9280 不仅能侦测流量,也可以控制跟管理,在注重內网安全的资讯时代,它是网络安全的第一关。 |
|
|
|
|
|
每PORT设使用流量配额 |
|
|
在一些特定的网络应用环境,为了网络的公平使用原则,会限定每个使用者在特定的时间內能使用多少的网络资源,这样可以避免网络资源被滥用,或者是架设非法的网站,示意图如下: |
|
|
|
|
|
服务黑名单阻挡 |
|
|
ML-9280 最多可以设定24个黑名单的服务表(Destination
Port),这个功能的最主要目的跟时间是,当攻击者入侵內部电脑,并且利用內部电脑,对外建立大量特定的TCP/UDP
通讯端口连线。 |
|
|
|
|
|
TCP的Synflood或MAC的Synflood |
|
|
一般有建立防火墙的企业网络,防火墙会將这样的封包阻隔在外面的网络,但是如果內部电脑被执入这样的攻击行为(可能从WWW、MAIL甚至是即时通讯软件),ML-9280可以防护这样的攻击行为。 |
|
|
|
|
|
IP-Port 互锁 |
|
|
將IP位址跟交换机的PORT一起绑定的好处是避免使用者乱设IP位址,造成网络混乱,也避免任意人拿着NOTEBOOK接上网络,病毒、木马随网络乱窜,就算是ML-9280串接另一个传统的交换机,一样可以运作。 |
|
|
|
|
|
IP-MAC互锁 |
|
|
在最严苛的网络环境下,不允许任意地增加任何电脑主机,如果要增加,则需要网络管理者的许可,在这个环境下,ML-9280的IP-MAC
Lock 功能就可以派上用场,IP 位址、MAC
位址跟接触的交换机孔位全部符合下,网络才会通,任何一个跟管理者设定的不一样,网络不通。 |
|
|
|
|
|
频宽管理 |
|
|
ML-9280提供更精准的频宽管理机制,除了上述的基本功能外及一般的4种QoS
Level(Q3、Q2、Q1、Q0),及6种不同的等级(Strict
High、High、Medium、Normal、Low、Strick Low),让管理起來更方便。 |
|
|
|
|
|
Layer 2+ ~7 |
|
|
一般
Layer 2 + 交换机该有的功能,如Trunking、Vlan、static Route,ML-9280通通都有。 |
|
|
|
|
|
|
|
二、应用图 |
|
|
|
