【正文】 rmac表示macauthentication和userloginsecure模式下的認證可以同時進行，如果都認證通過的話，userloginsecure的優(yōu)先級高于macauthentication模式userloginsecureelsemac表示先進行macauthentication認證，如果成功則表明認證通過，如果失敗則再進行userloginsecure認證userloginsecureext與userloginsecure類似，但端口下userloginsecureormacext與userloginsecureormac類似，但多個userloginsecureelsemacext與macelseuserloginsecure類似，有多個當發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應特性，并按照預先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。 TC PROTECTION根據(jù)IEEE ，交換機監(jiān)測到拓撲變化或者接收到TC報文后會清空MAC表。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游交換機的BPDU。對于設置了Root保護功能的端口，端口角色只能保持為指定端口。推薦用戶在配置了邊緣端口的交換機上配置BPDU保護功能。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡震蕩。圖8 交換機Isolated Vlan 技術 STP Root/BPDU Guard基于Root/BPDU Guard方式的二層連接保護保證STP/RSTP穩(wěn)定,防止攻擊,保障可靠的二層連接。216。當相同VLAN中的服務器之間完全沒有互訪要求時，可以設置各自連接的端口為隔離端口，如圖。COMWARE可應用在分布式或集中式的網(wǎng)絡設備構架之上，也就是說，不僅可以運行在高端的交換機/路由器上，而且也可以運行在中低端的交換機/路由器上，不向其它廠商，不同的軟件運行在不同的設備上。架構安全特性涉及服務器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設備，部署點多、覆蓋面大，是構成整個安全數(shù)據(jù)中心的基石。如圖，第一層，Web服務器層，直接與接入設備相連，提供面向客戶的應用；第二層，即應用層，用來粘合面向用戶的應用程序、后端的數(shù)據(jù)庫服務器或存儲服務器；第三層，即數(shù)據(jù)庫層，包含了所有的數(shù)據(jù)庫、存儲和被不同應用程序共享的原始數(shù)據(jù)。圖5 數(shù)據(jù)中心分區(qū)規(guī)劃思想所謂多層思想（nTier）不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡三層部署（接入－匯聚－核心）上，更應該關注數(shù)據(jù)中心服務器區(qū)（Server Farm）的設計部署上。數(shù)據(jù)中心網(wǎng)絡邊界安全定位在傳輸層與網(wǎng)絡層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離，并提供對DDOS和多種畸形報文攻擊的防御。用一個形象的比喻來說明數(shù)據(jù)的三重保護。H3C數(shù)據(jù)中心安全解決方案秉承了H3C一貫倡導的“安全滲透理念”，將安全部署滲透到整個數(shù)據(jù)中心的設計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡應用層的目標，使安全保護無處不在?！澳就暗难b水量還取決于木板間的緊密程度”，一個網(wǎng)絡的安全不僅依賴于單個部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。數(shù)據(jù)中心絕不允許DOS/DDOS垃圾報文肆虐于網(wǎng)絡之中，因此如何實施邊界安全策略，如何“拒敵于國門之外”將是數(shù)據(jù)中心面臨的又一個挑戰(zhàn)。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡帶寬窄的情況下效果是明顯的。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。因此，數(shù)據(jù)中心面臨的另一個嚴峻問題是如何應對由應用攻擊造成的“零時差”效應。表1 系統(tǒng)漏洞與應用攻擊爆發(fā)速度關系:應用攻擊系統(tǒng)漏洞與應用攻擊爆發(fā)周期MS0503924 小時Witty48小時圖2 1995－2005 CERT/CC統(tǒng)計發(fā)現(xiàn)的漏洞如此多的漏洞，對數(shù)據(jù)中心意味著什么？系統(tǒng)安全小組必須及時采取行動獲得補丁程序、測試、最后將其部署在服務器上，為什么不直接給服務器打補丁呢？因為不能保證補丁對應用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。擺在我們面前的大量證據(jù)表明，針對系統(tǒng)缺陷的應用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。其中最常見，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過EMAIL進行傳播的，著名的例子包括求職信、網(wǎng)絡天空NetSky、雛鷹 BBeagle等，2005年11月爆發(fā)的Sober蠕蟲，是一個非常典型的群發(fā)郵件型蠕蟲。 面向應用層的攻擊常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應用攻擊莫過于“蠕蟲”。2 數(shù)據(jù)中心面對的安全挑戰(zhàn)隨著Internet應用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務器向網(wǎng)絡連接的中央服務器轉(zhuǎn)型，受其影響，基礎設施框架下多層應用程序與硬件、網(wǎng)絡、操作系統(tǒng)的關系變得愈加復雜。1 前言數(shù)據(jù)集中是管理集約化、精細化的必然要求，是企業(yè)優(yōu)化業(yè)務流程、管理流程的的必要手段。做為網(wǎng)絡中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無疑是個充滿著巨大的誘惑的數(shù)字城堡，任何防護上的疏漏必將會導致不可估量的損失，因此構筑一道安全地防御體系將是這座數(shù)字城堡首先面對的問題。以下是當前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。國際計算機安全協(xié)會 ICSA 實驗室調(diào)查的結果顯示，2005年病毒攻擊范圍提高了39%，重度被感染者提高了18