jtn*_*ire 25 networking security vlan
根据标题,为什么人们告诉我不要出于安全目的使用 VLAN?
我有一个网络,其中有几个 VLAN。2 个 VLAN 之间有防火墙。我正在使用 HP Procurve 交换机并确保交换机到交换机的链接只接受标记帧,而主机端口不接受标记帧(它们不是“VLAN 感知”的)。我还确保中继链路的本地 VLAN (PVID) 与 2 个主机 VLAN 中的任何一个都不相同。我还启用了“入口过滤”。此外,我确保主机端口只是单个 VLAN 的成员,这与相应端口的 PVID 相同。属于多个 VLAN 的唯一端口是中继端口。
有人可以向我解释为什么上述不安全吗?我相信我已经解决了双重标签问题..
谢谢
更新:两个交换机都是 Hp Procurve 1800-24G
Zor*_*che 18
为什么人们告诉我不要出于安全目的使用 VLAN?
如果您不完全了解潜在问题,并正确设置网络以将风险降低到您的环境可接受的程度,则存在真正的风险。在许多地方,VLAN 在两个 VLAN 之间提供了足够的隔离级别。
有人可以向我解释为什么上述不安全吗?
听起来您已经采取了实现非常安全的设置所需的所有基本步骤。但我对惠普设备并不完全熟悉。您可能已经为您的环境做的够多了。
Cisco VLAN Security White Paper也是一篇很好的文章。
它包括针对基于 VLAN 的网络的可能攻击列表。其中一些在某些交换机上是不可能的,或者可以通过基础设施/网络的适当设计来缓解。花时间了解它们,并决定是否值得在您的环境中为避免风险而付出的努力。
引自文章。
也可以看看:
Hub*_*rio 10
对于某些安全值,它是安全的。
固件错误、交换机配置重置、人为错误都可能使其不安全。只要只有极少数人可以访问交换机的配置和交换机本身,那么在一般商业环境中就可以了。
不过,我会为真正敏感的数据进行物理分离。