企業(yè)網(wǎng)絡(luò)安全涉及到方方面面�����。從交換機來說��,首選需要保證交換機端口的安全���。在不少企業(yè)中����,員工可以隨意的使用集線器等工具將一個上網(wǎng)端口增至多個�����,或者說使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中����。類似的情況都會給企業(yè)的網(wǎng)絡(luò)安全帶來不利的影響。在這篇文章中���,筆者就跟大家談?wù)劊粨Q機端口的常見安全威脅及應(yīng)對措施��。
一、常見安全威脅
在企業(yè)中�����,威脅交換機端口的行為比較多���,總結(jié)一下有如下幾種情況�。
一是未經(jīng)授權(quán)的用戶主機隨意連接到企業(yè)的網(wǎng)絡(luò)中����。如員工從自己家里拿來一臺電腦,可以在不經(jīng)管理員同意的情況下�����,拔下某臺主機的網(wǎng)線�����,插在自己帶來的電腦上�。然后連入到企業(yè)的網(wǎng)路中。這會帶來很大的安全隱患���。如員工帶來的電腦可能本身就帶有病毒�。從而使得病毒通過企業(yè)內(nèi)部網(wǎng)絡(luò)進行傳播����;蛘叻欠◤椭破髽I(yè)內(nèi)部的資料等等。
二是未經(jīng)批準采用集線器等設(shè)備�。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量,會在未經(jīng)授權(quán)的情況下���,將集線器�����、交換機等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上���。如此的話,會導致這個網(wǎng)絡(luò)接口對應(yīng)的交換機接口流量增加���,從而導致網(wǎng)絡(luò)性能的下降�。在企業(yè)網(wǎng)絡(luò)日常管理中����,這也是經(jīng)常遇到的一種危險的行為。
在日常工作中�,筆者發(fā)現(xiàn)不少網(wǎng)絡(luò)管理員對于交換機端口的安全性不怎么重視。這是他們網(wǎng)絡(luò)安全管理中的一個盲區(qū)�。他們對此有一個錯誤的認識。以為交換機鎖在機房里�,不會出大問題�;蛘哒f,只是將網(wǎng)絡(luò)安全的重點放在防火墻等軟件上��,而忽略了交換機端口等硬件的安全��。這是非常致命的���。
二���、主要的應(yīng)對措施
從以上的分析中可以看出,企業(yè)現(xiàn)在交換機端口的安全環(huán)境非常的薄弱�。在這種情況下,該如何來加強端口的安全性呢?如何才能夠阻止非授權(quán)用戶的主機聯(lián)入到交換機的端口上呢?如何才能夠防止未經(jīng)授權(quán)的用戶將集線器�、交換機等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上呢?對此筆者有如下幾個建議。
一是從意識上要加以重視�。筆者認為,首先各位網(wǎng)絡(luò)管理員從意識上要對此加以重視����。特別是要消除輕硬件�����、重軟件這個錯誤的誤區(qū)�����。在實際工作中�,要建立一套合理的安全規(guī)劃�����。如對于交換機的端口��,要制定一套合理的安全策略���,包括是否要對接入交換機端口的MAC地址與主機數(shù)量進行限制等等�。安全策略制定完之后�����,再進行嚴格的配置����。如此的話����,就走完了交換機端口安全的第一步��。根據(jù)交換機的工作原理��,在系統(tǒng)中會有一個轉(zhuǎn)發(fā)過濾數(shù)據(jù)庫�,會保存MAC地址等相關(guān)的信息���。而通過交換機的端口安全策略�,可以確保只有授權(quán)的用戶才能夠接入到交換機特定的端口中����。為此只要網(wǎng)絡(luò)管理員有這個心,其實完全有能力來保障交換機的端口安全����。
二是從技術(shù)角度來提高端口的安全性。如比較常用的一種手段是某個特定的交換機端口只能夠連接某臺特定的主機����。如現(xiàn)在用戶從家里拿來了一臺筆記本電腦。將自己原先公司的網(wǎng)線接入到這臺筆記本電腦中��,會發(fā)現(xiàn)無法連入到企業(yè)的網(wǎng)絡(luò)中。這時因為兩臺電腦的MAC地址不同而造成的�。因為在交換機的這個端口中,有一個限制條件����。只有特定的IP地址才可以通過其這個端口連入到網(wǎng)絡(luò)中。如果主機變更了��,還需要讓其允許連接這個端口的話���,那么就需要重新調(diào)整交換機的MAC地址設(shè)置�����。這種手段的好處就是可以控制���,只有授權(quán)的主機才能夠連接到交換機特定的端口中。未經(jīng)授權(quán)的用戶無法進行連接�����。而缺陷就是配置的工作量會比較大�����。在期初的時候,需要為每個交換機的端口進行配置�。如果后續(xù)主機有調(diào)整或者網(wǎng)卡有更換的話(如最近打雷損壞的網(wǎng)卡特別多),那么需要重新配置�。這就會導致后續(xù)工作量的增加。如果需要進行這個MAC地址限制的話��,可以通過使用命令switchport port –security mac-address來進行配置�����。使用這個命令后��,可以將單個MAC地址分配到交換機的每個端口中��。正如上面所說的���,要執(zhí)行這個限制的話,工作量會比較大���。
三是對可以介接入的設(shè)備進行限制�����。出于客戶端性能的考慮�,我們往往需要限制某個交換機端口可以連接的最多的主機數(shù)量。如我們可以將這個參數(shù)設(shè)置為1�,那么就只允許一臺主機連接到交換機的端口中。如此的話���,就可以避免用戶私自使用集線器或者交換機等設(shè)備拉增加端口的數(shù)量��。不過這種策略跟上面的 MAC地址策略還是有一定的區(qū)別���。MAC地址安全策略的話,也只有一臺主機可以連接到端口上�。不過還必須是MAC地址匹配的主機才能夠進行連接。而現(xiàn)在這個數(shù)量的限制策略�,沒有MAC地址匹配的要求。也就是說��,更換一臺主機后�,仍然可以正常連接到交換機的端口上。這個限制措施顯然比上面這個措施要寬松不少���。不過工作量上也會減少不少�����。要實現(xiàn)這個策略的話��,可以通過命令swichport-security maximun來實現(xiàn)�����。如故將這個參數(shù)設(shè)置為1����,那么就只允許一臺主機連接到交換機的端口之上。這就可以變相的限制介入交換機或者集線器等設(shè)備���。不過這里需要注意的是,如果用戶違反了這種情況��,那么交換機的端口就會被關(guān)閉掉�。也就是說,一臺主機都連接不到這個端口上�。在實際工作中,這可能會殃及無辜����。所以需要特別的注意。
四是使用sticky參數(shù)來簡化管理��。在實際工作中,sticky參數(shù)是一個很好用的參數(shù)�������?梢源蟠蟮暮喕疢AC地址的配置��。如企業(yè)現(xiàn)在網(wǎng)絡(luò)部署完畢后���,運行以下switch-port port-security mac-addres sticky命令���。那么交換機各個端口就會自動記住當前所連接的主機的MAC地址。如此的話�����,在后續(xù)工作中�����,如果更換了主機的話����,只要其MAC地址與原有主機不匹配的話���,交換機就會拒絕這臺主機的連接請求。這個參數(shù)主要提供靜態(tài)MAC地址的安全���。管理員不需要再網(wǎng)絡(luò)中輸入每個端口的MAC地址���。從而可以簡化端口配置的工作。不過如果后續(xù)主機有調(diào)整�����,或者新增主機的話���,仍然需要進行手工的配置�。不過此時的配置往往是小范圍的��,工作量還可以接受����。
最后需要注意的是��,如果在交換機的端口中同時連接PC主機與電話機的時候��,需要將Maximun參數(shù)設(shè)置為2。因為對于交換機端口來說�����,電話機與PC機一樣����,都是屬于同類型的設(shè)備。如果將參數(shù)設(shè)置為1��,那么就會出現(xiàn)問題���。在電話機等設(shè)備集成的方案中設(shè)置端口安全策略時��,需要特別注意這一點���。很多網(wǎng)絡(luò)管理員在實際工作中,會在這個地方載跟斗���。
可見��,要實現(xiàn)交換機的端口安全難度也不是很大���,主要是網(wǎng)絡(luò)管理員需要有這方面的觀念�����。然后使用交換機的端口安全特性����,就可以保障交換機的端口安全���。以上介紹的幾種方法���,各有各的特點。在可操作性上與安全性上各有不同���。網(wǎng)絡(luò)管理員需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模���、對于安全性的要求等各個方面的因素來選擇采用的方案����?傊诰W(wǎng)絡(luò)安全逐漸成為管理員心頭大患的今天,交換機的端口安全必須引起大家的關(guān)注����。
相關(guān)推薦:
推薦:2010年計算機軟件水平考試必備完美攻略 備考經(jīng)驗:20天通過信息系統(tǒng)監(jiān)理師考試全攻略 軟考經(jīng)驗談:如何輕松通過軟件設(shè)計師考試 計算機軟考程序員備考:程序設(shè)計知識點匯總 計算機軟考:軟件設(shè)計師練習試題及答案解析匯總
