企業(yè)網絡安全涉及到方方面面。從交換機來說,首選需要保證交換機端口的安全。在不少企業(yè)中,員工可以隨意的使用集線器等工具將一個上網端口增至多個,或者說使用自己的筆記本電腦連接到企業(yè)的網路中。類似的情況都會給企業(yè)的網絡安全帶來不利的影響。在這篇文章中,筆者就跟大家談談,交換機端口的常見安全威脅及應對措施。
一、常見安全威脅
在企業(yè)中,威脅交換機端口的行為比較多,總結一下有如下幾種情況。
(1)未經授權的用戶主機隨意連接到企業(yè)的網絡中。
如員工從自己家里拿來一臺電腦,可以在不經管理員同意的情況下,拔下某臺主機的網線,插在自己帶來的電腦上。然后連入到企業(yè)的網路中。這會帶來很大的安全隱患。如員工帶來的電腦可能本身就帶有病毒。從而使得病毒通過企業(yè)內部網絡進行傳播。或者非法復制企業(yè)內部的資料等等。
(2)未經批準采用集線器等設備。
有些員工為了增加網絡終端的數量,會在未經授權的情況下,將集線器、交換機等設備插入到辦公室的網絡接口上。如此的話,會導致這個網絡接口對應的交換機接口流量增加,從而導致網絡性能的下降。在企業(yè)網絡日常管理中,這也是經常遇到的一種危險的行為。
在日常工作中,筆者發(fā)現(xiàn)不少網絡管理員對于交換機端口的安全性不怎么重視。這是他們網絡安全管理中的一個盲區(qū)。他們對此有一個錯誤的認識。以為交換機鎖在機房里,不會出大問題;蛘哒f,只是將網絡安全的重點放在防火墻等軟件上,而忽略了交換機端口等硬件的安全。這是非常致命的。
二、主要的應對措施
從以上的分析中可以看出,企業(yè)現(xiàn)在交換機端口的安全環(huán)境非常的薄弱。在這種情況下,該如何來加強端口的安全性呢?如何才能夠阻止非授權用戶的主機聯(lián)入到交換機的端口上呢?如何才能夠防止未經授權的用戶將集線器、交換機等設備插入到辦公室的網絡接口上呢?對此筆者有如下幾個建議。
(1)從意識上要加以重視。
筆者認為,首先各位網絡管理員從意識上要對此加以重視。特別是要消除輕硬件、重軟件這個錯誤的誤區(qū)。在實際工作中,要建立一套合理的安全規(guī)劃。如對于交換機的端口,要制定一套合理的安全策略,包括是否要對接入交換機端口的MAC地址與主機數量進行限制等等。安全策略制定完之后,再進行嚴格的配置。如此的話,就走完了交換機端口安全的第一步。根據交換機的工作原理,在系統(tǒng)中會有一個轉發(fā)過濾數據庫,會保存MAC地址等相關的信息。而通過交換機的端口安全策略,可以確保只有授權的用戶才能夠接入到交換機特定的端口中。為此只要網絡管理員有這個心,其實完全有能力來保障交換機的端口安全。
(2)從技術角度來提高端口的安全性。
如比較常用的一種手段是某個特定的交換機端口只能夠連接某臺特定的主機。如現(xiàn)在用戶從家里拿來了一臺筆記本電腦。將自己原先公司的網線接入到這臺筆記本電腦中,會發(fā)現(xiàn)無法連入到企業(yè)的網絡中。這時因為兩臺電腦的MAC地址不同而造成的。因為在交換機的這個端口中,有一個限制條件。只有特定的IP地址才可以通過其這個端口連入到網絡中。如果主機變更了,還需要讓其允許連接這個端口的話,那么就需要重新調整交換機的MAC地址設置。這種手段的好處就是可以控制,只有授權的主機才能夠連接到交換機特定的端口中。未經授權的用戶無法進行連接。而缺陷就是配置的工作量會比較大。
在期初的時候,需要為每個交換機的端口進行配置。如果后續(xù)主機有調整或者網卡有更換的話(如最近打雷損壞的網卡特別多),那么需要重新配置。這就會導致后續(xù)工作量的增加。如果需要進行這個MAC地址限制的話,可以通過使用命令switchport port –security mac-address來進行配置。使用這個命令后,可以將單個MAC地址分配到交換機的每個端口中。正如上面所說的,要執(zhí)行這個限制的話,工作量會比較大。(3)對可以介接入的設備進行限制。
出于客戶端性能的考慮,我們往往需要限制某個交換機端口可以連接的最多的主機數量。如我們可以將這個參數設置為1,那么就只允許一臺主機連接到交換機的端口中。如此的話,就可以避免用戶私自使用集線器或者交換機等設備拉增加端口的數量。不過這種策略跟上面的MAC地址策略還是有一定的區(qū)別。MAC地址安全策略的話,也只有一臺主機可以連接到端口上。不過還必須是MAC地址匹配的主機才能夠進行連接。
而現(xiàn)在這個數量的限制策略,沒有MAC地址匹配的要求。也就是說,更換一臺主機后,仍然可以正常連接到交換機的端口上。這個限制措施顯然比上面這個措施要寬松不少。不過工作量上也會減少不少。要實現(xiàn)這個策略的話,可以通過命令swichport-security maximun來實現(xiàn)。如故將這個參數設置為1,那么就只允許一臺主機連接到交換機的端口之上。這就可以變相的限制介入交換機或者集線器等設備。不過這里需要注意的是,如果用戶違反了這種情況,那么交換機的端口就會被關閉掉。也就是說,一臺主機都連接不到這個端口上。在實際工作中,這可能會殃及無辜。所以需要特別的注意。
(4)使用sticky參數來簡化管理。
在實際工作中,sticky參數是一個很好用的參數。可以大大的簡化MAC地址的配置。如企業(yè)現(xiàn)在網絡部署完畢后,運行以下switch-port port-security mac-addres sticky命令。那么交換機各個端口就會自動記住當前所連接的主機的MAC地址。如此的話,在后續(xù)工作中,如果更換了主機的話,只要其MAC地址與原有主機不匹配的話,交換機就會拒絕這臺主機的連接請求。這個參數主要提供靜態(tài)MAC地址的安全。管理員不需要再網絡中輸入每個端口的MAC地址。從而可以簡化端口配置的工作。不過如果后續(xù)主機有調整,或者新增主機的話,仍然需要進行手工的配置。不過此時的配置往往是小范圍的,工作量還可以接受。
最后需要注意的是,如果在交換機的端口中同時連接PC主機與電話機的時候,需要將Maximun參數設置為2。因為對于交換機端口來說,電話機與PC機一樣,都是屬于同類型的設備。如果將參數設置為1,那么就會出現(xiàn)問題。在電話機等設備集成的方案中設置端口安全策略時,需要特別注意這一點。很多網絡管理員在實際工作中,會在這個地方載跟斗。
可見,要實現(xiàn)交換機的端口安全難度也不是很大,主要是網絡管理員需要有這方面的觀念。然后使用交換機的端口安全特性,就可以保障交換機的端口安全。以上介紹的幾種方法,各有各的特點。在可操作性上與安全性上各有不同。網絡管理員需要根據自己公司網絡的規(guī)模、對于安全性的要求等各個方面的因素來選擇采用的方案?傊,在網絡安全逐漸成為管理員心頭大患的今天,交換機的端口安全必須引起大家的關注。
相關推薦:推薦:2010年計算機軟件水平考試必備完美攻略北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內蒙古 |