二��、主要的應(yīng)對措施
從以上的分析中可以看出����,企業(yè)現(xiàn)在交換機(jī)端口的安全環(huán)境非常的薄弱。在這種情況下�,該如何來加強(qiáng)端口的安全性呢?如何才能夠阻止非授權(quán)用戶的主機(jī)聯(lián)入到交換機(jī)的端口上呢?如何才能夠防止未經(jīng)授權(quán)的用戶將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上呢?對此筆者有如下幾個建議����。
(1)從意識上要加以重視。
筆者認(rèn)為�,首先各位網(wǎng)絡(luò)管理員從意識上要對此加以重視��。特別是要消除輕硬件���、重軟件這個錯誤的誤區(qū)�。在實(shí)際工作中,要建立一套合理的安全規(guī)劃����。如對于交換機(jī)的端口,要制定一套合理的安全策略�,包括是否要對接入交換機(jī)端口的MAC地址與主機(jī)數(shù)量進(jìn)行限制等等。安全策略制定完之后�����,再進(jìn)行嚴(yán)格的配置��。如此的話�����,就走完了交換機(jī)端口安全的第一步�。根據(jù)交換機(jī)的工作原理,在系統(tǒng)中會有一個轉(zhuǎn)發(fā)過濾數(shù)據(jù)庫��,會保存MAC地址等相關(guān)的信息����。而通過交換機(jī)的端口安全策略�����,可以確保只有授權(quán)的用戶才能夠接入到交換機(jī)特定的端口中�����。為此只要網(wǎng)絡(luò)管理員有這個心�,其實(shí)完全有能力來保障交換機(jī)的端口安全����。
(2)從技術(shù)角度來提高端口的安全性。
如比較常用的一種手段是某個特定的交換機(jī)端口只能夠連接某臺特定的主機(jī)�。如現(xiàn)在用戶從家里拿來了一臺筆記本電腦���。將自己原先公司的網(wǎng)線接入到這臺筆記本電腦中��,會發(fā)現(xiàn)無法連入到企業(yè)的網(wǎng)絡(luò)中��。這時因為兩臺電腦的MAC地址不同而造成的�����。因為在交換機(jī)的這個端口中��,有一個限制條件��。只有特定的IP地址才可以通過其這個端口連入到網(wǎng)絡(luò)中���。如果主機(jī)變更了�,還需要讓其允許連接這個端口的話����,那么就需要重新調(diào)整交換機(jī)的MAC地址設(shè)置。這種手段的好處就是可以控制��,只有授權(quán)的主機(jī)才能夠連接到交換機(jī)特定的端口中�。未經(jīng)授權(quán)的用戶無法進(jìn)行連接。而缺陷就是配置的工作量會比較大���。
在期初的時候�,需要為每個交換機(jī)的端口進(jìn)行配置�����。如果后續(xù)主機(jī)有調(diào)整或者網(wǎng)卡有更換的話(如最近打雷損壞的網(wǎng)卡特別多)���,那么需要重新配置���。這就會導(dǎo)致后續(xù)工作量的增加。如果需要進(jìn)行這個MAC地址限制的話�,可以通過使用命令switchport port –security mac-address來進(jìn)行配置。使用這個命令后�,可以將單個MAC地址分配到交換機(jī)的每個端口中����。正如上面所說的�����,要執(zhí)行這個限制的話����,工作量會比較大���。
(3)對可以介接入的設(shè)備進(jìn)行限制���。
出于客戶端性能的考慮,我們往往需要限制某個交換機(jī)端口可以連接的最多的主機(jī)數(shù)量����。如我們可以將這個參數(shù)設(shè)置為1,那么就只允許一臺主機(jī)連接到交換機(jī)的端口中��。如此的話����,就可以避免用戶私自使用集線器或者交換機(jī)等設(shè)備拉增加端口的數(shù)量����。不過這種策略跟上面的MAC地址策略還是有一定的區(qū)別�。MAC地址安全策略的話,也只有一臺主機(jī)可以連接到端口上�����。不過還必須是MAC地址匹配的主機(jī)才能夠進(jìn)行連接�。
而現(xiàn)在這個數(shù)量的限制策略,沒有MAC地址匹配的要求��。也就是說�,更換一臺主機(jī)后,仍然可以正常連接到交換機(jī)的端口上����。這個限制措施顯然比上面這個措施要寬松不少。不過工作量上也會減少不少�。要實(shí)現(xiàn)這個策略的話,可以通過命令swichport-security maximun來實(shí)現(xiàn)�����。如故將這個參數(shù)設(shè)置為1���,那么就只允許一臺主機(jī)連接到交換機(jī)的端口之上���。這就可以變相的限制介入交換機(jī)或者集線器等設(shè)備�。不過這里需要注意的是�����,如果用戶違反了這種情況��,那么交換機(jī)的端口就會被關(guān)閉掉�����。也就是說�,一臺主機(jī)都連接不到這個端口上�����。在實(shí)際工作中��,這可能會殃及無辜����。所以需要特別的注意�。
相關(guān)推薦:
2011年上半年軟考報名時間及方式匯總
2010年下半年軟考成績查詢時間及方式匯總
軟考網(wǎng)絡(luò)管理員歷年真題匯總(2007年-2010年)
2011年軟件水平考試網(wǎng)絡(luò)管理員知識點(diǎn)總結(jié)
