二���、主要的應對措施
從以上的分析中可以看出�,企業(yè)現(xiàn)在交換機端口的安全環(huán)境非常的薄弱�����。在這種情況下�����,該如何來加強端口的安全性呢?如何才能夠阻止非授權(quán)用戶的主機聯(lián)入到交換機的端口上呢?如何才能夠防止未經(jīng)授權(quán)的用戶將集線器�����、交換機等設備插入到辦公室的網(wǎng)絡接口上呢?對此筆者有如下幾個建議�����。
(1)從意識上要加以重視����。
筆者認為���,首先各位網(wǎng)絡管理員從意識上要對此加以重視。特別是要消除輕硬件����、重軟件這個錯誤的誤區(qū)。在實際工作中����,要建立一套合理的安全規(guī)劃。如對于交換機的端口��,要制定一套合理的安全策略����,包括是否要對接入交換機端口的MAC地址與主機數(shù)量進行限制等等。安全策略制定完之后����,再進行嚴格的配置。如此的話��,就走完了交換機端口安全的第一步���。根據(jù)交換機的工作原理���,在系統(tǒng)中會有一個轉(zhuǎn)發(fā)過濾數(shù)據(jù)庫,會保存MAC地址等相關的信息�。而通過交換機的端口安全策略,可以確保只有授權(quán)的用戶才能夠接入到交換機特定的端口中�����。為此只要網(wǎng)絡管理員有這個心��,其實完全有能力來保障交換機的端口安全�����。
(2)從技術(shù)角度來提高端口的安全性���。
如比較常用的一種手段是某個特定的交換機端口只能夠連接某臺特定的主機��。如現(xiàn)在用戶從家里拿來了一臺筆記本電腦����。將自己原先公司的網(wǎng)線接入到這臺筆記本電腦中��,會發(fā)現(xiàn)無法連入到企業(yè)的網(wǎng)絡中。這時因為兩臺電腦的MAC地址不同而造成的�。因為在交換機的這個端口中,有一個限制條件���。只有特定的IP地址才可以通過其這個端口連入到網(wǎng)絡中�����。如果主機變更了�,還需要讓其允許連接這個端口的話�����,那么就需要重新調(diào)整交換機的MAC地址設置�����。這種手段的好處就是可以控制����,只有授權(quán)的主機才能夠連接到交換機特定的端口中。未經(jīng)授權(quán)的用戶無法進行連接��。而缺陷就是配置的工作量會比較大����。
在期初的時候�,需要為每個交換機的端口進行配置���。如果后續(xù)主機有調(diào)整或者網(wǎng)卡有更換的話(如最近打雷損壞的網(wǎng)卡特別多),那么需要重新配置����。這就會導致后續(xù)工作量的增加��。如果需要進行這個MAC地址限制的話����,可以通過使用命令switchport port –security mac-address來進行配置�����。使用這個命令后,可以將單個MAC地址分配到交換機的每個端口中����。正如上面所說的���,要執(zhí)行這個限制的話��,工作量會比較大����。
(3)對可以介接入的設備進行限制。
出于客戶端性能的考慮��,我們往往需要限制某個交換機端口可以連接的最多的主機數(shù)量����。如我們可以將這個參數(shù)設置為1,那么就只允許一臺主機連接到交換機的端口中���。如此的話�,就可以避免用戶私自使用集線器或者交換機等設備拉增加端口的數(shù)量���。不過這種策略跟上面的MAC地址策略還是有一定的區(qū)別�����。MAC地址安全策略的話�,也只有一臺主機可以連接到端口上����。不過還必須是MAC地址匹配的主機才能夠進行連接���。
而現(xiàn)在這個數(shù)量的限制策略,沒有MAC地址匹配的要求�。也就是說,更換一臺主機后����,仍然可以正常連接到交換機的端口上。這個限制措施顯然比上面這個措施要寬松不少���。不過工作量上也會減少不少���。要實現(xiàn)這個策略的話,可以通過命令swichport-security maximun來實現(xiàn)�����。如故將這個參數(shù)設置為1,那么就只允許一臺主機連接到交換機的端口之上���。這就可以變相的限制介入交換機或者集線器等設備���。不過這里需要注意的是,如果用戶違反了這種情況�����,那么交換機的端口就會被關閉掉�。也就是說�����,一臺主機都連接不到這個端口上���。在實際工作中,這可能會殃及無辜�。所以需要特別的注意。
相關推薦:
2011年上半年軟考報名時間及方式匯總
2010年下半年軟考成績查詢時間及方式匯總
軟考網(wǎng)絡管理員歷年真題匯總(2007年-2010年)
2011年軟件水平考試網(wǎng)絡管理員知識點總結(jié)
