首頁(yè) 考試吧論壇 Exam8視線 考試商城 網(wǎng)絡(luò)課程 模擬考試 考友錄 實(shí)用文檔 求職招聘 論文下載
2011中考 | 2011高考 | 2012考研 | 考研培訓(xùn) | 在職研 | 自學(xué)考試 | 成人高考 | 法律碩士 | MBA考試
MPA考試 | 中科院
四六級(jí) | 職稱英語(yǔ) | 商務(wù)英語(yǔ) | 公共英語(yǔ) | 托福 | 雅思 | 專四專八 | 口譯筆譯 | 博思 | GRE GMAT
新概念英語(yǔ) | 成人英語(yǔ)三級(jí) | 申碩英語(yǔ) | 攻碩英語(yǔ) | 職稱日語(yǔ) | 日語(yǔ)學(xué)習(xí) | 法語(yǔ) | 德語(yǔ) | 韓語(yǔ)
計(jì)算機(jī)等級(jí)考試 | 軟件水平考試 | 職稱計(jì)算機(jī) | 微軟認(rèn)證 | 思科認(rèn)證 | Oracle認(rèn)證 | Linux認(rèn)證
華為認(rèn)證 | Java認(rèn)證
公務(wù)員 | 報(bào)關(guān)員 | 銀行從業(yè)資格 | 證券從業(yè)資格 | 期貨從業(yè)資格 | 司法考試 | 法律顧問(wèn) | 導(dǎo)游資格
報(bào)檢員 | 教師資格 | 社會(huì)工作者 | 外銷(xiāo)員 | 國(guó)際商務(wù)師 | 跟單員 | 單證員 | 物流師 | 價(jià)格鑒證師
人力資源 | 管理咨詢師考試 | 秘書(shū)資格 | 心理咨詢師考試 | 出版專業(yè)資格 | 廣告師職業(yè)水平
駕駛員 | 網(wǎng)絡(luò)編輯
衛(wèi)生資格 | 執(zhí)業(yè)醫(yī)師 | 執(zhí)業(yè)藥師 | 執(zhí)業(yè)護(hù)士
會(huì)計(jì)從業(yè)資格考試會(huì)計(jì)證) | 經(jīng)濟(jì)師 | 會(huì)計(jì)職稱 | 注冊(cè)會(huì)計(jì)師 | 審計(jì)師 | 注冊(cè)稅務(wù)師
注冊(cè)資產(chǎn)評(píng)估師 | 高級(jí)會(huì)計(jì)師 | ACCA | 統(tǒng)計(jì)師 | 精算師 | 理財(cái)規(guī)劃師 | 國(guó)際內(nèi)審師
一級(jí)建造師 | 二級(jí)建造師 | 造價(jià)工程師 | 造價(jià)員 | 咨詢工程師 | 監(jiān)理工程師 | 安全工程師
質(zhì)量工程師 | 物業(yè)管理師 | 招標(biāo)師 | 結(jié)構(gòu)工程師 | 建筑師 | 房地產(chǎn)估價(jià)師 | 土地估價(jià)師 | 巖土師
設(shè)備監(jiān)理師 | 房地產(chǎn)經(jīng)紀(jì)人 | 投資項(xiàng)目管理師 | 土地登記代理人 | 環(huán)境影響評(píng)價(jià)師 | 環(huán)保工程師
城市規(guī)劃師 | 公路監(jiān)理師 | 公路造價(jià)師 | 安全評(píng)價(jià)師 | 電氣工程師 | 注冊(cè)測(cè)繪師 | 注冊(cè)計(jì)量師
繽紛校園 | 實(shí)用文檔 | 英語(yǔ)學(xué)習(xí) | 作文大全 | 求職招聘 | 論文下載 | 訪談 | 游戲

網(wǎng)絡(luò)管理員:技巧分享提高交換機(jī)端口的安全性

網(wǎng)絡(luò)管理員:技巧分享提高交換機(jī)端口的安全性。

  企業(yè)網(wǎng)絡(luò)安全涉及到方方面面。從交換機(jī)來(lái)說(shuō),首選需要保證交換機(jī)端口的安全。在不少企業(yè)中,員工可以隨意的使用集線器等工具將一個(gè)上網(wǎng)端口增至多個(gè),或者說(shuō)使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中。類似的情況都會(huì)給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)不利的影響。在這篇文章中,筆者就跟大家談?wù)劊粨Q機(jī)端口的常見(jiàn)安全威脅及應(yīng)對(duì)措施。

  一、常見(jiàn)安全威脅

  在企業(yè)中,威脅交換機(jī)端口的行為比較多,總結(jié)一下有如下幾種情況。

  一是未經(jīng)授權(quán)的用戶主機(jī)隨意連接到企業(yè)的網(wǎng)絡(luò)中。如員工從自己家里拿來(lái)一臺(tái)電腦,可以在不經(jīng)管理員同意的情況下,拔下某臺(tái)主機(jī)的網(wǎng)線,插在自己帶來(lái)的電腦上。然后連入到企業(yè)的網(wǎng)路中。這會(huì)帶來(lái)很大的安全隱患。如員工帶來(lái)的電腦可能本身就帶有病毒。從而使得病毒通過(guò)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行傳播;蛘叻欠◤(fù)制企業(yè)內(nèi)部的資料等等。

  二是未經(jīng)批準(zhǔn)采用集線器等設(shè)備。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量,會(huì)在未經(jīng)授權(quán)的情況下,將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。如此的話,會(huì)導(dǎo)致這個(gè)網(wǎng)絡(luò)接口對(duì)應(yīng)的交換機(jī)接口流量增加,從而導(dǎo)致網(wǎng)絡(luò)性能的下降。在企業(yè)網(wǎng)絡(luò)日常管理中,這也是經(jīng)常遇到的一種危險(xiǎn)的行為。

  在日常工作中,筆者發(fā)現(xiàn)不少網(wǎng)絡(luò)管理員對(duì)于交換機(jī)端口的安全性不怎么重視。這是他們網(wǎng)絡(luò)安全管理中的一個(gè)盲區(qū)。他們對(duì)此有一個(gè)錯(cuò)誤的認(rèn)識(shí)。以為交換機(jī)鎖在機(jī)房里,不會(huì)出大問(wèn)題。或者說(shuō),只是將網(wǎng)絡(luò)安全的重點(diǎn)放在防火墻等軟件上,而忽略了交換機(jī)端口等硬件的安全。這是非常致命的。

  二、主要的應(yīng)對(duì)措施

  從以上的分析中可以看出,企業(yè)現(xiàn)在交換機(jī)端口的安全環(huán)境非常的薄弱。在這種情況下,該如何來(lái)加強(qiáng)端口的安全性呢?如何才能夠阻止非授權(quán)用戶的主機(jī)聯(lián)入到交換機(jī)的端口上呢?如何才能夠防止未經(jīng)授權(quán)的用戶將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上呢?對(duì)此筆者有如下幾個(gè)建議。

  一是從意識(shí)上要加以重視。筆者認(rèn)為,首先各位網(wǎng)絡(luò)管理員從意識(shí)上要對(duì)此加以重視。特別是要消除輕硬件、重軟件這個(gè)錯(cuò)誤的誤區(qū)。在實(shí)際工作中,要建立一套合理的安全規(guī)劃。如對(duì)于交換機(jī)的端口,要制定一套合理的安全策略,包括是否要對(duì)接入交換機(jī)端口的MAC地址與主機(jī)數(shù)量進(jìn)行限制等等。安全策略制定完之后,再進(jìn)行嚴(yán)格的配置。如此的話,就走完了交換機(jī)端口安全的第一步。根據(jù)交換機(jī)的工作原理,在系統(tǒng)中會(huì)有一個(gè)轉(zhuǎn)發(fā)過(guò)濾數(shù)據(jù)庫(kù),會(huì)保存MAC地址等相關(guān)的信息。而通過(guò)交換機(jī)的端口安全策略,可以確保只有授權(quán)的用戶才能夠接入到交換機(jī)特定的端口中。為此只要網(wǎng)絡(luò)管理員有這個(gè)心,其實(shí)完全有能力來(lái)保障交換機(jī)的端口安全。

  二是從技術(shù)角度來(lái)提高端口的安全性。如比較常用的一種手段是某個(gè)特定的交換機(jī)端口只能夠連接某臺(tái)特定的主機(jī)。如現(xiàn)在用戶從家里拿來(lái)了一臺(tái)筆記本電腦。將自己原先公司的網(wǎng)線接入到這臺(tái)筆記本電腦中,會(huì)發(fā)現(xiàn)無(wú)法連入到企業(yè)的網(wǎng)絡(luò)中。這時(shí)因?yàn)閮膳_(tái)電腦的MAC地址不同而造成的。因?yàn)樵诮粨Q機(jī)的這個(gè)端口中,有一個(gè)限制條件。只有特定的IP地址才可以通過(guò)其這個(gè)端口連入到網(wǎng)絡(luò)中。如果主機(jī)變更了,還需要讓其允許連接這個(gè)端口的話,那么就需要重新調(diào)整交換機(jī)的MAC地址設(shè)置。這種手段的好處就是可以控制,只有授權(quán)的主機(jī)才能夠連接到交換機(jī)特定的端口中。未經(jīng)授權(quán)的用戶無(wú)法進(jìn)行連接。而缺陷就是配置的工作量會(huì)比較大。在期初的時(shí)候,需要為每個(gè)交換機(jī)的端口進(jìn)行配置。如果后續(xù)主機(jī)有調(diào)整或者網(wǎng)卡有更換的話(如最近打雷損壞的網(wǎng)卡特別多),那么需要重新配置。這就會(huì)導(dǎo)致后續(xù)工作量的增加。如果需要進(jìn)行這個(gè)MAC地址限制的話,可以通過(guò)使用命令switchport port –security mac-address來(lái)進(jìn)行配置。使用這個(gè)命令后,可以將單個(gè)MAC地址分配到交換機(jī)的每個(gè)端口中。正如上面所說(shuō)的,要執(zhí)行這個(gè)限制的話,工作量會(huì)比較大。

  三是對(duì)可以介接入的設(shè)備進(jìn)行限制。出于客戶端性能的考慮,我們往往需要限制某個(gè)交換機(jī)端口可以連接的最多的主機(jī)數(shù)量。如我們可以將這個(gè)參數(shù)設(shè)置為1,那么就只允許一臺(tái)主機(jī)連接到交換機(jī)的端口中。如此的話,就可以避免用戶私自使用集線器或者交換機(jī)等設(shè)備拉增加端口的數(shù)量。不過(guò)這種策略跟上面的 MAC地址策略還是有一定的區(qū)別。MAC地址安全策略的話,也只有一臺(tái)主機(jī)可以連接到端口上。不過(guò)還必須是MAC地址匹配的主機(jī)才能夠進(jìn)行連接。而現(xiàn)在這個(gè)數(shù)量的限制策略,沒(méi)有MAC地址匹配的要求。也就是說(shuō),更換一臺(tái)主機(jī)后,仍然可以正常連接到交換機(jī)的端口上。這個(gè)限制措施顯然比上面這個(gè)措施要寬松不少。不過(guò)工作量上也會(huì)減少不少。要實(shí)現(xiàn)這個(gè)策略的話,可以通過(guò)命令swichport-security maximun來(lái)實(shí)現(xiàn)。如故將這個(gè)參數(shù)設(shè)置為1,那么就只允許一臺(tái)主機(jī)連接到交換機(jī)的端口之上。這就可以變相的限制介入交換機(jī)或者集線器等設(shè)備。不過(guò)這里需要注意的是,如果用戶違反了這種情況,那么交換機(jī)的端口就會(huì)被關(guān)閉掉。也就是說(shuō),一臺(tái)主機(jī)都連接不到這個(gè)端口上。在實(shí)際工作中,這可能會(huì)殃及無(wú)辜。所以需要特別的注意。

  四是使用sticky參數(shù)來(lái)簡(jiǎn)化管理。在實(shí)際工作中,sticky參數(shù)是一個(gè)很好用的參數(shù)?梢源蟠蟮暮(jiǎn)化MAC地址的配置。如企業(yè)現(xiàn)在網(wǎng)絡(luò)部署完畢后,運(yùn)行以下switch-port port-security mac-addres sticky命令。那么交換機(jī)各個(gè)端口就會(huì)自動(dòng)記住當(dāng)前所連接的主機(jī)的MAC地址。如此的話,在后續(xù)工作中,如果更換了主機(jī)的話,只要其MAC地址與原有主機(jī)不匹配的話,交換機(jī)就會(huì)拒絕這臺(tái)主機(jī)的連接請(qǐng)求。這個(gè)參數(shù)主要提供靜態(tài)MAC地址的安全。管理員不需要再網(wǎng)絡(luò)中輸入每個(gè)端口的MAC地址。從而可以簡(jiǎn)化端口配置的工作。不過(guò)如果后續(xù)主機(jī)有調(diào)整,或者新增主機(jī)的話,仍然需要進(jìn)行手工的配置。不過(guò)此時(shí)的配置往往是小范圍的,工作量還可以接受。

  最后需要注意的是,如果在交換機(jī)的端口中同時(shí)連接PC主機(jī)與電話機(jī)的時(shí)候,需要將Maximun參數(shù)設(shè)置為2。因?yàn)閷?duì)于交換機(jī)端口來(lái)說(shuō),電話機(jī)與PC機(jī)一樣,都是屬于同類型的設(shè)備。如果將參數(shù)設(shè)置為1,那么就會(huì)出現(xiàn)問(wèn)題。在電話機(jī)等設(shè)備集成的方案中設(shè)置端口安全策略時(shí),需要特別注意這一點(diǎn)。很多網(wǎng)絡(luò)管理員在實(shí)際工作中,會(huì)在這個(gè)地方載跟斗。

  可見(jiàn),要實(shí)現(xiàn)交換機(jī)的端口安全難度也不是很大,主要是網(wǎng)絡(luò)管理員需要有這方面的觀念。然后使用交換機(jī)的端口安全特性,就可以保障交換機(jī)的端口安全。以上介紹的幾種方法,各有各的特點(diǎn)。在可操作性上與安全性上各有不同。網(wǎng)絡(luò)管理員需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模、對(duì)于安全性的要求等各個(gè)方面的因素來(lái)選擇采用的方案?傊诰W(wǎng)絡(luò)安全逐漸成為管理員心頭大患的今天,交換機(jī)的端口安全必須引起大家的關(guān)注。

  相關(guān)推薦:推薦:2010年計(jì)算機(jī)軟件水平考試必備完美攻略
       備考經(jīng)驗(yàn):20天通過(guò)信息系統(tǒng)監(jiān)理師考試全攻略
       軟考經(jīng)驗(yàn)談:如何輕松通過(guò)軟件設(shè)計(jì)師考試
       計(jì)算機(jī)軟考程序員備考:程序設(shè)計(jì)知識(shí)點(diǎn)匯總
       計(jì)算機(jī)軟考:軟件設(shè)計(jì)師練習(xí)試題及答案解析匯總
文章搜索
軟件水平考試欄目導(dǎo)航
版權(quán)聲明:如果軟件水平考試網(wǎng)所轉(zhuǎn)載內(nèi)容不慎侵犯了您的權(quán)益,請(qǐng)與我們聯(lián)系800@exam8.com,我們將會(huì)及時(shí)處理。如轉(zhuǎn)載本軟件水平考試網(wǎng)內(nèi)容,請(qǐng)注明出處。