點(diǎn)擊查看：2018年軟件水平考試《網(wǎng)絡(luò )管理員》復習講義匯總

　　提高交換機端口的安全性

　　企業(yè)網(wǎng)絡(luò )安全涉及到方方面面。從交換機來(lái)說(shuō)，首選需要保證交換機端口的安全。在不少企業(yè)中，員工可以隨意的使用集線(xiàn)器等工具將一個(gè)上網(wǎng)端口增至多個(gè)，或者說(shuō)使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中。類(lèi)似的情況都會(huì )給企業(yè)的網(wǎng)絡(luò )安全帶來(lái)不利的影響。在這篇文章中，筆者就跟大家談?wù)�，交換機端口的常見(jiàn)安全威脅及應對措施。

　　一、常見(jiàn)安全威脅

　　在企業(yè)中，威脅交換機端口的行為比較多，總結一下有如下幾種情況。

　　(1)未經(jīng)授權的用戶(hù)主機隨意連接到企業(yè)的網(wǎng)絡(luò )中。

　　如員工從自己家里拿來(lái)一臺電腦，可以在不經(jīng)管理員同意的情況下，拔下某臺主機的網(wǎng)線(xiàn)，插在自己帶來(lái)的電腦上。然后連入到企業(yè)的網(wǎng)路中。這會(huì )帶來(lái)很大的安全隱患。如員工帶來(lái)的電腦可能本身就帶有病毒。從而使得病毒通過(guò)企業(yè)內部網(wǎng)絡(luò )進(jìn)行傳播�；蛘叻欠◤椭破髽I(yè)內部的資料等等。

　　(2)未經(jīng)批準采用集線(xiàn)器等設備。

　　有些員工為了增加網(wǎng)絡(luò )終端的數量，會(huì )在未經(jīng)授權的情況下，將集線(xiàn)器、交換機等設備插入到辦公室的網(wǎng)絡(luò )接口上。如此的話(huà)，會(huì )導致這個(gè)網(wǎng)絡(luò )接口對應的交換機接口流量增加，從而導致網(wǎng)絡(luò )性能的下降。在企業(yè)網(wǎng)絡(luò )日常管理中，這也是經(jīng)常遇到的一種危險的行為。

　　在日常工作中，筆者發(fā)現不少網(wǎng)絡(luò )管理員對于交換機端口的安全性不怎么重視。這是他們網(wǎng)絡(luò )安全管理中的一個(gè)盲區。他們對此有一個(gè)錯誤的認識。以為交換機鎖在機房里，不會(huì )出大問(wèn)題�；蛘哒f(shuō)，只是將網(wǎng)絡(luò )安全的重點(diǎn)放在防火墻等軟件上，而忽略了交換機端口等硬件的安全。這是非常致命的。

　　二、主要的應對措施

　　從以上的分析中可以看出，企業(yè)現在交換機端口的安全環(huán)境非常的薄弱。在這種情況下，該如何來(lái)加強端口的安全性呢?如何才能夠阻止非授權用戶(hù)的主機聯(lián)入到交換機的端口上呢?如何才能夠防止未經(jīng)授權的用戶(hù)將集線(xiàn)器、交換機等設備插入到辦公室的網(wǎng)絡(luò )接口上呢?對此筆者有如下幾個(gè)建議。

　　(1)從意識上要加以重視。

　　筆者認為，首先各位網(wǎng)絡(luò )管理員從意識上要對此加以重視。特別是要消除輕硬件、重軟件這個(gè)錯誤的誤區。在實(shí)際工作中，要建立一套合理的安全規劃。如對于交換機的端口，要制定一套合理的安全策略，包括是否要對接入交換機端口的MAC地址與主機數量進(jìn)行限制等等。安全策略制定完之后，再進(jìn)行嚴格的配置。如此的話(huà)，就走完了交換機端口安全的第一步。根據交換機的工作原理，在系統中會(huì )有一個(gè)轉發(fā)過(guò)濾數據庫，會(huì )保存MAC地址等相關(guān)的信息。而通過(guò)交換機的端口安全策略，可以確保只有授權的用戶(hù)才能夠接入到交換機特定的端口中。為此只要網(wǎng)絡(luò )管理員有這個(gè)心，其實(shí)完全有能力來(lái)保障交換機的端口安全。

　　(2)從技術(shù)角度來(lái)提高端口的安全性。

　　如比較常用的一種手段是某個(gè)特定的交換機端口只能夠連接某臺特定的主機。如現在用戶(hù)從家里拿來(lái)了一臺筆記本電腦。將自己原先公司的網(wǎng)線(xiàn)接入到這臺筆記本電腦中，會(huì )發(fā)現無(wú)法連入到企業(yè)的網(wǎng)絡(luò )中。這時(shí)因為兩臺電腦的MAC地址不同而造成的。因為在交換機的這個(gè)端口中，有一個(gè)限制條件。只有特定的IP地址才可以通過(guò)其這個(gè)端口連入到網(wǎng)絡(luò )中。如果主機變更了，還需要讓其允許連接這個(gè)端口的話(huà)，那么就需要重新調整交換機的MAC地址設置。這種手段的好處就是可以控制，只有授權的主機才能夠連接到交換機特定的端口中。未經(jīng)授權的用戶(hù)無(wú)法進(jìn)行連接。而缺陷就是配置的工作量會(huì )比較大。

　　在期初的時(shí)候，需要為每個(gè)交換機的端口進(jìn)行配置。如果后續主機有調整或者網(wǎng)卡有更換的話(huà)(如最近打雷損壞的網(wǎng)卡特別多)，那么需要重新配置。這就會(huì )導致后續工作量的增加。如果需要進(jìn)行這個(gè)MAC地址限制的話(huà)，可以通過(guò)使用命令switchport port –security mac-address來(lái)進(jìn)行配置。使用這個(gè)命令后，可以將單個(gè)MAC地址分配到交換機的每個(gè)端口中。正如上面所說(shuō)的，要執行這個(gè)限制的話(huà)，工作量會(huì )比較大。

　　(3)對可以介接入的設備進(jìn)行限制。

　　出于客戶(hù)端性能的考慮，我們往往需要限制某個(gè)交換機端口可以連接的最多的主機數量。如我們可以將這個(gè)參數設置為1，那么就只允許一臺主機連接到交換機的端口中。如此的話(huà)，就可以避免用戶(hù)私自使用集線(xiàn)器或者交換機等設備拉增加端口的數量。不過(guò)這種策略跟上面的MAC地址策略還是有一定的區別。MAC地址安全策略的話(huà)，也只有一臺主機可以連接到端口上。不過(guò)還必須是MAC地址匹配的主機才能夠進(jìn)行連接。

　　而現在這個(gè)數量的限制策略，沒(méi)有MAC地址匹配的要求。也就是說(shuō)，更換一臺主機后，仍然可以正常連接到交換機的端口上。這個(gè)限制措施顯然比上面這個(gè)措施要寬松不少。不過(guò)工作量上也會(huì )減少不少。要實(shí)現這個(gè)策略的話(huà)，可以通過(guò)命令swichport-security maximun來(lái)實(shí)現。如故將這個(gè)參數設置為1，那么就只允許一臺主機連接到交換機的端口之上。這就可以變相的限制介入交換機或者集線(xiàn)器等設備。不過(guò)這里需要注意的是，如果用戶(hù)違反了這種情況，那么交換機的端口就會(huì )被關(guān)閉掉。也就是說(shuō)，一臺主機都連接不到這個(gè)端口上。在實(shí)際工作中，這可能會(huì )殃及無(wú)辜。所以需要特別的注意。

　　(4)使用sticky參數來(lái)簡(jiǎn)化管理。

　　在實(shí)際工作中，sticky參數是一個(gè)很好用的參數�？梢源蟠蟮暮�(jiǎn)化MAC地址的配置。如企業(yè)現在網(wǎng)絡(luò )部署完畢后，運行以下switch-port port-security mac-addres sticky命令。那么交換機各個(gè)端口就會(huì )自動(dòng)記住當前所連接的主機的MAC地址。如此的話(huà)，在后續工作中，如果更換了主機的話(huà)，只要其MAC地址與原有主機不匹配的話(huà)，交換機就會(huì )拒絕這臺主機的連接請求。這個(gè)參數主要提供靜態(tài)MAC地址的安全。管理員不需要再網(wǎng)絡(luò )中輸入每個(gè)端口的MAC地址。從而可以簡(jiǎn)化端口配置的工作。不過(guò)如果后續主機有調整，或者新增主機的話(huà)，仍然需要進(jìn)行手工的配置。不過(guò)此時(shí)的配置往往是小范圍的，工作量還可以接受。

　　最后需要注意的是，如果在交換機的端口中同時(shí)連接PC主機與電話(huà)機的時(shí)候，需要將Maximun參數設置為2。因為對于交換機端口來(lái)說(shuō)，電話(huà)機與PC機一樣，都是屬于同類(lèi)型的設備。如果將參數設置為1，那么就會(huì )出現問(wèn)題。在電話(huà)機等設備集成的方案中設置端口安全策略時(shí)，需要特別注意這一點(diǎn)。很多網(wǎng)絡(luò )管理員在實(shí)際工作中，會(huì )在這個(gè)地方載跟斗。

　　可見(jiàn)，要實(shí)現交換機的端口安全難度也不是很大，主要是網(wǎng)絡(luò )管理員需要有這方面的觀(guān)念。然后使用交換機的端口安全特性，就可以保障交換機的端口安全。以上介紹的幾種方法，各有各的特點(diǎn)。在可操作性上與安全性上各有不同。網(wǎng)絡(luò )管理員需要根據自己公司網(wǎng)絡(luò )的規模、對于安全性的要求等各個(gè)方面的因素來(lái)選擇采用的方案�？傊�，在網(wǎng)絡(luò )安全逐漸成為管理員心頭大患的今天，交換機的端口安全必須引起大家的關(guān)注。

　　相關(guān)推薦：

　　各地2018年計算機軟件水平考試報名時(shí)間匯總

　　各地2018年軟件水平考試準考證打印/領(lǐng)取時(shí)間匯總

　　各地2018年計算機軟件水平考試費用匯總

　　2018年計算機軟件水平考試時(shí)間及具體安排(全年)

　　考試吧特別策劃：2018年計算機軟考報考指南專(zhuān)題

　　計算機軟件水平考試各科目精選試題匯總

　　2018年計算機軟件水平考試各科目復習知識點(diǎn)匯總