2020年计算机软考《网络管理》科目考点汇总.docxVIP

篇一】 2020年计算机软考《网络管理》科目考点：提高交换机端口的安 全性 企业网络安全涉及到方方面面。 从交换机来说， 首选需要保证交换机端口的 安全。在不少企业中， 员工可以随意的使用集线器等工具将一个上网端口增至多 个，或者说使用自己的笔记本电脑连接到企业的网路中。 类似的情况都会给企业 的网络安全带来不利的影响。 在这篇文章中， 笔者就跟大家谈谈， 交换机端口的 常见安全威胁及应对措施。 一、常见安全威胁 在企业中，威胁交换机端口的行为比较多，总结一下有如下几种情况。 未经授权的用户主机随意连接到企业的网络中。 如员工从自己家里拿来一台电脑， 可以在不经管理员同意的情况下， 拔下某 台主机的网线， 插在自己带来的电脑上。 然后连入到企业的网路中。 这会带来很 大的安全隐患。 如员工带来的电脑可能本身就带有病毒。 从而使得病毒通过企业 内部网络进行传播。或者非法复制企业内部的资料等等。 未经批准采用集线器等设备。 有些员工为了增加网络终端的数量， 会在未经授权的情况下， 将集线器、 交 换机等设备插入到办公室的网络接口上。 如此的话， 会导致这个网络接口对应的 交换机接口流量增加， 从而导致网络性能的下降。 在企业网络日常管理中， 这也 是经常遇到的一种危险的行为。 在日常工作中，笔者发现不少网络管理员对于交换机端口的安全性不怎么重 视。这是他们网络安全管理中的一个盲区。 他们对此有一个错误的认识。 以为交 换机锁在机房里， 不会出大问题。 或者说， 只是将网络安全的重点放在防火墙等 软件上，而忽略了交换机端口等硬件的安全。这是非常致命的。 二、主要的应对措施 从以上的分析中可以看出， 企业现在交换机端口的安全环境非常的薄弱。 在 这种情况下，该如何来加强端口的安全性呢 ?如何才能够阻止非授权用户的主机 联入到交换机的端口上呢 ?如何才能够防止未经授权的用户将集线器、交换机等 设备插入到办公室的网络接口上呢 ?对此笔者有如下几个建议。 从意识上要加以重视。 笔者认为，首先各位网络管理员从意识上要对此加以重视。 特别是要消除轻 硬件、重软件这个错误的误区。在实际工作中，要建立一套合理的安全规划。如 对于交换机的端口， 要制定一套合理的安全策略， 包括是否要对接入交换机端口 的MAC地址与主机数量进行限制等等。安全策略制定完之后，再进行严格的配置。 如此的话， 就走完了交换机端口安全的第一步。 根据交换机的工作原理， 在系统 中会有一个转发过滤数据库，会保存MACM址等相关的信息。而通过交换机的端 口安全策略， 可以确保只有授权的用户才能够接入到交换机特定的端口中。 为此 只要网络管理员有这个心，其实完全有能力来保障交换机的端口安全。 从技术角度来提高端口的安全性。 如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主 机。如现在用户从家里拿来了一台笔记本电脑。 将自己原先公司的网线接入到这 台笔记本电脑中，会发现无法连入到企业的网络中。这时因为两台电脑的 MAC 地址不同而造成的。 因为在交换机的这个端口中， 有一个限制条件。 只有特定的 IP 地址才可以通过其这个端口连入到网络中。如果主机变更了，还需要让其允 许连接这个端口的话，那么就需要重新调整交换机的 MAG地址设置。这种手段的 好处就是可以控制， 只有授权的主机才能够连接到交换机特定的端口中。 未经授 权的用户无法进行连接。而缺陷就是配置的工作量会比较大。 在期初的时候， 需要为每个交换机的端口进行配置。 如果后续主机有调整或 者网卡有更换的话 (如最近打雷损坏的网卡特别多 )，那么需要重新配置。 这就会 导致后续工作量的增加。 对可以介接入的设备进行限制。 出于客户端性能的考虑， 我们往往需要限制某个交换机端口可以连接的最多 的主机数量。如我们可以将这个参数设置为 1，那么就只允许一台主机连接到交 换机的端口中。 如此的话，就可以避免用户私自使用集线器或者交换机等设备拉 增加端口的数量。不过这种策略跟上面的 MACM址策略还是有一定的区别。MAC 地址安全策略的话，也只有一台主机可以连接到端口上。 不过还必须是MAC地址 匹配的主机才能够进行连接。 而现在这个数量的限制策略，没有MAC地址匹配的要求。也就是说，更换一 台主机后， 仍然可以正常连接到交换机的端口上。 这个限制措施显然比上面这个 措施要宽松不少。 不过工作量上也会减少不少。 要实现这个策略的话， 可以通过 命令 swich port-security maximun 来实现。如故将这个参数设置为 1，那么就 只允许一台主机连接到交换机的端口之上。 这就可以变相的限制介入交换机或者 集线器等设备。 不过这里需要注意的是， 如果用户违反了这种情况， 那么交换机 的端口就会被关闭掉。 也就是说