交换机的安全防御知识小结-电脑资料.docxVIP

- 电脑资料 交换机已经是企业网络组建中不可缺少的设备， 一、未经授权的主机接入到交换机的端口 有些网络管理员没有在交换机的端口上采取任何的保护措施，这 将导致未经授权的主及能够自由的介入到交换机的端口上 （ 通过企业 的预先设置的网络端口 ）。这可能会给企业的网络带来比较大的安全 隐患。 如员工自己有笔记本电脑。在未经网络管理员允许的情况下，就 私自拿到公司，然后连入到公司的网络。这就比较危险。如企业内 部的 IP 地址往往有一个比较严格的规划，而且 IP 地址像人的身份 证号码一样，必须保持唯一。现在员工将自己的私人电脑接入到企 业的网络，就可能导致 IP 地址冲突，从而影响其它主机的正常上网。 如员工自己的电脑采用的是固定 IP 地址，此时如果连入到企业网络 的话，就很可能会造成 IP 地址的冲突。 再如企业往往会在内网与外网的中间部署有防火墙，用来防止互 联网上的病毒进入到企业内部， 可见，未经授权的主机接入到交换机的端口，会存在比较大的安 全隐患。其实在交换机的操作系统上，有现成的预防措施来消除这 种安全隐患。如可以通过使用“基于主机 MAC地址允许流量”机制, 来指定只有特定MACfe址的主机才能够连接到企业的交换机上。如 此的话，就可以将未经授权的主及排除在外。 通常情况下，单个交换机端口能够允许 1 个或者 1 个以上到某个 特定数目的MACfe址。简单的说，在交换机的端口上会有一个配置 列表，上面列举了几个允许接入交换机的 MACfe址。只有在这个名 单中的主机才能够连接到这个端口中。如果希望启用这个特性的话， 可以通过如下命令来实现： SetPortSecurityMAC 地址。在使用这个 命令时，可以加入多个 IP 地址。如企业的规模比较小，网络管理员 在组建网络时将一个交换机的端口对应一个部门。而一个部门的主 机数目可能有10个。此时就需要在这个命令中将10个MACfe址都 加上。如此的话，就只有这十台主机才能够连接到这个交换机端口 中。 不过需要注意的是，不同品牌或者同一品牌不同规格的交换机， 对可以支持的MACfe址数往往有所限制。如果需要让交换机的端口 支持多个MACfe址的话，就不能过超过这个最大数量的限制。