内网交换机常见安全隐患及预防措施.docxVIP

PAGE 1 PAGE 1 内网交换机常见安全隐患及预防措施  在实际工作中，不少网络管理员只重视如何来确保交换机的连通性与稳定性，但是却很少顾及到交换机的安全。正是因为这个原因，所以交换机存在着比较多的安全隐患。在这篇文章中，笔者将列举一些常见的安全威逼，并供应笔者认为的可行的预防措施，以供大家参考。  　　交换机已经是企业网络组建中不可缺少的设备。在实际工作中，不少网络管理员只重视如何来确保交换机的连通性与稳定性，但是却很少顾及到交换机的安全。正是因为这个原因，所以交换机存在着比较多的安全隐患。在这篇文章中，笔者将列举一些常见的安全威逼，并供应笔者认为的可行的预防措施，以供大家参考。  　　一、未经授权的主机接入到交换机的端口  　　有些网络管理员没有在交换机的端口上采取任何的保护措施，这将导致未经授权的主及能够自由的介入到交换机的端口上(通过企业的预先设置的网络端口)。这可能会给企业的网络带来比较大的安全隐患。  　　如员工自己有笔记本电脑。在未经网络管理员允许的状况下，就私自拿到公司，然后连入到公司的网络。这就比较危急。如企业内部的IP地址往往有一个比较严格的规划，而且IP地址像人的身份证号码一样，必需保持唯一。现在员工将自己的私人电脑接入到企业的网络，就可能导致IP地址冲突，从而影响其它主机的正常上网。如员工自己的电脑采用的是固定IP地址，此时假如连入到企业网络的话，就很可能会造成IP地址的冲突。  　　再如企业往往会在内网与外网的中间部署有防火墙，用来防止互联网上的病毒进入到企业内部。现在的问题是，员工的个人电脑直接从同企业内部的接口连入到企业的网络。此时就相当于越过了防火墙的检查。假如员工的电脑有病毒的话，那么就会影响到企业网络的运行。严重的话，还可能会导致企业整个内部网络的瘫痪。  　　可见，未经授权的主机接入到交换机的端口，会存在比较大的安全隐患。其实在交换机的操作系统上，有现成的预防措施来消退这种安全隐患。如可以通过使用“基于主机MAC地址允许流量”机制，来指定只有特定MAC地址的主机才能够连接到企业的交换机上。如此的话，就可以将未经授权的主及排解在外。  　　通常状况下，单个交换机端口能够允许1个或者1个以上到某个特定数目的MAC地址。简洁的说，在交换机的端口上会有一个配置列表，上面列举了几个允许接入交换机的MAC地址。只有在这个名单中的主机才能够连接到这个端口中。假如期望启用这个特性的话，可以通过如下命令来实现：SetPortSecurityMAC地址。在使用这个命令时，可以加入多个IP地址。如企业的规模比较小，网络管理员在组建网络时将一个交换机的端口对应一个部门。而一个部门的主机数目可能有10个。此时就需要在这个命令中将10个MAC地址都加上。如此的话，就只有这十台主机才能够连接到这个交换机端口中。  　　不过需要留意的是，不同品牌或者同一品牌不同规格的交换机，对可以支持的MAC地址数往往有所限制。假如需要让交换机的端口支持多个MAC地址的话，就不能过超过这个最大数量的限制。  　　二、违反规则时该如何处理？  　　当设置了如上的预防措施之后，假如员工还是将自己的电脑拿到企业来，在未经授权的状况下连入到企业的网络。此时交换机会有什么反应呢？通常状况下，交换机端口假如检测到有连接到其接口的主机MAC地址不在自己的名单中的话，其会做出三种行为。  　　第一种行为是关闭接口。即到检测到有未经授权的主机连接到其接口上，交换机的操作系统会立刻将这个接口关闭掉。如此的话，连接在这个接口上的全部主机都将无法访问企业的内部网络。如上面举的例子。一个接口可能对应一个部门。此时就可能因为一个员工的行为而影响到整个部门的网络。这种安全措施就比较“极端”，其根其他行为相比，最大的一个好处就是能够准时发觉员工的这种非法行为。  　　第二种行为是限制。在这种状况下，当检测到有未经授权的主机之后，其只会拒绝这台主机的连接，而对于其他合法主机的连接不会有影响。这种措施有好处也有坏处。好处就是不会影响到其它合法用户的连接。而坏处就是网络管理员很难发觉员工是否有这种未经授权的行为。因为即使有这种状况下，也不会影响其他正常用户的访问。所以员工不会自己举报这种行为。在安全级别比较高的企业中，这个措施仍旧存在着一定的安全风险。不过其敏捷性比较高。  　　第三种行为是保护。这主要是针对网络管理员规定的最大MAC地址连接数与设置的MAC地址不同而导致的。如网络管理员出于性能的考虑，规定交换机的接口最多只能够连接10个MAC地址。而在设置允许主机的MAC地址的时候，却指定了13个MAC地址。此时假如有第11台主机连接到这个交