企業網路安全
涉及到方方面面。從交換機
來說,首選需要保證交換機
埠的安全
。在不少企業中,員工可以隨意的使用集線器等工具將乙個上網埠增至多個,或者說使用自己的膝上型電腦連線到企業的網路中。類似的情況都會給企業的網路安全
帶來不利的影響。在這篇文章中,筆者就跟大家談談,交換機
埠的常見安全
威脅及應對措施。
一、常見安全
威脅
在企業中,威脅交換機
埠的行為比較多,總結一下有如下幾種情況。
一是未經授權的使用者主機隨意連線到企業的網路中。如員工從自己家裡拿來一台電腦,可以在不經管理員同意的情況下,拔下某台主機的網線,插在自己帶來的電腦上。然後連入到企業的網路中。這會帶來很大的安全
隱患。如員工帶來的電腦可能本身就帶有病毒。從而使得病毒通過企業內部網路進行傳播。或者非法複製企業內部的資料等等。
二是未經批准採用集線器等裝置。有些員工為了增加網路終端的數量,會在未經授權的情況下,將集線器、交換機
等裝置插入到辦公室的網路介面上。如此的話,會導致這個網路介面對應的交換機
介面流量增加,從而導致網路效能的下降。在企業網路日常管理中,這也是經常遇到的一種危險的行為。
在日常工作中,筆者發現不少網路管理員對於交換機
埠的安全
性不怎麼重視。這是他們網路安全
管理中的乙個盲區。他們對此有乙個錯誤的認識。以為交換機
鎖在機房裡,不會出大問題。或者說,只是將網路安全
的重點放在防火牆等軟體上,而忽略了交換機
埠等硬體的安全
。這是非常致命的。
二、主要的應對措施
從以上的分析中可以看出,企業現在交換機
埠的安全
環境非常的薄弱。在這種情況下,該如何來加強埠的安全
性呢?如何才能夠阻止非授權使用者的主機聯入到交換機
的埠上呢?如何才能夠防止未經授權的使用者將集線器、交換機
等裝置插入到辦公室的網路介面上呢?對此筆者有如下幾個建議。
一是從意識上要加以重視。筆者認為,首先各位網路管理員從意識上要對此加以重視。特別是要消除輕硬體、重軟體這個錯誤的誤區。在實際工作中,要建立一套合理的安全
規劃。如對於交換機
的埠,要制定一套合理的安全
策略,包括是否要對接入交換機
埠的mac位址與主機數量進行限制等等。安全
策略制定完之後,再進行嚴格的配置。如此的話,就走完了交換機
埠安全
的第一步。根據交換機
的工作原理,在系統中會有乙個**過濾資料庫,會儲存mac位址等相關的資訊。而通過交換機
的埠安全
策略,可以確保只有授權的使用者才能夠接入到交換機
特定的埠中。為此只要網路管理員有這個心,其實完全有能力來保障交換機
的埠安全
。二是從技術角度來提高埠的安全
性。如比較常用的一種手段是某個特定的交換機
埠只能夠連線某台特定的主機。如現在使用者從家裡拿來了一台膝上型電腦。將自己原先公司的網線接入到這台膝上型電腦中,會發現無法連入到企業的網路中。這時因為兩台電腦的mac位址不同而造成的。因為在交換機
的這個埠中,有乙個限制條件。只有特定的ip位址才可以通過其這個埠連入到網路中。如果主機變更了,還需要讓其允許連線這個埠的話,那麼就需要重新調整交換機
的mac位址設定。這種手段的好處就是可以控制,只有授權的主機才能夠連線到交換機
特定的埠中。未經授權的使用者無法進行連線。而缺陷就是配置的工作量會比較大。在期初的時候,需要為每個交換機
的埠進行配置。如果後續主機有調整或者網絡卡有更換的話(如最近打雷損壞的網絡卡特別多),那麼需要重新配置。這就會導致後續工作量的增加。如果需要進行這個mac位址限制的話,可以通過使用命令switchport
port –security mac-address來進行配置。使用這個命令後,可以將單個mac位址分配到交換機
的每個埠中。正如上面所說的,要執行這個限制的話,工作量會比較大。
三是對可以介接入的裝置進行限制。出於客戶端效能的考慮,我們往往需要限制某個交換機
埠可以連線的最多的主機數量。如我們可以將這個引數設定為1,那麼就只允許一台主機連線到交換機
的埠中。如此的話,就可以避免使用者私自使用集線器或者交換機
等裝置拉增加埠的數量。不過這種策略跟上面的mac位址策略還是有一定的區別。mac位址安全
策略的話,也只有一台主機可以連線到埠上。不過還必須是mac位址匹配的主機才能夠進行連線。而現在這個數量的限制策略,沒有mac位址匹配的要求。也就是說,更換一台主機後,仍然可以正常連線到交換機
的埠上。這個限制措施顯然比上面這個措施要寬鬆不少。不過工作量上也會減少不少。要實現這個策略的話,可以通過命令swichport-security
maximun來實現。如故將這個引數設定為1,那麼就只允許一台主機連線到交換機
的埠之上。這就可以變相的限制介入交換機
或者集線器等裝置。不過這裡需要注意的是,如果使用者違反了這種情況,那麼交換機
的埠就會被關閉掉。也就是說,一台主機都連線不到這個埠上。在實際工作中,這可能會殃及無辜。所以需要特別的注意。
四是使用sticky引數來簡化管理。在實際工作中,sticky引數是乙個很好用的引數。可以大大的簡化mac位址的配置。如企業現在網路部署完畢後,執行以下switch-port
port-security mac-addres sticky命令。那麼交換機
各個埠就會自動記住當前所連線的主機的mac位址。如此的話,在後續工作中,如果更換了主機的話,只要其mac位址與原有主機不匹配的話,交換機
就會拒絕這台主機的連線請求。這個引數主要提供靜態mac位址的安全
。管理員不需要再網路中輸入每個埠的mac位址。從而可以簡化埠配置的工作。不過如果後續主機有調整,或者新增主機的話,仍然需要進行手工的配置。不過此時的配置往往是小範圍的,工作量還可以接受。
最後需要注意的是,如果在交換機
的埠中同時連線pc主機與**機的時候,需要將maximun引數設定為2。因為對於交換機
埠來說,**機與pc機一樣,都是屬於同型別的裝置。如果將引數設定為1,那麼就會出現問題。在**機等裝置整合的方案中設定埠安全
策略時,需要特別注意這一點。很多網路管理員在實際工作中,會在這個地方載跟斗。
可見,要實現交換機
的埠安全
難度也不是很大,主要是網路管理員需要有這方面的觀念。然後使用交換機
的埠安全
特性,就可以保障交換機
的埠安全
。以上介紹的幾種方法,各有各的特點。在可操作性上與安全
性上各有不同。網路管理員需要根據自己公司網路的規模、對於安全
性的要求等各個方面的因素來選擇採用的方案。總之,在網路安全
逐漸成為管理員心頭大患的今天,交換機
的埠安全
必須引起大家的關注。
交換機埠安全
一 實驗要求 交換機f0 1只能連線兩台pc,多了就自動斷線 配置命令 switch config int fa0 1 switch config if switchport mode access 使用acces模式 switch config if switchport port securit...
Cisco交換機埠安全
cisco交換機埠安全 通過埠設定,可以限制允許訪問交換機上某個埠的mac位址以及ip 可選 來實現嚴格控制對該埠的輸入,最終確保網路接入安全.配置網路安全時應該注意如下問題 1.下面四種埠不能設定 a.不能是trunk口.b.不能是span口 c.不能是etherchannel口 d.不能是pri...
交換機埠安全配置
寫在前面 一般在網路中會在接入層交換機邊緣埠上配置埠安全用於防止非法或不可以信任的網路裝置接入到網路中,以便於提高網路的安全性。拓撲圖 網路需求 在接入層交換機上配置埠安全提高網路安全效能,實現網路互通。配置 sw1 gigabitethernet0 0 1 port security enable...