企業(yè)多層網(wǎng)絡(luò )交換機安全

　　很多網(wǎng)絡(luò )管理員在安全設計時(shí)，喜歡采用高端的設備與技術(shù)，但是卻忽視了一些細節與基礎性的內容。下面是小編整理的從細節抓起，保障企業(yè)多層網(wǎng)絡(luò )交換機安全，希望對你有幫助!

　　一、通過(guò)訪(fǎng)問(wèn)控制列表來(lái)限制用戶(hù)的訪(fǎng)問(wèn)

　　通過(guò)使用訪(fǎng)問(wèn)控制列表來(lái)限制管理訪(fǎng)問(wèn)和遠程接入，就可以有效防止對管理接口的非授權訪(fǎng)問(wèn)和Dos拒絕服務(wù)攻擊。其實(shí)這個(gè)配置是很基礎的內容。如可以在企業(yè)邊緣路由器上(連接到互聯(lián)網(wǎng)的路由器)，進(jìn)行訪(fǎng)問(wèn)控制列表配置，拒絕從互聯(lián)網(wǎng)接口接受Ping命令。

　　另外如果企業(yè)有虛擬局域網(wǎng)設置，那么這個(gè)訪(fǎng)問(wèn)控制列表還可以跟其結合使用，進(jìn)一步提高虛擬局域網(wǎng)的安全性。如可以設置只有網(wǎng)絡(luò )管理員才可以訪(fǎng)問(wèn)某個(gè)特定的虛擬局域網(wǎng)等等。再如可以限制用戶(hù)在上班時(shí)間訪(fǎng)問(wèn)娛樂(lè )網(wǎng)站、網(wǎng)上炒股、網(wǎng)絡(luò )游戲等等可能會(huì )危害企業(yè)網(wǎng)絡(luò )安全的行為。筆者認為，訪(fǎng)問(wèn)控制列表是一個(gè)很好的安全工具�？上У氖�，不少網(wǎng)絡(luò )管理員可能認為其太簡(jiǎn)單了，而忽視了這個(gè)技術(shù)的存在。卻不知道，簡(jiǎn)單的往往是比較實(shí)用的。故筆者建議各位讀者，還是需要好好研究一下訪(fǎng)問(wèn)控制列表。在購買(mǎi)安全設備之前，想想能否通過(guò)訪(fǎng)問(wèn)控制列表來(lái)實(shí)現安全方面的需求。盡量不要購買(mǎi)第三方的安全產(chǎn)品，以降低網(wǎng)絡(luò )的復雜性。

　　二、配置系統警告標語(yǔ)，以起到警示的作用

　　我們到超市或者書(shū)店的時(shí)候，往往會(huì )看到“市場(chǎng)已安裝涉嫌頭、請各位自重”的標語(yǔ)。這種標語(yǔ)會(huì )在無(wú)形中給小偷一種心理的警示。其實(shí)在企業(yè)網(wǎng)絡(luò )交換機安全規劃中，也可以設計一個(gè)警告標語(yǔ)，讓攻擊者知難而退。

　　筆者認為，無(wú)論是出于安全或者管理的目的，配置一條在用戶(hù)登錄前線(xiàn)時(shí)的系統警告標語(yǔ)是一種方便、有效的實(shí)施安全和通用策略的方式。即在用戶(hù)連接到交換機、在輸入用戶(hù)名與密碼之前，向用戶(hù)提供一個(gè)警告標語(yǔ)。標語(yǔ)可以是這臺設備的用途，也可以是警告用戶(hù)不要進(jìn)行非授權訪(fǎng)問(wèn)的警示語(yǔ)。就好像超市中“安裝攝像頭”的警示語(yǔ)一樣，對非法訪(fǎng)問(wèn)的用戶(hù)起到一個(gè)警示的作用。在用戶(hù)正式登陸之前，網(wǎng)絡(luò )管理員可以讓交換機明確的指出交換機的歸屬、使用方法、安全措施(可以適當的夸大)、訪(fǎng)問(wèn)權限以及所采取的保護策略(這也可適當夸大)。如可以說(shuō)明將對用戶(hù)所采用的IP地址進(jìn)行合法性驗證等等。以起到應有的警示作用。

　　三、為交換機配置一把安全的鑰匙

　　現在市場(chǎng)上的交換機，通常對口令采用的都是MD5加密方法。如以思科的多層交換機為例，通過(guò)使用enable secret命令，可以進(jìn)入系統的特權模式，設置相關(guān)的口令。不過(guò)需要注意的是，此時(shí)雖然對口令進(jìn)行了加密處理，但是這個(gè)加密機制并不是很復雜。通常情況下，可以采用字典攻擊來(lái)破解用戶(hù)設置的口令。那這是否說(shuō)明不需要為交換機設置口令呢?其實(shí)這是一個(gè)誤解。

　　我們在設置交換機口令的時(shí)候，可以增加口令的復雜性，來(lái)提高破解的難度。這就好像銀行卡密碼一樣。其理論上也可以通過(guò)采用字典攻擊的方式來(lái)破解密碼。但是只要將密碼設置的復雜一些(如不要采用相同的數字、生日、電話(huà)號碼作為密碼)，同時(shí)設置密碼策略(如密碼連續錯誤三次將鎖住)，如此就可以提高這個(gè)密碼的安全性。

　　對于交換機來(lái)說(shuō)，也是這個(gè)道理。雖然其只是采用了MD5加密機制，可以通過(guò)字典攻擊來(lái)破解。但是我們仍然可以通過(guò)加強密碼的復雜性，讓字典攻擊知難而退。這個(gè)道理，可能大家都懂得。在學(xué)校的網(wǎng)絡(luò )安全課程上，這也是一個(gè)基礎性的內容�？墒钦娴牡搅藢�(shí)際工作中，很多人都忽視了其的存在。筆者認為，可以在交換機的密碼中加入一些特殊的字符，如標點(diǎn)符號，或者大小寫(xiě)、字母與數字混用等等，來(lái)為交換機配置比較堅固的口令。

　　四、CDP協(xié)議要盡量少用

　　CDP思科發(fā)現協(xié)議是思科網(wǎng)絡(luò )設備中一個(gè)比較重要的協(xié)議。其可以傳播網(wǎng)絡(luò )設備的詳細信息。如在多層交換網(wǎng)絡(luò )中，輔助Vlan和其他的專(zhuān)用解決方案需要CDP協(xié)議的支持。所以默認情況下，這個(gè)協(xié)議是開(kāi)啟的。但是我們做安全的人員需要注意，這個(gè)協(xié)議會(huì )帶來(lái)比較大的安全隱患。我們需要在安全與實(shí)用性之間取得一個(gè)均衡。通常情況下，我們并不需要在所有的交換機等網(wǎng)絡(luò )設備上都啟用這個(gè)協(xié)議�；蛘哒f(shuō)，這個(gè)協(xié)議要盡量的少用，要用在刀口上。

　　如CDP協(xié)議通常情況下只有管理員才用的著(zhù)。所以安全人員可以在交換機的每個(gè)接口上都禁用CDP協(xié)議，而只為管理目的運行CDP協(xié)議。如通常情況下，需要在交換機的廉潔上和IP電話(huà)連接的接口上啟用CDP協(xié)議。

　　再如可以考慮只在受控制范圍內定設備之間運行CDP協(xié)議。這主要是因為CDP協(xié)議時(shí)一種鏈路級別的協(xié)議。通常情況下除非使用了第二層隧道機制，否則的話(huà)它是不會(huì )通過(guò)Wan進(jìn)行端到端的傳播。這也就是說(shuō)，對于Wan連接，CDP表中可能包含服務(wù)器提供的下一跳路由器或者交換機的信息，而不是企業(yè)控制之下的遠端路由器�？傊�就是不要再不安起的連接(一般Internet連接被認為是不安全的)上運行CDP協(xié)議。

　　總之，CDP協(xié)議在某些方面確實(shí)很有用。但是從安全的角度講，不能夠對CDP協(xié)議進(jìn)行濫用。而應該將其用在刀刃上，在必需的接口上啟用CDP協(xié)議。

　　五、注意SNMP是一把雙刃劍

　　SNMP協(xié)議通CDP協(xié)議一樣，其安全性也一直備受爭議。筆者認為，SNMP協(xié)議是一把雙刃劍。從管理角度講，很多網(wǎng)絡(luò )管理員離不開(kāi)SNMP協(xié)議。但是從安全角度講，其確實(shí)存在著(zhù)比較大的安全隱患。這主要是因為SNMP協(xié)議在網(wǎng)絡(luò )中通常是通過(guò)明文來(lái)傳輸的。即使是采用了SNMPV2C，其雖然采用了身份驗證技術(shù)。但是其身份驗證信息也是由簡(jiǎn)單的文本字符組成。而這些字符則是通過(guò)明文來(lái)進(jìn)行傳輸。這就給企業(yè)的網(wǎng)絡(luò )安全造成了隱患。

　　遇到這種情況時(shí)，安全管理人員應該采取適當的措施來(lái)確保SNMP協(xié)議的安全。筆者常用的手段是升級SNMP協(xié)議，采用SNMPV3版本。在這個(gè)版本中，可以設置對于傳輸的數據都采用加密處理，從而確保通信流量的安全性。

　　其次，可以結合上面談到的訪(fǎng)問(wèn)控制列表來(lái)加強SNMP協(xié)議的安全性。如在訪(fǎng)問(wèn)控制列表中設置，交換機只轉發(fā)那些來(lái)自受信子網(wǎng)或者工作站(其實(shí)就訪(fǎng)問(wèn)控制列表中定義允許的子網(wǎng)或者工作站的IP地址)的SNMP通信流量通過(guò)交換機。一般來(lái)說(shuō)，只要做到這兩點(diǎn)，SNMP協(xié)議的安全是有所保障的。

　　除此之外，限制鏈路聚集連接、關(guān)閉不需要的服務(wù)、少用HTTP協(xié)議等等，都是企業(yè)網(wǎng)絡(luò )安全管理中的細節方面的內容。根據筆者的經(jīng)驗，大部分企業(yè)只要把握住這些細節，并不需要購買(mǎi)額外的安全設別，就可以滿(mǎn)足企業(yè)在安全方面的需求。當然，像銀行等金融機構，對安全性級別要求特高，那在做好這些細節時(shí)，還需要購買(mǎi)專(zhuān)業(yè)的安全設備。

【企業(yè)多層網(wǎng)絡(luò )交換機安全】相關(guān)文章：

使用廉價(jià)網(wǎng)絡(luò )交換機的風(fēng)險03-04

cisco交換機安全配置設定命令大全03-05

淺談核心交換機存在的安全隱患03-04

H3C交換機在企業(yè)中的常見(jiàn)配置03-06

企業(yè)交換機故障排查常見(jiàn)方法與分析原則03-18

交換機故障03-04

對稱(chēng)交換機與不對稱(chēng)交換機的區別03-04

H3C交換機端口安全模式03-27

公開(kāi)教學(xué)的多層意義03-08