企業(yè)網(wǎng)絡(luò)安全涉及領(lǐng)域眾多，根據(jù)設(shè)備的不同，用途的差異，各種網(wǎng)絡(luò)安全技術(shù)層出不窮，但是網(wǎng)絡(luò)從交換機(jī)來說，首選需要保證交換機(jī)端口的安全。在不少企業(yè)中，員工可以隨意地使用集線器等設(shè)備連接辦公交換機(jī)，或者使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中，這類的情況會(huì)給企業(yè)的網(wǎng)絡(luò)安全帶來相當(dāng)大的不利影響。本文針對(duì)以上情況，對(duì)交換機(jī)端口的常見安全威脅進(jìn)行相關(guān)維護(hù)，并對(duì)相關(guān)措施做一總結(jié)。

　　一、常見的安全威脅

　　在企業(yè)中，威脅交換機(jī)端口的行為比較多。總結(jié)一下有如下情形：

　　(1)未經(jīng)授權(quán)的用戶主機(jī)隨意連接到企業(yè)的網(wǎng)絡(luò)中。如員工自己筆記本，可以在不經(jīng)管理員同意的情況下，拔下某臺(tái)主機(jī)的網(wǎng)線，插在自己帶來的筆記本，然后連入到企業(yè)的網(wǎng)絡(luò)中，這會(huì)帶來很大的安全隱患。

　　(2)未經(jīng)采用同意安裝集線器HUB等網(wǎng)絡(luò)設(shè)備。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量，會(huì)在未經(jīng)授權(quán)的情況下。將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。如此的話，會(huì)導(dǎo)致這個(gè)網(wǎng)絡(luò)接口對(duì)應(yīng)的交換機(jī)接口流量增加，從而導(dǎo)致網(wǎng)絡(luò)性能的下降。

　　(3)網(wǎng)絡(luò)管理員在日常工作中對(duì)于交換機(jī)端口的安全性不怎么重視，這是他們網(wǎng)絡(luò)安全管理中的一個(gè)盲區(qū)。

　　二、主要的應(yīng)對(duì)措施

　　從以上的分析中可以看出，企業(yè)現(xiàn)在交換機(jī)端口的安全環(huán)境非常的薄弱。在這種情況下，僅僅靠管理上是不夠的，下面我重點(diǎn)介紹下如何利用技術(shù)應(yīng)對(duì)以上情況。

　　(1)應(yīng)對(duì)措施一：MAC地址與端口綁定。

　　最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來做對(duì)網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，MAC地址與端口綁定，當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí)，交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí)，端口模式必須為access或者Trunk狀態(tài)。Cisco IOS交換機(jī)端口安全功能支持以下幾種安全MAC地址類型：

　　Switch#config terminal ＃進(jìn)入配置模式

　　Switch(config)# Interface fastethernet 0/1 ＃進(jìn)入具體端口配置模式

　　Switch(config-if)#Switchport port-secruity ＃配置端口安全模式

　　以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的MAC地址，這樣只有這個(gè)主機(jī)可以使用網(wǎng)絡(luò)，如果對(duì)該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他PC機(jī)想通過這個(gè)端口使用網(wǎng)絡(luò)都不可用。

　　(2)應(yīng)對(duì)措施二：根據(jù)MAC地址允許流量的配置

　　一個(gè)安全端口默認(rèn)有一個(gè)安全MAC地址，這個(gè)默認(rèn)值在1~3000之間。當(dāng)在一個(gè)端口上設(shè)置最大安全MAC數(shù)后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通過port-security mac-address VLAN范圍配置命令在中繼端口上一個(gè)范圍VLAN中配置所有安全MAC地址，以允許端口用所連接設(shè)備的MAC地址動(dòng)態(tài)配置安全MAC地址。

　　Switch #conf t

　　Switch (config)#int f0/1

　　Switch (config-if)#switchport trunk encapsulation dot1q

　　Switch (config-if)#switchport mode trunk /配置端口模式為TRUNK。

　　Switch (config-if)#switchport port-security maximum 50 /允許此端口通過的最大MAC地址數(shù)目為50。

　　Switch (config-if)#switchport port-security violation protect /當(dāng)主機(jī)MAC地址數(shù)目超過50時(shí)，交換機(jī)繼續(xù)工作，但來自新的主機(jī)的數(shù)據(jù)幀將丟失。

　　(3)應(yīng)對(duì)措施三：啟用網(wǎng)絡(luò)身份認(rèn)證功能

　　Switch#conf t

　　Switch(config)#aaa new-model /啟用AAA認(rèn)證。

　　Switch(config)#aaa authentication dot1x default local /全局啟用802.1X協(xié)議認(rèn)證，并使用本地用戶名與密碼。

　　Switch(config)#int range f0/1 -24

　　Switch(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗(yàn)證。

　　三、應(yīng)用后的效果分析

　　經(jīng)過上述的一系列的技術(shù)配置，通過實(shí)地測(cè)試，基本解決了私接設(shè)備、隨意擴(kuò)交換機(jī)的問題。但是在實(shí)際應(yīng)用中，發(fā)現(xiàn)了一些問題，以上策略太過于死板，一點(diǎn)執(zhí)行shutdown后，員工不能上網(wǎng)，如果企業(yè)規(guī)模較大，容易導(dǎo)致網(wǎng)絡(luò)管理員頻繁去修改交換機(jī)的端口狀態(tài)，針對(duì)這種情況，我們可以采用一下恢復(fù)策略，智能的處理違規(guī)情況。

　　(1)關(guān)閉(Shutdown)：發(fā)生安全違例事件時(shí)，端口立即呈現(xiàn)錯(cuò)誤狀態(tài)，關(guān)閉端口。同時(shí)也會(huì)發(fā)送一個(gè)SNMP捕獲消息并記錄系統(tǒng)日志，違例計(jì)數(shù)器增加1。

　　(2)禁止VLAN(Shutdown VLAN)：適用于VLAN的安全違例模式。在這種模式下，在發(fā)生安全違者罰款例事件時(shí)，該端口對(duì)應(yīng)的VLAN都將呈錯(cuò)誤禁止?fàn)顟B(tài)，關(guān)閉對(duì)應(yīng)VLAN，而不關(guān)閉對(duì)應(yīng)的端口。

　　(3)保護(hù)：當(dāng)安全MAC地址數(shù)超過端口上配置的最大安全MAC地址數(shù)時(shí)，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)，或者增加最大安全MAC地址數(shù)。而且這種行為沒有安全違例行為發(fā)生通知。

　　(4) 限制：在安全MAC地址數(shù)達(dá)到端口上配置的最大安全MAC地址數(shù)時(shí)，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)，或者增加最大安全MAC地址數(shù)。

　　四、結(jié)論

　　以上介紹的幾種方法，各有各的特點(diǎn)。在可操作性上與安全性上各有不同。網(wǎng)絡(luò)管理員需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模、對(duì)于安全性的要求等各個(gè)方面的因素來選擇采用的方案�？傊�，在網(wǎng)絡(luò)安全逐漸成為管理員心頭大患的今天。交換機(jī)的端口安全必須引起大家的關(guān)注。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)交換機(jī)的網(wǎng)絡(luò)端口安全技術(shù)

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839610387.html