監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

規(guī)范局域網(wǎng)管理杜絕交換機(jī)安全隱患

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

 現(xiàn)在,幾乎所有的中小企業(yè)都使用交換機(jī)管理局域網(wǎng),考慮到交換機(jī)安全,作為網(wǎng)絡(luò)管理員該時(shí)刻留心這個(gè)問(wèn)題。交換機(jī)能給我們的工作帶來(lái)方便,同時(shí)不恰當(dāng)?shù)墓芾硪矔?huì)給工作增加負(fù)擔(dān)。

 
一、未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口
 
有些網(wǎng)絡(luò)管理員沒(méi)有在交換機(jī)的端口上采取任何的保護(hù)措施,這將導(dǎo)致未經(jīng)授權(quán)的主及能夠自由的介入到交換機(jī)的端口上(通過(guò)企業(yè)的預(yù)先設(shè)置的網(wǎng)絡(luò)端口)。這可能會(huì)給企業(yè)的網(wǎng)絡(luò)帶來(lái)比較大的安全隱患。
 
如員工自己有筆記本電腦。在未經(jīng)網(wǎng)絡(luò)管理員允許的情況下,就私自拿到公司,然后連入到公司的網(wǎng)絡(luò)。這就比較危險(xiǎn)。如企業(yè)內(nèi)部的IP地址往往有一個(gè)比較嚴(yán)格的規(guī)劃,而且IP地址像人的身份證號(hào)碼一樣,必須保持唯一。現(xiàn)在員工將自己的私人電腦接入到企業(yè)的網(wǎng)絡(luò),就可能導(dǎo)致IP地址沖突,從而影響其它主機(jī)的正常上網(wǎng)。如員工自己的電腦采用的是固定IP地址,此時(shí)如果連入到企業(yè)網(wǎng)絡(luò)的話,就很可能會(huì)造成IP地址的沖突。
 
再如企業(yè)往往會(huì)在內(nèi)網(wǎng)與外網(wǎng)的中間部署有防火墻,用來(lái)防止互聯(lián)網(wǎng)上的病毒進(jìn)入到企業(yè)內(nèi)部?,F(xiàn)在的問(wèn)題是,員工的個(gè)人電腦直接從同企業(yè)內(nèi)部的接口連入到企業(yè)的網(wǎng)絡(luò)。此時(shí)就相當(dāng)于越過(guò)了防火墻的檢查。如果員工的電腦有病毒的話,那么就會(huì)影響到企業(yè)網(wǎng)絡(luò)的運(yùn)行。嚴(yán)重的話,還可能會(huì)導(dǎo)致企業(yè)整個(gè)內(nèi)部網(wǎng)絡(luò)的癱瘓。
 
可見(jiàn),未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口,會(huì)存在比較大的交換機(jī)安全隱患。其實(shí)在交換機(jī)安全的操作系統(tǒng)上,有現(xiàn)成的預(yù)防措施來(lái)消除這種交換機(jī)安全隱患。如可以通過(guò)使用“基于主機(jī)MAC地址允許流量”機(jī)制,來(lái)指定只有特定MAC地址的主機(jī)才能夠連接到企業(yè)的交換機(jī)上。如此的話,就可以將未經(jīng)授權(quán)的主及排除在外。
 
通常情況下,單個(gè)交換機(jī)端口能夠允許1個(gè)或者1個(gè)以上到某個(gè)特定數(shù)目的MAC地址。簡(jiǎn)單的說(shuō),在交換機(jī)的端口上會(huì)有一個(gè)配置列表,上面列舉了幾個(gè)允許接入交換機(jī)的MAC地址。只有在這個(gè)名單中的主機(jī)才能夠連接到這個(gè)端口中。如果希望啟用這個(gè)特性的話,可以通過(guò)如下命令來(lái)實(shí)現(xiàn):Set Port Security MAC地址。在使用這個(gè)命令時(shí),可以加入多個(gè)IP地址。如企業(yè)的規(guī)模比較小,網(wǎng)絡(luò)管理員在組建網(wǎng)絡(luò)時(shí)將一個(gè)交換機(jī)的端口對(duì)應(yīng)一個(gè)部門。而一個(gè)部門的主機(jī)數(shù)目可能有10個(gè)。此時(shí)就需要在這個(gè)命令中將10個(gè)MAC地址都加上。如此的話,就只有這十臺(tái)主機(jī)才能夠連接到這個(gè)交換機(jī)端口中。
 
不過(guò)需要注意的是,不同品牌或者同一品牌不同規(guī)格的交換機(jī),對(duì)可以支持的MAC地址數(shù)往往有所限制。如果需要讓交換機(jī)的端口支持多個(gè)MAC地址的話,就不能過(guò)超過(guò)這個(gè)最大數(shù)量的限制。
 
二、違反規(guī)則時(shí)該如何處理?
 
當(dāng)設(shè)置了如上的預(yù)防措施之后,如果員工還是將自己的電腦拿到企業(yè)來(lái),在未經(jīng)授權(quán)的情況下連入到企業(yè)的網(wǎng)絡(luò)。此時(shí)交換機(jī)安全會(huì)有什么反應(yīng)呢?通常情況下,交換機(jī)端口如果檢測(cè)到有連接到其接口的主機(jī)MAC地址不在自己的名單中的話,其會(huì)做出三種行為。
 
第一種行為是關(guān)閉接口。即到檢測(cè)到有未經(jīng)授權(quán)的主機(jī)連接到其接口上,交換機(jī)安全的操作系統(tǒng)會(huì)馬上將這個(gè)接口關(guān)閉掉。如此的話,連接在這個(gè)接口上的所有主機(jī)都將無(wú)法訪問(wèn)企業(yè)的內(nèi)部網(wǎng)絡(luò)。如上面舉的例子。一個(gè)接口可能對(duì)應(yīng)一個(gè)部門。此時(shí)就可能因?yàn)橐粋€(gè)員工的行為而影響到整個(gè)部門的網(wǎng)絡(luò)。這種安全措施就比較“極端”,其根其他行為相比,最大的一個(gè)好處就是能夠及時(shí)發(fā)現(xiàn)員工的這種非法行為。
 
第二種行為是限制。在這種情況下,當(dāng)檢測(cè)到有未經(jīng)授權(quán)的主機(jī)之后,其只會(huì)拒絕這臺(tái)主機(jī)的連接,而對(duì)于其他合法主機(jī)的連接不會(huì)有影響。這種措施有好處也有壞處。好處就是不會(huì)影響到其它合法用戶的連接。而壞處就是網(wǎng)絡(luò)管理員很難發(fā)現(xiàn)員工是否有這種未經(jīng)授權(quán)的行為。因?yàn)榧词褂羞@種情況下,也不會(huì)影響其他正常用戶的訪問(wèn)。所以員工不會(huì)自己舉報(bào)這種行為。在安全級(jí)別比較高的企業(yè)中,這個(gè)措施仍然存在著一定的安全風(fēng)險(xiǎn)。不過(guò)其靈活性比較高。
 
第三種行為是保護(hù)。這主要是針對(duì)網(wǎng)絡(luò)管理員規(guī)定的最大MAC地址連接數(shù)與設(shè)置的MAC地址不同而導(dǎo)致的。如網(wǎng)絡(luò)管理員出于性能的考慮,規(guī)定交換機(jī)的接口最多只能夠連接10個(gè)MAC地址。而在設(shè)置允許主機(jī)的MAC地址的時(shí)候,卻指定了13個(gè)MAC地址。此時(shí)如果有第11臺(tái)主機(jī)連接到這個(gè)交換機(jī)接口上(其MAC地址是合法的),在這種情況下,交換機(jī)安全該如何處理呢?此時(shí)就會(huì)觸發(fā)交換機(jī)的保護(hù)機(jī)制。即會(huì)拒絕新的主機(jī)連接到這個(gè)交換機(jī)的接口上。但是不會(huì)影響到交換機(jī)現(xiàn)有的用戶連接。
 
以上三種行為在具體的使用時(shí),網(wǎng)絡(luò)管理員需要根據(jù)企業(yè)的實(shí)際情況來(lái)進(jìn)行選擇。其建議是,“關(guān)閉接口”這種行為需要謹(jǐn)慎使用。特別是一個(gè)交換機(jī)接口對(duì)應(yīng)多個(gè)合法用戶的時(shí)候,更加需要三思而后行。因?yàn)檫@會(huì)連累其他合法的用戶無(wú)法正常使用企業(yè)的網(wǎng)絡(luò)。
 
三、技術(shù)限制重要,培訓(xùn)更重要
 
在考慮內(nèi)網(wǎng)交換機(jī)安全時(shí),技術(shù)上的限制固然重要,但一定的安全知識(shí)培訓(xùn)也必不可少。如企業(yè)在實(shí)際工作中,往往會(huì)對(duì)員工的網(wǎng)絡(luò)安全知識(shí)進(jìn)行定期的培訓(xùn)。如告訴員工,企業(yè)的個(gè)人電腦不能夠私自接入到企業(yè)的網(wǎng)絡(luò)中。如果一定要接入的話,就需要通知網(wǎng)絡(luò)管理員。并且只能夠在特定的位置(相當(dāng)于是交換機(jī)安全的接口)接入網(wǎng)絡(luò)。只有不斷的培訓(xùn),才能夠加強(qiáng)員工的安全意識(shí)。否則的話,光靠網(wǎng)絡(luò)管理員一個(gè)人的努力,很難保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。
 
四、需要開(kāi)發(fā)某個(gè)特定的交換機(jī)接口
 
在實(shí)際工作中,還需要注意一個(gè)問(wèn)題,不能夠?qū)λ械慕粨Q機(jī)安全接口都做如上的限制。如企業(yè)可能不時(shí)的會(huì)有客戶或者供應(yīng)商到企業(yè)來(lái)拜訪。此時(shí)他們需要使用他們自己的筆記本電腦上網(wǎng)。如果企業(yè)允許這種情況的話,那么就需要在便利性與安全性上取得一個(gè)均衡。
 
其做法是,在固定的位置開(kāi)發(fā)交換機(jī)的端口限制。如企業(yè)有一個(gè)會(huì)客室。將這個(gè)會(huì)客室的網(wǎng)絡(luò)接口連接到一個(gè)特定的交換機(jī)接口。而這個(gè)交換機(jī)接口沒(méi)有采取上面的設(shè)置。即所有的主機(jī)都可以通過(guò)這個(gè)交換機(jī)安全連接到企業(yè)的網(wǎng)路中。不過(guò)為了安全起見(jiàn),對(duì)其可以訪問(wèn)的資源進(jìn)行了限制。如需要訪問(wèn)企業(yè)的文件服務(wù)器時(shí),需要憑用戶名與密碼才可以訪問(wèn)。而對(duì)于其他接口,則沒(méi)有這方面的限制。而訪問(wèn)一些公共資源,包括通過(guò)企業(yè)的內(nèi)部網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)、或者訪問(wèn)企業(yè)的網(wǎng)絡(luò)打印機(jī)時(shí),可以自由訪問(wèn)。這種安全措施,就可以實(shí)現(xiàn)在便利性與安全性上的均衡。

編輯推薦】

網(wǎng)管軟件專區(qū)

網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

網(wǎng)絡(luò)管理基礎(chǔ)知識(shí):網(wǎng)路管理模式

學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

IT運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:43    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動(dòng)態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開(kāi)發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉(cāng)庫(kù)管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營(yíng)銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開(kāi)發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開(kāi)發(fā)