监理公司管理系统 | 工程企业管理系统 | OA系统 | ERP系统 | 造价咨询管理系统 | 工程设计管理系统 | 签约案例 | 购买价格 | 在线试用 | 手机APP | 产品资料
X 关闭
重庆OA快博

当前位置:工程项目OA系统 > 泛普各地 > 重庆OA系统 > 重庆OA快博

规范局域网管理杜绝交换机安全隐患

申请免费试用、咨询电话:400-8352-114

 现在,几乎所有的中小企业都使用交换机管理局域网,考虑到交换机安全,作为网络管理员该时刻留心这个问题。交换机能给我们的工作带来方便,同时不恰当的管理也会给工作增加负担。

 
一、未经授权的主机接入到交换机的端口
 
有些网络管理员没有在交换机的端口上采取任何的保护措施,这将导致未经授权的主及能够自由的介入到交换机的端口上(通过企业的预先设置的网络端口)。这可能会给企业的网络带来比较大的安全隐患。
 
如员工自己有笔记本电脑。在未经网络管理员允许的情况下,就私自拿到公司,然后连入到公司的网络。这就比较危险。如企业内部的IP地址往往有一个比较严格的规划,而且IP地址像人的身份证号码一样,必须保持唯一。现在员工将自己的私人电脑接入到企业的网络,就可能导致IP地址冲突,从而影响其它主机的正常上网。如员工自己的电脑采用的是固定IP地址,此时如果连入到企业网络的话,就很可能会造成IP地址的冲突。
 
再如企业往往会在内网与外网的中间部署有防火墙,用来防止互联网上的病毒进入到企业内部。现在的问题是,员工的个人电脑直接从同企业内部的接口连入到企业的网络。此时就相当于越过了防火墙的检查。如果员工的电脑有病毒的话,那么就会影响到企业网络的运行。严重的话,还可能会导致企业整个内部网络的瘫痪。
 
可见,未经授权的主机接入到交换机的端口,会存在比较大的交换机安全隐患。其实在交换机安全的操作系统上,有现成的预防措施来消除这种交换机安全隐患。如可以通过使用“基于主机MAC地址允许流量”机制,来指定只有特定MAC地址的主机才能够连接到企业的交换机上。如此的话,就可以将未经授权的主及排除在外。
 
通常情况下,单个交换机端口能够允许1个或者1个以上到某个特定数目的MAC地址。简单的说,在交换机的端口上会有一个配置列表,上面列举了几个允许接入交换机的MAC地址。只有在这个名单中的主机才能够连接到这个端口中。如果希望启用这个特性的话,可以通过如下命令来实现:Set Port Security MAC地址。在使用这个命令时,可以加入多个IP地址。如企业的规模比较小,网络管理员在组建网络时将一个交换机的端口对应一个部门。而一个部门的主机数目可能有10个。此时就需要在这个命令中将10个MAC地址都加上。如此的话,就只有这十台主机才能够连接到这个交换机端口中。
 
不过需要注意的是,不同品牌或者同一品牌不同规格的交换机,对可以支持的MAC地址数往往有所限制。如果需要让交换机的端口支持多个MAC地址的话,就不能过超过这个最大数量的限制。
 
二、违反规则时该如何处理?
 
当设置了如上的预防措施之后,如果员工还是将自己的电脑拿到企业来,在未经授权的情况下连入到企业的网络。此时交换机安全会有什么反应呢?通常情况下,交换机端口如果检测到有连接到其接口的主机MAC地址不在自己的名单中的话,其会做出三种行为。
 
第一种行为是关闭接口。即到检测到有未经授权的主机连接到其接口上,交换机安全的操作系统会马上将这个接口关闭掉。如此的话,连接在这个接口上的所有主机都将无法访问企业的内部网络。如上面举的例子。一个接口可能对应一个部门。此时就可能因为一个员工的行为而影响到整个部门的网络。这种安全措施就比较“极端”,其根其他行为相比,最大的一个好处就是能够及时发现员工的这种非法行为。
 
第二种行为是限制。在这种情况下,当检测到有未经授权的主机之后,其只会拒绝这台主机的连接,而对于其他合法主机的连接不会有影响。这种措施有好处也有坏处。好处就是不会影响到其它合法用户的连接。而坏处就是网络管理员很难发现员工是否有这种未经授权的行为。因为即使有这种情况下,也不会影响其他正常用户的访问。所以员工不会自己举报这种行为。在安全级别比较高的企业中,这个措施仍然存在着一定的安全风险。不过其灵活性比较高。
 
第三种行为是保护。这主要是针对网络管理员规定的最大MAC地址连接数与设置的MAC地址不同而导致的。如网络管理员出于性能的考虑,规定交换机的接口最多只能够连接10个MAC地址。而在设置允许主机的MAC地址的时候,却指定了13个MAC地址。此时如果有第11台主机连接到这个交换机接口上(其MAC地址是合法的),在这种情况下,交换机安全该如何处理呢?此时就会触发交换机的保护机制。即会拒绝新的主机连接到这个交换机的接口上。但是不会影响到交换机现有的用户连接。
 
以上三种行为在具体的使用时,网络管理员需要根据企业的实际情况来进行选择。其建议是,“关闭接口”这种行为需要谨慎使用。特别是一个交换机接口对应多个合法用户的时候,更加需要三思而后行。因为这会连累其他合法的用户无法正常使用企业的网络。
 
三、技术限制重要,培训更重要
 
在考虑内网交换机安全时,技术上的限制固然重要,但一定的安全知识培训也必不可少。如企业在实际工作中,往往会对员工的网络安全知识进行定期的培训。如告诉员工,企业的个人电脑不能够私自接入到企业的网络中。如果一定要接入的话,就需要通知网络管理员。并且只能够在特定的位置(相当于是交换机安全的接口)接入网络。只有不断的培训,才能够加强员工的安全意识。否则的话,光靠网络管理员一个人的努力,很难保障企业内部网络的安全。
 
四、需要开发某个特定的交换机接口
 
在实际工作中,还需要注意一个问题,不能够对所有的交换机安全接口都做如上的限制。如企业可能不时的会有客户或者供应商到企业来拜访。此时他们需要使用他们自己的笔记本电脑上网。如果企业允许这种情况的话,那么就需要在便利性与安全性上取得一个均衡。
 
其做法是,在固定的位置开发交换机的端口限制。如企业有一个会客室。将这个会客室的网络接口连接到一个特定的交换机接口。而这个交换机接口没有采取上面的设置。即所有的主机都可以通过这个交换机安全连接到企业的网路中。不过为了安全起见,对其可以访问的资源进行了限制。如需要访问企业的文件服务器时,需要凭用户名与密码才可以访问。而对于其他接口,则没有这方面的限制。而访问一些公共资源,包括通过企业的内部网络访问互联网、或者访问企业的网络打印机时,可以自由访问。这种安全措施,就可以实现在便利性与安全性上的均衡。

编辑推荐】

网管软件专区

网络管理者最易犯的十大低级错误

网络管理基础知识:网路管理模式

学习高效网络管理技巧三招五式

IT运维管理专区

本文来自互联网,仅供参考
发布:2007-04-15 10:43    编辑:泛普软件 · xiaona    [打印此页]    [关闭]

泛普重庆OA快博其他应用

重庆OA软件 重庆OA新闻动态 重庆OA信息化 重庆OA客户 重庆OA快博 重庆OA行业资讯 重庆软件开发公司 重庆网站建设公司 重庆物业管理软件 重庆餐饮管理软件 重庆仓库管理系统 重庆门禁系统 重庆微信营销 重庆ERP 重庆监控公司 重庆金融行业软件 重庆B2B、B2C商城系统开发 重庆建筑施工项目管理系统开发