筆者受邀對一些企業(yè)的網絡安全進行評估時，發(fā)現(xiàn)一種奇怪的現(xiàn)象。很多網絡管理員在安全設計時，喜歡采用高端的設備與技術，但是卻忽視了一些細節(jié)與基礎性的內容。如采用了企業(yè)級的防火墻，但是卻沒有重視交換機本身的安全。為此筆者借助這個平臺，向各位讀者建議，企業(yè)網絡安全應該從細節(jié)抓起。

一、通過訪問控制列表來限制用戶的訪問

通過使用訪問控制列表來限制管理訪問和遠程接入，就可以有效防止對管理接口的非授權訪問和Dos拒絕服務攻擊。其實這個配置是很基礎的內容。如可以在企業(yè)邊緣路由器上（連接到互聯(lián)網的路由器），進行訪問控制列表配置，拒絕從互聯(lián)網接口接受Ping命令。

另外如果企業(yè)有虛擬局域網設置，那么這個訪問控制列表還可以跟其結合使用，進一步提高虛擬局域網的安全性。如可以設置只有網絡管理員才可以訪問某個特定的虛擬局域網等等。再如可以限制用戶在上班時間訪問娛樂網站、網上炒股、網絡游戲等等可能會危害企業(yè)網絡安全的行為。筆者認為，訪問控制列表是一個很好的安全工具。可惜的是，不少網絡管理員可能認為其太簡單了，而忽視了這個技術的存在。卻不知道，簡單的往往是比較實用的。故筆者建議各位讀者，還是需要好好研究一下訪問控制列表。在購買安全設備之前，想想能否通過訪問控制列表來實現(xiàn)安全方面的需求。盡量不要購買第三方的安全產品，以降低網絡的復雜性。

二、配置系統(tǒng)警告標語，以起到警示的作用

我們到超市或者書店的時候，往往會看到“市場已安裝涉嫌頭、請各位自重”的標語。這種標語會在無形中給小偷一種心理的警示。其實在企業(yè)網絡交換機安全規(guī)劃中，也可以設計一個警告標語，讓攻擊者知難而退。

筆者認為，無論是出于安全或者管理的目的，配置一條在用戶登錄前線時的系統(tǒng)警告標語是一種方便、有效的實施安全和通用策略的方式。即在用戶連接到交換機、在輸入用戶名與密碼之前，向用戶提供一個警告標語。標語可以是這臺設備的用途，也可以是警告用戶不要進行非授權訪問的警示語。就好像超市中“安裝攝像頭”的警示語一樣，對非法訪問的用戶起到一個警示的作用。在用戶正式登陸之前，網絡管理員可以讓交換機明確的指出交換機的歸屬、使用方法、安全措施（可以適當?shù)目浯螅?、訪問權限以及所采取的保護策略（這也可適當夸大）。如可以說明將對用戶所采用的IP地址進行合法性驗證等等。以起到應有的警示作用。

三、為交換機配置一把安全的鑰匙

現(xiàn)在市場上的交換機，通常對口令采用的都是MD5加密方法。如以思科的多層交換機為例，通過使用enable secret命令，可以進入系統(tǒng)的特權模式，設置相關的口令。不過需要注意的是，此時雖然對口令進行了加密處理，但是這個加密機制并不是很復雜。通常情況下，可以采用字典攻擊來破解用戶設置的口令。那這是否說明不需要為交換機設置口令呢?其實這是一個誤解。

我們在設置交換機口令的時候，可以增加口令的復雜性，來提高破解的難度。這就好像銀行卡密碼一樣。其理論上也可以通過采用字典攻擊的方式來破解密碼。但是只要將密碼設置的復雜一些（如不要采用相同的數(shù)字、生日、電話號碼作為密碼），同時設置密碼策略（如密碼連續(xù)錯誤三次將鎖?。?，如此就可以提高這個密碼的安全性。

對于交換機來說，也是這個道理。雖然其只是采用了MD5加密機制，可以通過字典攻擊來破解。但是我們仍然可以通過加強密碼的復雜性，讓字典攻擊知難而退。這個道理，可能大家都懂得。在學校的網絡安全課程上，這也是一個基礎性的內容?？墒钦娴牡搅藢嶋H工作中，很多人都忽視了其的存在。筆者認為，可以在交換機的密碼中加入一些特殊的字符，如標點符號，或者大小寫、字母與數(shù)字混用等等，來為交換機配置比較堅固的口令。

四、CDP協(xié)議要盡量少用

CDP思科發(fā)現(xiàn)協(xié)議是思科網絡設備中一個比較重要的協(xié)議。其可以傳播網絡設備的詳細信息。如在多層交換網絡中，輔助Vlan和其他的專用解決方案需要CDP協(xié)議的支持。所以默認情況下，這個協(xié)議是開啟的。但是我們做安全的人員需要注意，這個協(xié)議會帶來比較大的安全隱患。我們需要在安全與實用性之間取得一個均衡。通常情況下，我們并不需要在所有的交換機等網絡設備上都啟用這個協(xié)議?；蛘哒f，這個協(xié)議要盡量的少用，要用在刀口上。

如CDP協(xié)議通常情況下只有管理員才用的著。所以安全人員可以在交換機的每個接口上都禁用CDP協(xié)議，而只為管理目的運行CDP協(xié)議。如通常情況下，需要在交換機的廉潔上和IP電話連接的接口上啟用CDP協(xié)議。

再如可以考慮只在受控制范圍內定設備之間運行CDP協(xié)議。這主要是因為CDP協(xié)議時一種鏈路級別的協(xié)議。通常情況下除非使用了第二層隧道機制，否則的話它是不會通過Wan進行端到端的傳播。這也就是說，對于Wan連接，CDP表中可能包含服務器提供的下一跳路由器或者交換機的信息，而不是企業(yè)控制之下的遠端路由器?？傊褪遣灰俨话财鸬倪B接（一般Internet連接被認為是不安全的）上運行CDP協(xié)議。

總之，CDP協(xié)議在某些方面確實很有用。但是從安全的角度講，不能夠對CDP協(xié)議進行濫用。而應該將其用在刀刃上，在必需的接口上啟用CDP協(xié)議。

五、注意SNMP是一把雙刃劍

SNMP協(xié)議通CDP協(xié)議一樣，其安全性也一直備受爭議。筆者認為，SNMP協(xié)議是一把雙刃劍。從管理角度講，很多網絡管理員離不開SNMP協(xié)議。但是從安全角度講，其確實存在著比較大的安全隱患。這主要是因為SNMP協(xié)議在網絡中通常是通過明文來傳輸?shù)?。即使是采用了SNMPV2C，其雖然采用了身份驗證技術。但是其身份驗證信息也是由簡單的文本字符組成。而這些字符則是通過明文來進行傳輸。這就給企業(yè)的網絡安全造成了隱患。

遇到這種情況時，安全管理人員應該采取適當?shù)拇胧﹣泶_保SNMP協(xié)議的安全。筆者常用的手段是升級SNMP協(xié)議，采用SNMPV3版本。在這個版本中，可以設置對于傳輸?shù)臄?shù)據(jù)都采用加密處理，從而確保通信流量的安全性。

其次，可以結合上面談到的訪問控制列表來加強SNMP協(xié)議的安全性。如在訪問控制列表中設置，交換機只轉發(fā)那些來自受信子網或者工作站(其實就訪問控制列表中定義允許的子網或者工作站的IP地址)的SNMP通信流量通過交換機。一般來說，只要做到這兩點，SNMP協(xié)議的安全是有所保障的。

除此之外，限制鏈路聚集連接、關閉不需要的服務、少用HTTP協(xié)議等等，都是企業(yè)網絡安全管理中的細節(jié)方面的內容。根據(jù)筆者的經驗，大部分企業(yè)只要把握住這些細節(jié)，并不需要購買額外的安全設別，就可以滿足企業(yè)在安全方面的需求。當然，像銀行等金融機構，對安全性級別要求特高，那在做好這些細節(jié)時，還需要購買專業(yè)的安全設備。

【編輯推薦】

1. 企業(yè)網絡安全聚焦服務技術兩大領域
2. 針對企業(yè)版網絡安全防范措施的講解