一、未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口

有些網(wǎng)絡(luò)管理員沒有在交換機(jī)的端口上采取任何的保護(hù)措施，這將導(dǎo)致未經(jīng)授權(quán)的主及能夠自由的介入到交換機(jī)的端口上(通過企業(yè)的預(yù)先設(shè)置的網(wǎng)絡(luò)端口)。這可能會給企業(yè)的網(wǎng)絡(luò)帶來比較大的安全隱患。

如員工自己有筆記本電腦。在未經(jīng)網(wǎng)絡(luò)管理員允許的情況下，就私自拿到公司，然后連入到公司的網(wǎng)絡(luò)。這就比較危險。如企業(yè)內(nèi)部的IP地址往往有一個比較嚴(yán)格的規(guī)劃，而且IP地址像人的身份證號碼一樣，必須保持唯一?，F(xiàn)在員工將自己的私人電腦接入到企業(yè)的網(wǎng)絡(luò)，就可能導(dǎo)致IP地址沖突，從而影響其它主機(jī)的正常上網(wǎng)。如員工自己的電腦采用的是固定IP地址，此時如果連入到企業(yè)網(wǎng)絡(luò)的話，就很可能會造成IP地址的沖突。

再如企業(yè)往往會在內(nèi)網(wǎng)與外網(wǎng)的中間部署有防火墻，用來防止互聯(lián)網(wǎng)上的病毒進(jìn)入到企業(yè)內(nèi)部。現(xiàn)在的問題是，員工的個人電腦直接從同企業(yè)內(nèi)部的接口連入到企業(yè)的網(wǎng)絡(luò)。此時就相當(dāng)于越過了防火墻的檢查。如果員工的電腦有病毒的話，那么就會影響到企業(yè)網(wǎng)絡(luò)的運行。嚴(yán)重的話，還可能會導(dǎo)致企業(yè)整個內(nèi)部網(wǎng)絡(luò)的癱瘓。

可見，未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口，會存在比較大的安全隱患。其實在交換機(jī)的操作系統(tǒng)上，有現(xiàn)成的預(yù)防措施來消除這種安全隱患。如可以通過使用“基于主機(jī)MAC地址允許流量”機(jī)制，來指定只有特定MAC地址的主機(jī)才能夠連接到企業(yè)的交換機(jī)上。如此的話，就可以將未經(jīng)授權(quán)的主及排除在外。

通常情況下，單個交換機(jī)端口能夠允許1個或者1個以上到某個特定數(shù)目的MAC地址。簡單的說，在交換機(jī)的端口上會有一個配置列表，上面列舉了幾個允許接入交換機(jī)的MAC地址。只有在這個名單中的主機(jī)才能夠連接到這個端口中。如果希望啟用這個特性的話，可以通過如下命令來實現(xiàn)：Set Port Security MAC地址。在使用這個命令時，可以加入多個IP地址。如企業(yè)的規(guī)模比較小，網(wǎng)絡(luò)管理員在組建網(wǎng)絡(luò)時將一個交換機(jī)的端口對應(yīng)一個部門。而一個部門的主機(jī)數(shù)目可能有10個。此時就需要在這個命令中將10個MAC地址都加上。如此的話，就只有這十臺主機(jī)才能夠連接到這個交換機(jī)端口中。

不過需要注意的是，不同品牌或者同一品牌不同規(guī)格的交換機(jī)，對可以支持的MAC地址數(shù)往往有所限制。如果需要讓交換機(jī)的端口支持多個MAC地址的話，就不能過超過這個最大數(shù)量的限制。

二、違反規(guī)則時該如何處理？

當(dāng)設(shè)置了如上的預(yù)防措施之后，如果員工還是將自己的電腦拿到企業(yè)來，在未經(jīng)授權(quán)的情況下連入到企業(yè)的網(wǎng)絡(luò)。此時交換機(jī)會有什么反應(yīng)呢？通常情況下，交換機(jī)端口如果檢測到有連接到其接口的主機(jī)MAC地址不在自己的名單中的話，其會做出三種行為。

第一種行為是關(guān)閉接口。即到檢測到有未經(jīng)授權(quán)的主機(jī)連接到其接口上，交換機(jī)的操作系統(tǒng)會馬上將這個接口關(guān)閉掉。如此的話，連接在這個接口上的所有主機(jī)都將無法訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)。如上面舉的例子。一個接口可能對應(yīng)一個部門。此時就可能因為一個員工的行為而影響到整個部門的網(wǎng)絡(luò)。這種安全措施就比較“極端”，其根其他行為相比，最大的一個好處就是能夠及時發(fā)現(xiàn)員工的這種非法行為。

第二種行為是限制。在這種情況下，當(dāng)檢測到有未經(jīng)授權(quán)的主機(jī)之后，其只會拒絕這臺主機(jī)的連接，而對于其他合法主機(jī)的連接不會有影響。這種措施有好處也有壞處。好處就是不會影響到其它合法用戶的連接。而壞處就是網(wǎng)絡(luò)管理員很難發(fā)現(xiàn)員工是否有這種未經(jīng)授權(quán)的行為。因為即使有這種情況下，也不會影響其他正常用戶的訪問。所以員工不會自己舉報這種行為。在安全級別比較高的企業(yè)中，這個措施仍然存在著一定的安全風(fēng)險。不過其靈活性比較高。

第三種行為是保護(hù)。這主要是針對網(wǎng)絡(luò)管理員規(guī)定的最大MAC地址連接數(shù)與設(shè)置的MAC地址不同而導(dǎo)致的。如網(wǎng)絡(luò)管理員出于性能的考慮，規(guī)定交換機(jī)的接口最多只能夠連接10個MAC地址。而在設(shè)置允許主機(jī)的MAC地址的時候，卻指定了13個MAC地址。此時如果有第11臺主機(jī)連接到這個交換機(jī)接口上(其MAC地址是合法的)，在這種情況下，交換機(jī)該如何處理呢？此時就會觸發(fā)交換機(jī)的保護(hù)機(jī)制。即會拒絕新的主機(jī)連接到這個交換機(jī)的接口上。但是不會影響到交換機(jī)現(xiàn)有的用戶連接。

以上三種行為在具體的使用時，網(wǎng)絡(luò)管理員需要根據(jù)企業(yè)的實際情況來進(jìn)行選擇。其建議是，“關(guān)閉接口”這種行為需要謹(jǐn)慎使用。特別是一個交換機(jī)接口對應(yīng)多個合法用戶的時候，更加需要三思而后行。因為這會連累其他合法的用戶無法正常使用企業(yè)的網(wǎng)絡(luò)。

三、技術(shù)限制重要，培訓(xùn)更重要

在考慮內(nèi)網(wǎng)交換機(jī)安全時，技術(shù)上的限制固然重要，但一定的安全知識培訓(xùn)也必不可少。如企業(yè)在實際工作中，往往會對員工的網(wǎng)絡(luò)安全知識進(jìn)行定期的培訓(xùn)。如告訴員工，企業(yè)的個人電腦不能夠私自接入到企業(yè)的網(wǎng)絡(luò)中。如果一定要接入的話，就需要通知網(wǎng)絡(luò)管理員。并且只能夠在特定的位置(相當(dāng)于是交換機(jī)的接口)接入網(wǎng)絡(luò)。只有不斷的培訓(xùn)，才能夠加強(qiáng)員工的安全意識。否則的話，光靠網(wǎng)絡(luò)管理員一個人的努力，很難保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

四、需要開發(fā)某個特定的交換機(jī)接口

在實際工作中，還需要注意一個問題，不能夠?qū)λ械慕粨Q機(jī)接口都做如上的限制。如企業(yè)可能不時的會有客戶或者供應(yīng)商到企業(yè)來拜訪。此時他們需要使用他們自己的筆記本電腦上網(wǎng)。如果企業(yè)允許這種情況的話，那么就需要在便利性與安全性上取得一個均衡。

其做法是，在固定的位置開發(fā)交換機(jī)的端口限制。如企業(yè)有一個會客室。將這個會客室的網(wǎng)絡(luò)接口連接到一個特定的交換機(jī)接口。而這個交換機(jī)接口沒有采取上面的設(shè)置。即所有的主機(jī)都可以通過這個交換機(jī)連接到企業(yè)的網(wǎng)路中。不過為了安全起見，對其可以訪問的資源進(jìn)行了限制。如需要訪問企業(yè)的文件服務(wù)器時，需要憑用戶名與密碼才可以訪問。而對于其他接口，則沒有這方面的限制。而訪問一些公共資源，包括通過企業(yè)的內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)、或者訪問企業(yè)的網(wǎng)絡(luò)打印機(jī)時，可以自由訪問。這種安全措施，就可以實現(xiàn)在便利性與安全性上的均衡。

【編輯推薦】

1. 社交網(wǎng)絡(luò)安全指南：己所不欲勿示于人
2. 合理分配優(yōu)先級別 如何鑒定安全風(fēng)險？
3. 社交網(wǎng)絡(luò)安全指南：己所不欲勿示于人
4. Intel：CIO們在安全問題上的眼界應(yīng)該更廣
5. 網(wǎng)絡(luò)安全形勢嚴(yán)峻　黑客攻破SSL加密