內網交換機設置的好壞影響著企業信息的安全�����,因此�����,本文較為詳細地探討了內網交換機的常見故障及預防措施����。
1����、未經授權的主機接入到交換機的端口
有些網絡管理員沒有在交換機的端口上采取任何的保護措施,這將導致未經授權的主及能夠自由的介入到交換機的端口上(通過企業的預先設置的網絡端口)�。這可能會給企業的網絡帶來比較大的安全隱患����。
如員工自己有筆記本電腦���。在未經網絡管理員允許的情況下�����,就私自拿到公司��,然后連入到公司的網絡。這就比較危險����。如企業內部的IP地址往往有一個比較嚴格的規劃�,而且IP地址像人的身份證號碼一樣�,必須保持唯一。現在員工將自己的私人電腦接入到企業的網絡���,就可能導致IP地址沖突,從而影響其它主機的正常上網���。如員工自己的電腦采用的是固定IP地址,此時如果連入到企業網絡的話�����,就很可能會造成IP地址的沖突��。
再如企業往往會在內網與外網的中間部署有防火墻����,用來防止互聯網上的病毒進入到企業內部?���,F在的問題是,員工的個人電腦直接從同企業內部的接口連入到企業的網絡����。此時就相當于越過了防火墻的檢查。如果員工的電腦有病毒的話�����,那么就會影響到企業網絡的運行���。嚴重的話�����,還可能會導致企業整個內部網絡的癱瘓����。
可見�����,未經授權的主機接入到交換機的端口��,會存在比較大的安全隱患。其實在交換機的操作系統上,有現成的預防措施來消除這種安全隱患。如可以通過使用“基于主機MAC地址允許流量”機制,來指定只有特定MAC地址的主機才能夠連接到企業的交換機上��。如此的話�,就可以將未經授權的主及排除在外。
通常情況下,單個交換機端口能夠允許1個或者1個以上到某個特定數目的MAC地址����。簡單的說�����,在交換機的端口上會有一個配置列表,上面列舉了幾個允許接入交換機的MAC地址����。只有在這個名單中的主機才能夠連接到這個端口中。如果希望啟用這個特性的話,可以通過如下命令來實現:Set Port Security MAC地址。在使用這個命令時,可以加入多個IP地址���。如企業的規模比較小,網絡管理員在組建網絡時將一個交換機的端口對應一個部門。而一個部門的主機數目可能有10個���。此時就需要在這個命令中將10個MAC地址都加上。如此的話,就只有這十臺主機才能夠連接到這個交換機端口中。
不過需要注意的是�,不同品牌或者同一品牌不同規格的交換機�����,對可以支持的MAC地址數往往有所限制��。如果需要讓交換機的端口支持多個MAC地址的話,就不能過超過這個最大數量的限制。
2�、對于違反規則的處理
當設置了如上的預防措施之后��,如果員工還是將自己的電腦拿到企業來,在未經授權的情況下連入到企業的網絡。此時交換機會有什么反應呢�����?通常情況下�����,交換機端口如果檢測到有連接到其接口的主機MAC地址不在自己的名單中的話��,其會做出三種行為。
(1)關閉接口�����。即到檢測到有未經授權的主機連接到其接口上�,交換機的操作系統會馬上將這個接口關閉掉。如此的話��,連接在這個接口上的所有主機都將無法訪問企業的內部網絡���。如上面舉的例子�。一個接口可能對應一個部門����。此時就可能因為一個員工的行為而影響到整個部門的網絡。這種安全措施就比較“極端”�,其根其他行為相比�����,最大的一個好處就是能夠及時發現員工的這種非法行為。
(2)限制����。在這種情況下��,當檢測到有未經授權的主機之后,其只會拒絕這臺主機的連接��,而對于其他合法主機的連接不會有影響���。這種措施有好處也有壞處��。好處就是不會影響到其它合法用戶的連接���。而壞處就是網絡管理員很難發現員工是否有這種未經授權的行為�����。因為即使有這種情況下,也不會影響其他正常用戶的訪問��。所以員工不會自己舉報這種行為����。在安全級別比較高的企業中����,這個措施仍然存在著一定的安全風險。不過其靈活性比較高�����。
(3)保護�����。這主要是針對網絡管理員規定的最大MAC地址連接數與設置的MAC地址不同而導致的�。如網絡管理員出于性能的考慮����,規定交換機的接口最多只能夠連接10個MAC地址����。而在設置允許主機的MAC地址的時候����,卻指定了13個MAC地址。此時如果有第11臺主機連接到這個交換機接口上(其MAC地址是合法的)�����,在這種情況下�����,交換機該如何處理呢?此時就會觸發交換機的保護機制���。即會拒絕新的主機連接到這個交換機的接口上。但是不會影響到交換機現有的用戶連接�����。
以上三種行為在具體的使用時�,網絡管理員需要根據企業的實際情況來進行選擇。其建議是,“關閉接口”這種行為需要謹慎使用����。特別是一個交換機接口對應多個合法用戶的時候���,更加需要三思而后行�����。因為這會連累其他合法的用戶無法正常使用企業的網絡。
3���、技術限制重要,培訓更重要
在考慮內網交換機安全時���,技術上的限制固然重要,但一定的安全知識培訓也必不可少���。如企業在實際工作中,往往會對員工的網絡安全知識進行定期的培訓�����。如告訴員工���,企業的個人電腦不能夠私自接入到企業的網絡中�����。如果一定要接入的話,就需要通知網絡管理員��。并且只能夠在特定的位置(相當于是交換機的接口)接入網絡�����。只有不斷的培訓�,才能夠加強員工的安全意識���。否則的話���,光靠網絡管理員一個人的努力�,很難保障企業內部網絡的安全。
4、需要開發某個特定的交換機接口
在實際工作中���,還需要注意一個問題,不能夠對所有的交換機接口都做如上的限制。如企業可能不時的會有客戶或者供應商到企業來拜訪��。此時他們需要使用他們自己的筆記本電腦上網���。如果企業允許這種情況的話,那么就需要在便利性與安全性上取得一個均衡。
其做法是����,在固定的位置開發交換機的端口限制����。如企業有一個會客室�。將這個會客室的網絡接口連接到一個特定的交換機接口。而這個交換機接口沒有采取上面的設置。即所有的主機都可以通過這個交換機連接到企業的網路中���。不過為了安全起見����,對其可以訪問的資源進行了限制。如需要訪問企業的文件服務器時�����,需要憑用戶名與密碼才可以訪問��。而對于其他接口���,則沒有這方面的限制����。而訪問一些公共資源��,包括通過企業的內部網絡訪問互聯網�����、或者訪問企業的網絡打印機時,可以自由訪問����。這種安全措施��,就可以實現在便利性與安全性上的均衡。
