如何提高企业交换机端口安全

 　　企业网络安全涉及到方方面面。从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到企业的网路中。类似的情况都会给企业的网络安全带来不利的影响。下面就跟大家谈谈，交换机端口的常见安全威胁及应对措施。

一、常见安全威胁

　　在企业中，威胁交换机端口的行为比较多，总结一下有如下几种情况。

　　一是未经授权的用户主机随意连接到企业的网络中。如员工从自己家里拿来一台电脑，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。

　　二是未经批准采用集线器等设备。有些员工为了增加网络终端的数量，会在未经授权的情况下，将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。在企业网络日常管理中，这也是经常遇到的一种危险的行为。

　　在日常工作中，笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。这是他们网络安全管理中的一个盲区。他们对此有一个错误的认识。以为交换机锁在机房里，不会出大问题。或者说，只是将网络安全的重点放在防火墙等软件上，而忽略了交换机端口等硬件的安全。这是非常致命的。

二、主要的应对措施

　　从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，该如何来加强端口的安全性呢？如何才能够阻止非授权用户的主机联入到交换机的端口上呢？如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢？对此有如下几个建议。

　　一是从意识上要加以重视。笔者认为，首先各位网络管理员从意识上要对此加以重视。特别是要消除轻硬件、重软件这个错误的误区。在实际工作中，要建立一套合理的安全规划。如对于交换机的端口，要制定一套合理的安全策略，包括是否要对接入交换机端口的MAC地址与主机数量进行限制等等。安全策略制定完之后，再进行严格的配置。如此的话，就走完了交换机端口安全的第一步。根据交换机的工作原理，在系统中会有一个转发过滤数据库，会保存MAC地址等相关的信息。而通过交换机的端口安全策略，可以确保只有授权的用户才能够接入到交换机特定的端口中。为此只要网络管理员有这个心，其实完全有能力来保障交换机的端口安全。

　　二是从技术角度来提高端口的安全性。如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主机。如现在用户从家里拿来了一台笔记本电脑。将自己原先公司的网线接入到这台笔记本电脑中，会发现无法连入到企业的网络中。这时因为两台电脑的MAC地址不同而造成的。因为在交换机的这个端口中，有一个限制条件。只有特定的IP地址才可以通过其这个端口连入到网络中。如果主机变更了，还需要让其允许连接这个端口的话，那么就需要重新调整交换机的MAC地址设置。这种手段的好处就是可以控制，只有授权的主机才能够连接到交换机特定的端口中。未经授权的用户无法进行连接。而缺陷就是配置的工作量会比较大。在期初的时候，需要为每个交换机的端口进行配置。如果后续主机有调整或者网卡有更换的话(如最近打雷损坏的网卡特别多)，那么需要重新配置。这就会导致后续工作量的增加。如果需要进行这个MAC地址限制的话，可以通过使用命令switchport port –security mac-address来进行配置。使用这个命令后，可以将单个MAC地址分配到交换机的每个端口中。正如上面所说的，要执行这个限制的话，工作量会比较大。

标签分类： 企业安全