从细节抓起 保障企业多层网络交换机安全

笔者受邀对一些企业的网络安全进行评估时，发现一种奇怪的现象。不少网络管理员在安全设计时，喜欢采用高端的设备与技术，可是却忽视了一些细节与基础性的内容。如采用了企业级的防火墙，可是却没有重视交换机自己的安全。为此笔者借助这个平台，向各位读者建议，企业网络安全应该从细节抓起。

1、经过访问控制列表来限制用户的访问

经过使用访问控制列表来限制管理访问和远程接入，就能够有效防止对管理接口的非受权访问和Dos拒绝服务***。其实这个配置是很基础的内容。如能够在企业边缘路由器上(链接到互联网的路由器)，进行访问控制列表配置，拒绝从互联网接口接受Ping命令。

另外若是企业有虚拟局域网设置，那么这个访问控制列表还能够跟其结合使用，进一步提升虚拟局域网的安全性。如能够设置只有网络管理员才能够访问某个特定的虚拟局域网等等。再如能够限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。笔者认为，访问控制列表是一个很好的安全工具。惋惜的是，很多网络管理员可能认为其太简单了，而忽视了这个技术的存在。殊不知道，简单的每每是比较实用的。故笔者建议各位读者，仍是须要好好研究一下访问控制列表。在购买安全设备以前，想一想可否经过访问控制列表来实现安全方面的需求。尽可能不要购买第三方的安全产品，以下降网络的复杂性。

2、配置系统警告标语，以起到警示的做用

咱们到超市或者书店的时候，每每会看到“市场已安装涉嫌头、请各位自重”的标语。这种标语会在无形中给小偷一种心理的警示。其实在企业网络交换机安全规划中，也能够设计一个警告标语，让***者知难而退。

笔者认为，不管是出于安全或者管理的目的，配置一条在用户登陆前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户链接到交换机、在输入用户名与密码以前，向用户提供一个警告标语。标语能够是这台设备的用途，也能够是警告用户不要进行非受权访问的警示语。就好像超市中“安装摄像头”的警示语同样，对非法访问的用户起到一个警示的做用。在用户正式登录以前，网络管理员可让交换机明确的指出交换机的归属、使用方法、安全措施(能够适当的夸大)、访问权限以及所采起的保护策略(这也可适当夸大)。如能够说明将对用户所采用的IP地址进行合法性验证等等。以起到应有的警示做用。

3、为交换机配置一把安全的钥匙

如今市场上的交换机，一般对口令采用的都是MD5加密方法。如以思科的多层交换机为例，经过使用enable secret命令，能够进入系统的特权模式，设置相关的口令。不过须要注意的是，此时虽然对口令进行了加密处理，可是这个加密机制并非很复杂。一般状况下，能够采用字典***来破解用户设置的口令。那这是否说明不须要为交换机设置口令呢?其实这是一个误解。

咱们在设置交换机口令的时候，能够增长口令的复杂性，来提升破解的难度。这就好像银行卡密码同样。其理论上也能够经过采用字典***的方式来破解密码。可是只要将密码设置的复杂一些(如不要采用相同的数字、生日、电话号码做为密码)，同时设置密码策略(如密码连续错误三次将锁住)，如此就能够提升这个密码的安全性。

对于交换机来讲，也是这个道理。虽然其只是采用了MD5加密机制，能够经过字典***来破解。可是咱们仍然能够经过增强密码的复杂性，让字典***知难而退。这个道理，可能你们都懂得。在学校的网络安全课程上，这也是一个基础性的内容。但是真的到了实际工做中，不少人都忽视了其的存在。笔者认为，能够在交换机的密码中加入一些特殊的字符，如标点符号，或者大小写、字母与数字混用等等，来为交换机配置比较坚固的口令。

4、CDP协议要尽可能少用

CDP思科发现协议是思科网络设备中一个比较重要的协议。其能够传播网络设备的详细信息。如在多层交换网络中，辅助Vlan和其余的专用解决方案须要CDP协议的支持。因此默认状况下，这个协议是开启的。可是咱们作安全的人员须要注意，这个协议会带来比较大的安全隐患。咱们须要在安全与实用性之间取得一个均衡。一般状况下，咱们并不须要在全部的交换机等网络设备上都启用这个协议。或者说，这个协议要尽可能的少用，要用在刀口上。

如CDP协议一般状况下只有管理员才用的着。因此安全人员能够在交换机的每一个接口上都禁用CDP协议，而只为管理目的运行CDP协议。如一般状况下，须要在交换机的廉洁上和IP电话链接的接口上启用CDP协议。

再如能够考虑只在受控制范围内定设备之间运行CDP协议。这主要是由于CDP协议时一种链路级别的协议。一般状况下除非使用了第二层隧道机制，不然的话它是不会经过Wan进行端到端的传播。这也就是说，对于Wan链接，CDP表中可能包含服务器提供的下一跳路由器或者交换机的信息，而不是企业控制之下的远端路由器。总之就是不要再不安起的链接(通常Internet链接被认为是不安全的)上运行CDP协议。

总之，CDP协议在某些方面确实颇有用。可是从安全的角度讲，不可以对CDP协议进行滥用。而应该将其用在刀刃上，在必需的接口上启用CDP协议。

5、注意SNMP是一把双刃剑

SNMP协议通CDP协议同样，其安全性也一直备受争议。笔者认为，SNMP协议是一把双刃剑。从管理角度讲，不少网络管理员离不开SNMP协议。可是从安全角度讲，其确实存在着比较大的安全隐患。这主要是由于SNMP协议在网络中一般是经过明文来传输的。即便是采用了SNMPV2C，其虽然采用了身份验证技术。可是其身份验证信息也是由简单的文本字符组成。而这些字符则是经过明文来进行传输。这就给企业的网络安全形成了隐患。

遇到这种状况时，安全管理人员应该采起适当的措施来确保SNMP协议的安全。笔者经常使用的手段是升级SNMP协议，采用SNMPV3版本。在这个版本中，能够设置对于传输的数据都采用加密处理，从而确保通讯流量的安全性。

其次，能够结合上面谈到的访问控制列表来增强SNMP协议的安全性。如在访问控制列表中设置，交换机只转发那些来自受信子网或者工做站(其实就访问控制列表中定义容许的子网或者工做站的IP地址)的SNMP通讯流量经过交换机。通常来讲，只要作到这两点，SNMP协议的安全是有所保障的。

除此以外，限制链路汇集链接、关闭不须要的服务、少用HTTP协议等等，都是企业网络安全管理中的细节方面的内容。根据笔者的经验，大部分企业只要把握住这些细节，并不须要购买额外的安全设别，就能够知足企业在安全方面的需求。固然，像银行等金融机构，对安全性级别要求特高，那在作好这些细节时，还须要购买专业的安全设备。