從細節抓起 保障企業多層網絡交換機安全

筆者受邀對一些企業的網絡安全進行評估時，發現一種奇怪的現象。不少網絡管理員在安全設計時，喜歡採用高端的設備與技術，可是卻忽視了一些細節與基礎性的內容。如採用了企業級的防火牆，可是卻沒有重視交換機自己的安全。爲此筆者藉助這個平臺，向各位讀者建議，企業網絡安全應該從細節抓起。

1、經過訪問控制列表來限制用戶的訪問

經過使用訪問控制列表來限制管理訪問和遠程接入，就能夠有效防止對管理接口的非受權訪問和Dos拒絕服務***。其實這個配置是很基礎的內容。如能夠在企業邊緣路由器上(鏈接到互聯網的路由器)，進行訪問控制列表配置，拒絕從互聯網接口接受Ping命令。

另外若是企業有虛擬局域網設置，那麼這個訪問控制列表還能夠跟其結合使用，進一步提升虛擬局域網的安全性。如能夠設置只有網絡管理員才能夠訪問某個特定的虛擬局域網等等。再如能夠限制用戶在上班時間訪問娛樂網站、網上炒股、網絡遊戲等等可能會危害企業網絡安全的行爲。筆者認爲，訪問控制列表是一個很好的安全工具。惋惜的是，很多網絡管理員可能認爲其太簡單了，而忽視了這個技術的存在。殊不知道，簡單的每每是比較實用的。故筆者建議各位讀者，仍是須要好好研究一下訪問控制列表。在購買安全設備以前，想一想可否經過訪問控制列表來實現安全方面的需求。儘可能不要購買第三方的安全產品，以下降網絡的複雜性。

2、配置系統警告標語，以起到警示的做用

咱們到超市或者書店的時候，每每會看到「市場已安裝涉嫌頭、請各位自重」的標語。這種標語會在無形中給小偷一種心理的警示。其實在企業網絡交換機安全規劃中，也能夠設計一個警告標語，讓***者知難而退。

筆者認爲，不管是出於安全或者管理的目的，配置一條在用戶登陸前線時的系統警告標語是一種方便、有效的實施安全和通用策略的方式。即在用戶鏈接到交換機、在輸入用戶名與密碼以前，向用戶提供一個警告標語。標語能夠是這臺設備的用途，也能夠是警告用戶不要進行非受權訪問的警示語。就好像超市中「安裝攝像頭」的警示語同樣，對非法訪問的用戶起到一個警示的做用。在用戶正式登錄以前，網絡管理員可讓交換機明確的指出交換機的歸屬、使用方法、安全措施(能夠適當的誇大)、訪問權限以及所採起的保護策略(這也可適當誇大)。如能夠說明將對用戶所採用的IP地址進行合法性驗證等等。以起到應有的警示做用。

3、爲交換機配置一把安全的鑰匙

如今市場上的交換機，一般對口令採用的都是MD5加密方法。如以思科的多層交換機爲例，經過使用enable secret命令，能夠進入系統的特權模式，設置相關的口令。不過須要注意的是，此時雖然對口令進行了加密處理，可是這個加密機制並非很複雜。一般狀況下，能夠採用字典***來破解用戶設置的口令。那這是否說明不須要爲交換機設置口令呢?其實這是一個誤解。

咱們在設置交換機口令的時候，能夠增長口令的複雜性，來提升破解的難度。這就好像銀行卡密碼同樣。其理論上也能夠經過採用字典***的方式來破解密碼。可是隻要將密碼設置的複雜一些(如不要採用相同的數字、生日、電話號碼做爲密碼)，同時設置密碼策略(如密碼連續錯誤三次將鎖住)，如此就能夠提升這個密碼的安全性。

對於交換機來講，也是這個道理。雖然其只是採用了MD5加密機制，能夠經過字典***來破解。可是咱們仍然能夠經過增強密碼的複雜性，讓字典***知難而退。這個道理，可能你們都懂得。在學校的網絡安全課程上，這也是一個基礎性的內容。但是真的到了實際工做中，不少人都忽視了其的存在。筆者認爲，能夠在交換機的密碼中加入一些特殊的字符，如標點符號，或者大小寫、字母與數字混用等等，來爲交換機配置比較堅固的口令。

4、CDP協議要儘可能少用

CDP思科發現協議是思科網絡設備中一個比較重要的協議。其能夠傳播網絡設備的詳細信息。如在多層交換網絡中，輔助Vlan和其餘的專用解決方案須要CDP協議的支持。因此默認狀況下，這個協議是開啓的。可是咱們作安全的人員須要注意，這個協議會帶來比較大的安全隱患。咱們須要在安全與實用性之間取得一個均衡。一般狀況下，咱們並不須要在全部的交換機等網絡設備上都啓用這個協議。或者說，這個協議要儘可能的少用，要用在刀口上。

如CDP協議一般狀況下只有管理員才用的着。因此安全人員能夠在交換機的每一個接口上都禁用CDP協議，而只爲管理目的運行CDP協議。如一般狀況下，須要在交換機的廉潔上和IP電話鏈接的接口上啓用CDP協議。

再如能夠考慮只在受控制範圍內定設備之間運行CDP協議。這主要是由於CDP協議時一種鏈路級別的協議。一般狀況下除非使用了第二層隧道機制，不然的話它是不會經過Wan進行端到端的傳播。這也就是說，對於Wan鏈接，CDP表中可能包含服務器提供的下一跳路由器或者交換機的信息，而不是企業控制之下的遠端路由器。總之就是不要再不安起的鏈接(通常Internet鏈接被認爲是不安全的)上運行CDP協議。

總之，CDP協議在某些方面確實頗有用。可是從安全的角度講，不可以對CDP協議進行濫用。而應該將其用在刀刃上，在必需的接口上啓用CDP協議。

5、注意SNMP是一把雙刃劍

SNMP協議通CDP協議同樣，其安全性也一直備受爭議。筆者認爲，SNMP協議是一把雙刃劍。從管理角度講，不少網絡管理員離不開SNMP協議。可是從安全角度講，其確實存在着比較大的安全隱患。這主要是由於SNMP協議在網絡中一般是經過明文來傳輸的。即便是採用了SNMPV2C，其雖然採用了身份驗證技術。可是其身份驗證信息也是由簡單的文本字符組成。而這些字符則是經過明文來進行傳輸。這就給企業的網絡安全形成了隱患。

遇到這種狀況時，安全管理人員應該採起適當的措施來確保SNMP協議的安全。筆者經常使用的手段是升級SNMP協議，採用SNMPV3版本。在這個版本中，能夠設置對於傳輸的數據都採用加密處理，從而確保通訊流量的安全性。

其次，能夠結合上面談到的訪問控制列表來增強SNMP協議的安全性。如在訪問控制列表中設置，交換機只轉發那些來自受信子網或者工做站(其實就訪問控制列表中定義容許的子網或者工做站的IP地址)的SNMP通訊流量經過交換機。通常來講，只要作到這兩點，SNMP協議的安全是有所保障的。

除此以外，限制鏈路彙集鏈接、關閉不須要的服務、少用HTTP協議等等，都是企業網絡安全管理中的細節方面的內容。根據筆者的經驗，大部分企業只要把握住這些細節，並不須要購買額外的安全設別，就能夠知足企業在安全方面的需求。固然，像銀行等金融機構，對安全性級別要求特高，那在作好這些細節時，還須要購買專業的安全設備。