交換機(jī)是一種基于硬件專用集成電路，進(jìn)行物理地址（mac）識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。其工作原理是當(dāng)交換機(jī)從某端口收到數(shù)據(jù)包，它先讀取包頭中的源mac地址，學(xué)習(xí)知道源mac地址的機(jī)器是連在哪個端口上，接著讀取目的mac地址，查找mac地址表及其對應(yīng)端口，如查到則直接把數(shù)據(jù)包復(fù)制到該端口，如查找不到則把這個數(shù)據(jù)包進(jìn)行廣播，當(dāng)目的機(jī)器回應(yīng)時，交換機(jī)則記錄、更新mac地址表。交換機(jī)的優(yōu)點在于它基于硬件，可同時提供多個通道，比采用共享式的集線器提供更多帶寬，在時間響應(yīng)方面則比路由器提供更寬的帶寬及交換速度，而且價格更低。

專網(wǎng)交換機(jī)管理現(xiàn)狀

1.專網(wǎng)網(wǎng)絡(luò)建設(shè)情況

單位進(jìn)行信息化過程中，建設(shè)了自己的辦公專網(wǎng)，隨著投入的深入，越來越多的網(wǎng)絡(luò)交換機(jī)在專網(wǎng)中得到了應(yīng)用。網(wǎng)絡(luò)設(shè)備增多應(yīng)用的同時給網(wǎng)絡(luò)管理人員帶來巨大的維護(hù)壓力。專網(wǎng)交換機(jī)的易管理性與安全性成反比，因傳輸信息密級不同，所采用的安全策略也有所不同，傳輸信息密級高的，采用的安全策略相對復(fù)雜，傳輸密級較低的，應(yīng)用的安全策略也不需那么多，這樣才能實現(xiàn)管理維護(hù)、開銷與安全的平衡。

2.專網(wǎng)交換機(jī)管理面臨的安全分析

目前，專網(wǎng)交換機(jī)管理面臨的安全問題主要體現(xiàn)在物理管理安全、設(shè)備管理維護(hù)安全和用戶接入安全三方面。

從物理管理安全看:近些年專網(wǎng)網(wǎng)系建設(shè)較集中且網(wǎng)系逐漸增多，設(shè)備架設(shè)位置地點松散，主要體現(xiàn)在網(wǎng)絡(luò)設(shè)備管理巡視，機(jī)房環(huán)境、設(shè)備狀態(tài)監(jiān)管力度待加強(qiáng)，建設(shè)中也缺乏相應(yīng)監(jiān)管配套，后期可實施規(guī)章制度建設(shè)跟不上等等。

從設(shè)備管理維護(hù)安全看:專網(wǎng)系統(tǒng)、設(shè)備的網(wǎng)絡(luò)管理員、審計員職責(zé)區(qū)分不夠，多為一人，而且多個管理員統(tǒng)一用一個賬號進(jìn)行系統(tǒng)配置、管理，缺乏管理審計，系統(tǒng)設(shè)備管理能力、方法、手段簡單，缺乏專業(yè)性，安全策略實施較少。

從用戶接入看:對網(wǎng)絡(luò)用戶接入控制安全措施較少，有用戶對終端地址配置隨意改動現(xiàn)象，缺乏用戶接入控制策略。

交換機(jī)管理安全策略

下面主要從專網(wǎng)交換機(jī)的設(shè)備管理維護(hù)安全、用戶接入安全及安全防攻擊等方面進(jìn)行安全策略部署實施方法進(jìn)行分析、闡述，不同廠商設(shè)備可能管理維護(hù)命令不同，但功能是相通的。

1.設(shè)備管理維護(hù)安全

(1)嚴(yán)格管理口令密碼強(qiáng)度

密碼位數(shù)建議至少8位；不要使用單純的數(shù)字、字母尤其是出生年月日期、英文單詞等弱口令；建議設(shè)置大小寫字母、數(shù)字、符號混合使用的中強(qiáng)密碼，如:Admin007、Admin#007，如需加強(qiáng)，可使用轉(zhuǎn)盤代密，并定期更新。

（2）嚴(yán)格設(shè)備管理權(quán)限

第一、限制遠(yuǎn)程管理源地址，如下配置實現(xiàn)對遠(yuǎn)程登錄的管理終端地址進(jìn)行限制:

第二、限制snmp協(xié)議管理源地址，如下配置實現(xiàn)對網(wǎng)絡(luò)管理服務(wù)器地址進(jìn)行限制:

第三、設(shè)置管理會話過期時間限制，如下配置實現(xiàn)對管理連接會話過期時間進(jìn)行限制:

第四、建立管理信息日志服務(wù)，如下配置實現(xiàn)把交換機(jī)狀態(tài)日志傳送到日志服務(wù)器:

（3）使用安全管理協(xié)議

第一、使用加密管理協(xié)議管理設(shè)備，禁用telnet協(xié)議，使用ssh協(xié)議，如下配置實現(xiàn)禁用telnet協(xié)議，使用ssh協(xié)議管理設(shè)備:

第二、采用簡單網(wǎng)管協(xié)議snmp v3版本進(jìn)行設(shè)備管理，如下配置實現(xiàn)利用snmp v3，進(jìn)行設(shè)備管理:

第三、使用配置口令密文服務(wù)，實現(xiàn) password，secret、vty、console口令的密文，如下配置使交換機(jī)口令簡單加密:

（4）建立虛擬局域網(wǎng)機(jī)制

第一、利用交換機(jī)虛擬局域網(wǎng)技術(shù)（vlan）實現(xiàn)靈活、更加規(guī)范的用戶隔離域，減小網(wǎng)絡(luò)管理開銷，控制網(wǎng)絡(luò)廣播范圍。

第二、建立虛擬局域網(wǎng)干道協(xié)議（vtp）機(jī)制，之間采用密鑰通信機(jī)制。于核心交換機(jī)設(shè)置成server，其他接入交換機(jī)設(shè)置成client，之間實施密鑰通信。

第三、采用生成樹協(xié)議（stp）在網(wǎng)絡(luò)中建立樹形拓?fù)洌W(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路形成廣播風(fēng)暴。

2.用戶接入安全

第一、利用IEEE802.1x安全認(rèn)證手段，進(jìn)行用戶權(quán)限認(rèn)證:

第二、限制不同用戶使用命令權(quán)限:

第三、對用戶端口進(jìn)行安全設(shè)置。

設(shè)置安全端口，實施ip地址和物理地址綁定，借助安全端口，可以只容許指定的MAC地址或指定數(shù)量的MAC地址訪問:

第四，關(guān)閉未分配、不必要的物理端口:

3.安全防攻擊策略

（1）關(guān)閉不必要服務(wù)

第一、如無需要，禁止基于udp/tcp協(xié)議的小服務(wù):

第二、如無需要，配置禁止finger、ntp、cdp協(xié)議 :

（2）配置嚴(yán)謹(jǐn)?shù)脑L問控制策略

第一、防外部地址ip欺騙

阻止源地址為私有地址的所有通信流。

阻止源地址為回環(huán)地址的所有通信流。

第二、阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流，如在對外部接口的向內(nèi)方數(shù)據(jù)流用101過濾。

阻止源地址為私有地址的所有通信流。

阻止源地址為回環(huán)地址的所有通信流。

阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流。

第三、防外部非法探測

阻止用ping探測網(wǎng)絡(luò)，阻止用traceroute探測網(wǎng)絡(luò)，如在外部接口的向外方向使用102過濾。在這里主要是阻止答復(fù)輸出，不阻止探測進(jìn)入。

第四、保護(hù)不受攻擊

阻止對關(guān)鍵端口的非法訪問

第五、對內(nèi)網(wǎng)的重要服務(wù)器進(jìn)行訪問限制

允許外部用戶到Web服務(wù)器的向內(nèi)連接請求。

允許Web服務(wù)器到外部用戶的向外答復(fù)。

允許外部SMTP服務(wù)器向內(nèi)部郵件服務(wù)器的向內(nèi)連接請求。

允許內(nèi)部郵件服務(wù)器向外部SMTP服務(wù)器的向外答復(fù)。

允許內(nèi)部郵件服務(wù)器向外DNS查詢。

允許到內(nèi)部郵件服務(wù)器的向內(nèi)的DNS答復(fù)。

允許內(nèi)部主機(jī)的向外TCP連接。

允許對請求主機(jī)的向內(nèi)TCP答復(fù)。

總結(jié)

通過對交換機(jī)管理面臨的安全分析與具體的安全策略部署分析，筆者認(rèn)為在專網(wǎng)中對交換機(jī)實施安全策略，對整個網(wǎng)絡(luò)的健壯性和安全性的提高，相對于交換機(jī)有限的開銷、較繁雜的用戶接入管理安全相比是非常值得的，特別是在傳輸信息密級較高的專網(wǎng)，實施之后足以避免不必要的因病毒爆發(fā)或網(wǎng)絡(luò)入侵帶來的損失。