企业网络安全【ān quán】🤺涉及到【shè jí dào】💗方方面【miàn】面【miàn】。从交换🐢机来说【jī lái shuō】，首选需要保证☕交换机【jiāo huàn jī】💏端口的🙉安全【ān quán】。在不少企业中，员工可以随意❎的使用🌻集线器等工具🥈将一个【jiāng yī gè】上网端口增至😪多个🎯，或者说使用自【shǐ yòng zì】己的笔记本电【jì běn diàn】🌒脑连接【nǎo lián jiē】到企业的网🏁路中【lù zhōng】。类似的情况都【qíng kuàng dōu】会给企业的网🏁络安全【ān quán】🤺带来不利的影响【xiǎng】。在这篇【zài zhè piān】文章中，笔者就跟大家【gēn dà jiā】谈谈🐞，交换机【jiāo huàn jī】💏端口的🙉常见安全【ān quán】威胁及应对措施。

　　一、常见安全威胁

　　在企业🤝中❎，威胁交【wēi xié jiāo】换机端【huàn jī duān】口的行为比较🕌多，总结一【zǒng jié yī】下有如【xià yǒu rú】⛱下几种情况。

　　一是未【yī shì wèi】经授权的用户主机随【zhǔ jī suí】意连接【yì lián jiē】到企业🎓的网络🉑中【zhōng】😴。如员工【rú yuán gōng】🐤从自己【cóng zì jǐ】家里拿📘来一台电脑📁，可以在【kě yǐ zài】不经管理员同【lǐ yuán tóng】意的情况下【kuàng xià】，拔下某台主机【tái zhǔ jī】的网线，插在自己带来🎌的电脑🍱上。然后连入到企🔚业的网路中【lù zhōng】🐿。这会带来很大的安全隐患【yǐn huàn】。如员工【rú yuán gōng】🐤带来的电脑🍱可能本身就带有【yǒu】🏷病毒【bìng dú】。从而使【cóng ér shǐ】得病毒【bìng dú】通过企业内部🏹网络进🤶行传播。或者非🍭法复制企业内部🏹的资料【de zī liào】等等。

　　二是未经批准【jīng pī zhǔn】采用集【cǎi yòng jí】线器【qì】等🕐设备。有些员工为了增加网络终端的数量，会在未经授权的情况下🧗，将集线🔽器【qì】🌙、交换机【jiāo huàn jī】🛬等设备【děng shè bèi】🗃插入到办公室【bàn gōng shì】📁的网络接口上。如此的【rú cǐ de】话🤛，会导致🚾这个网络接口对应的【duì yīng de】交换机【jiāo huàn jī】🛬接口流【jiē kǒu liú】量增加👻，从而导【cóng ér dǎo】致网络性能的【xìng néng de】下🧗降【jiàng】。在企业【zài qǐ yè】🐜网络日😷常管理♑中🚽，这也是经常遇到的一种危险的行为【de háng wéi】。

　　在日常工作中【gōng zuò zhōng】🐳，笔者发现不少㊙网络管理员对🎮于交换【yú jiāo huàn】👽机端口【jī duān kǒu】的【de】💙安全【ān quán】性不怎🧡么重视【me chóng shì】。这是他们网络安全【ān quán】管理中的【lǐ zhōng de】🤷一个盲👮区。他们对此有一个错误的【de】💙认识【rèn shí】。以为交换机锁在机房【zài jī fáng】里🔋，不会出【bú huì chū】大问题。或者说，只是将🚩网络安全【ān quán】的【de】💙重点放在防火墙等软件🔂上，而忽略🛤了交换【le jiāo huàn】机端口【jī duān kǒu】等硬件【děng yìng jiàn】的【de】💙安全【ān quán】。这是非【zhè shì fēi】🈯常致命的【de】💙。

　　二、主要的应对措施

　　从以上的分析中可以【zhōng kě yǐ】看出，企业现在交换机【jiāo huàn jī】端口的安全【de ān quán】环境非【huán jìng fēi】常的薄🐂弱🎒。在这种情况下📄，该如何🛵来加强【lái jiā qiáng】🤬端口的安全【de ān quán】性呢【ne】🤖?如何才🚗能够阻【néng gòu zǔ】🎑止非授权用户的主机联入到【lián rù dào】交换机【jiāo huàn jī】的端口上呢【ne】🤖?如何才🚗能够防⛑止未经👻授权的用户将【yòng hù jiāng】集线器【jí xiàn qì】、交换机【jiāo huàn jī】等设备🛌插入到办公室🙃的网络【de wǎng luò】接口上【jiē kǒu shàng】呢【ne】🤖?对此笔【duì cǐ bǐ】者有如下几个😜建议💽。

　　一是从🏘意识上要加以重视【chóng shì】。笔者认🎅为【wéi】，首先各位网络【wèi wǎng luò】管理员🐩从意识🦓上要对此加以【cǐ jiā yǐ】重视【chóng shì】。特别是【tè bié shì】要消除轻硬件、重软件这个错🐐误的误👓区。在实际工作中【gōng zuò zhōng】🥕，要建立【yào jiàn lì】👷一套合理的安【lǐ de ān】🌑全规划🚧。如对于交换机【jiāo huàn jī】🔤的端口【de duān kǒu】，要制定🌲一套合理的安【lǐ de ān】🌑全策略，包括是🤞否要对【fǒu yào duì】接入交【jiē rù jiāo】🌗换机【jī】端👿口的MAC地址与主机数【zhǔ jī shù】量进行限制等等。安全策🏴略制定【luè zhì dìng】🚋完之后🆗，再进行📘严格的配置。如此的🎄话【huà】，就走完了交换【le jiāo huàn】机【jī】🔤端口安【duān kǒu ān】全的第一步【yī bù】🐯。根据交🌮换机【jī】的工作原【gōng zuò yuán】理🏁，在系统中会有一个转🏏发过滤数据库【shù jù kù】，会保存MAC地址等相关的【xiàng guān de】信息。而通过交换机【jiāo huàn jī】🔤的端口【de duān kǒu】安全策🏴略，可以确【kě yǐ què】保只有【bǎo zhī yǒu】授权的🔱用户才能够接🕞入到交【rù dào jiāo】换机【jī】🔤特定的端口【de duān kǒu】中。为【wéi】此只要网络【yào wǎng luò】管理员🐩有这个心【xīn】🛰，其实完全有能【quán yǒu néng】力来保障交换机【jiāo huàn jī】🔤的端口【de duān kǒu】安全。

　　二是从技术角度来提高端口的【de】安全性【xìng】。如比较常用的【de】一种手段是某【duàn shì mǒu】个特定的【de】交换机【jiāo huàn jī】🏂端口只能够连接【gòu lián jiē】某🐵台特定【tái tè dìng】的主机【de zhǔ jī】。如现在👢用户从【yòng hù cóng】家里拿来了一🐬台笔记本【bǐ jì běn】电脑⛱。将自己原先公【yuán xiān gōng】司的网【sī de wǎng】线接入🧗到这台🙏笔记本【bǐ jì běn】电脑⛱中【zhōng】🥒，会发现【huì fā xiàn】无法连入到【rù dào】🧟企业的【de】网络中【wǎng luò zhōng】🏯。这时因🐯为两台🧙电脑的【diàn nǎo de】MAC地址不【dì zhǐ bú】同而造成的【de】📻。因为在交换机【jiāo huàn jī】🏂的【de】这个🤢端口中【kǒu zhōng】💜，有一个限制条件🧟。只有特🌿定的【de】IP地址才可以通【kě yǐ tōng】过其这👊个端口【gè duān kǒu】连入到【rù dào】🧟网络中【wǎng luò zhōng】🏯。如果主📎机【jī】变更了，还需要让其允🔘许连接🦌这个端💵口的【de】话，那么就需要重新【yào chóng xīn】调整交换机【jiāo huàn jī】🏂的【de】MAC地址设置✳。这种手【zhè zhǒng shǒu】段的【de】好处就是【chù jiù shì】可以控制，只有授权的主机【de zhǔ jī】才能够连接【gòu lián jiē】🦌到交换【dào jiāo huàn】机【jī】🏂特定的【de】端口中【kǒu zhōng】💜。未经授【wèi jīng shòu】权的【de】用户无法【hù wú fǎ】进行连📇接🦌。而缺陷就是配【jiù shì pèi】⬛置的【de】工📂作量会比较大【bǐ jiào dà】。在期初🔧的【de】时候🚙，需要为每个交💎换机【jī】的【de】端口进🤫行配置🕘。如果后【hòu】👚续主机【xù zhǔ jī】有调整或者网卡有更🧤换的【de】话(如最近👽打雷损【dǎ léi sǔn】坏的【de】网卡特别多)，那么需要重新【yào chóng xīn】配置🕘。这就会🍲导致后【dǎo zhì hòu】👚续工作【xù gōng zuò】量的【de】增😭加【jiā】。如果需要进行【yào jìn háng】这个MAC地址限制的话【zhì de huà】，可以通【kě yǐ tōng】过使用🚍命令switchport port –security mac-address来进行配置🕘。使用这【shǐ yòng zhè】个命令【gè mìng lìng】🚴后【hòu】👚，可以将🥧单个【dān gè】MAC地址分📭配到交【pèi dào jiāo】换机【jī】🏂的【de】每个端🏑口中【kǒu zhōng】💜。正如上【zhèng rú shàng】🧗面所说【miàn suǒ shuō】的【de】，要执行🍎这个限🔻制的话【zhì de huà】，工作量会比较大【bǐ jiào dà】。

　　三是对可以介【kě yǐ jiè】💃接入的【de】🤘设备【bèi】🙏进行限制【zhì】。出于客【chū yú kè】户端性🔉能的【néng de】🐚考虑，我们往【wǒ men wǎng】🦎往需要【wǎng xū yào】🦓限制某【xiàn zhì mǒu】个交换机【jiāo huàn jī】端口👊可以连接😛的【de】🐚最多的【de】主🔽机数量【jī shù liàng】。如我们🖋可以将【kě yǐ jiāng】这个参🕞数设置⬇为🚞1，那么就【nà me jiù】只允许【zhī yǔn xǔ】一台主🕵机连接🏷到交换机【jiāo huàn jī】的【de】🐚端口中。如此的【de】🐚话【huà】，就可以避免用【bì miǎn yòng】户私自使用集线器或者交换机【jiāo huàn jī】等设🎼备拉增【bèi lā zēng】🏛加端口💐的数量【de shù liàng】👉。不过这【bú guò zhè】种策略跟上面【gēn shàng miàn】的【de】🐚MAC地址策略还是【luè hái shì】有一定的【de】🐚区别。MAC地址安🚯全策略【quán cè luè】的【de】🐚话【huà】，也只有一台主🕵机可以【jī kě yǐ】连接到📳端口上【duān kǒu shàng】。不过还必须是MAC地址匹【dì zhǐ pǐ】♑配的【pèi de】🐚主机才能够进行⛴连接😛。而现在【ér xiàn zài】这个数量的【de】🐚限制策【xiàn zhì cè】略🤚，没有MAC地址匹【dì zhǐ pǐ】♑配的【pèi de】🐚要求【yào qiú】。也就是【yě jiù shì】说🧦，更换一【gèng huàn yī】🎛台主机【tái zhǔ jī】后【hòu】，仍然可【réng rán kě】以正常连接到📳交换机【jiāo huàn jī】的【de】🐚端口上【duān kǒu shàng】。这个限制【zhì】措施显然比🎐上【shàng】面这个措施🎛要宽松不少❗。不过工【bú guò gōng】作量上【shàng】🔀也会减少不少❗。要实现🚏这个策🧙略的【de】🐚话【huà】，可以通😍过命令swichport-security maximun来实现。如故将👯这个参🕞数设置⬇为🚞1，那么就【nà me jiù】只允许【zhī yǔn xǔ】一台主🕵机连接🏷到交换机【jiāo huàn jī】的【de】🐚端口之上【shàng】。这就可😉以变相【yǐ biàn xiàng】的【de】🐚限制【zhì】介入交换【rù jiāo huàn】机或者【jī huò zhě】集线器等设😉备【bèi】🙏。不过这【bú guò zhè】里需要注意的【de】🐚是，如果用【rú guǒ yòng】🛅户违反【hù wéi fǎn】了这种🖇情况，那么交换机【jiāo huàn jī】的【de】🐚端口就会被关【huì bèi guān】🍶闭掉🏟。也就是【yě jiù shì】说🧦，一台主🕵机都连接😛不到这个端口上【duān kǒu shàng】。在实际工作中，这可能会殃及【huì yāng jí】无辜。所以需要特别的【de】🐚注意。

　　四是使用sticky参数来🗨简化管【jiǎn huà guǎn】👝理。在实际【zài shí jì】🛁工作【gōng zuò】🌖中，sticky参数是【cān shù shì】一个很🅱好用的【hǎo yòng de】🎫参数。可以大大的【de】简🕍化MAC地址【dì zhǐ】😲的【de】配置😶。如企业【rú qǐ yè】现在网络部署完毕后😱，运行以下switch-port port-security mac-addres sticky命令【mìng lìng】。那么交换机🕙各个端口就会自📚动记住💭当前所【dāng qián suǒ】🏩连接的【de】主机的【zhǔ jī de】🔒MAC地址【dì zhǐ】😲。如此的【de】🚺话【huà】，在后续工作【gōng zuò】🌖中，如果更【rú guǒ gèng】换了主🔻机的【de】话【huà】，只要其【zhī yào qí】➿MAC地址【dì zhǐ】😲与原有主机不匹配的【pǐ pèi de】话【huà】🤧，交换机🕙就会拒绝这台主机的【zhǔ jī de】🔒连接请【lián jiē qǐng】求【qiú】。这个参数主要❗提供静态MAC地址【dì zhǐ】😲的【de】安全。管理员👔不需要再网络中输入♟每个端口的【de】MAC地址【dì zhǐ】😲。从而可以简化🧒端口配【duān kǒu pèi】置😶的工作【de gōng zuò】🌖。不过如果后续主机有调整，或者新增主机【zēng zhǔ jī】的【de】🔒话【huà】，仍然需【réng rán xū】要进行【yào jìn háng】手工的【de】➡配置😶。不过此时的【de】配📯置往往【zhì wǎng wǎng】是小范💐围的【de】，工作【gōng zuò】量♋还可以接受【jiē shòu】。

　　最后需【zuì hòu xū】要注意的是，如果在【rú guǒ zài】交换机💙的端口中同时【shí】🦄连接【lián jiē】💧PC主机与电话机【diàn huà jī】的时【shí】候，需要将📞Maximun参数设置为【zhì wéi】💧2。因为对【yīn wéi duì】于交换机💙端口来说【shuō】，电话机【diàn huà jī】与PC机一样【jī yī yàng】💿，都是属于同类🛋型的设【xíng de shè】🍶备。如果将【rú guǒ jiāng】🥀参数设置为【zhì wéi】💧1，那么就会出现问题。在电话机【diàn huà jī】等设备集成的方案中设置【zhōng shè zhì】端口安全策略【quán cè luè】🔨时【shí】，需要特【xū yào tè】别注意⛵这一点。很多网🍯络管理🤚员在实【yuán zài shí】🌋际工作中，会在这🍒个地方载跟斗【zǎi gēn dòu】。

　　可见，要实现【yào shí xiàn】交换机【jiāo huàn jī】的【de】👘端口安【duān kǒu ān】全♐难度也不🕓是很大，主要是网络管🏚理员需【lǐ yuán xū】要有这【yào yǒu zhè】方面的【de】😰观念。然后使用交换机【jiāo huàn jī】的【de】👘端口安【duān kǒu ān】全♐特性，就可以保障交换机【jiāo huàn jī】的【de】👘端口安【duān kǒu ān】全♐。以上介绍的几【shào de jǐ】种方法【zhǒng fāng fǎ】，各有各📬的特点【de tè diǎn】。在可操🗽作性上【zuò xìng shàng】与安全性上各😦有不同【yǒu bú tóng】🆘。网络管🏚理员需【lǐ yuán xū】要根据🏺自己公司网络🤨的【de】规模、对于安🙊全性的【de】👏要求等✳各个方【gè gè fāng】面的【de】😰因素来选【xuǎn】🍗择采用的方案【de fāng àn】。总之【zǒng zhī】，在网络安全逐【ān quán zhú】渐成为管理员【guǎn lǐ yuán】心头大患的【de】今天【tiān】💷，交换机【jiāo huàn jī】的【de】👘端口安【duān kǒu ān】全♐必须引起大家的【de】关注。