有些網絡管理員沒有在交換機的端口上采取任何的保護措施�����,這將導致未經授權的主及能夠自由的介入到交換機的端口上(通過企業(yè)的預先設置的網絡端口)���。這可能會給企業(yè)的網絡帶來比較大的安全隱患�。
一���、未經授權的主機接入到交換機的端口
有些網絡管理員沒有在交換機的端口上采取任何的保護措施��,這將導致未經授權的主及能夠自由的介入到交換機的端口上(通過企業(yè)的預先設置的網絡端口)���。這可能會給企業(yè)的網絡帶來比較大的安全隱患��。
如員工自己有筆記本電腦��。在未經網絡管理員允許的情況下���,就私自拿到公司,然后連入到公司的網絡����。這就比較危險。如企業(yè)內部的IP地址往往有一個比較嚴格的規(guī)劃����,而且IP地址像人的身份證號碼一樣,必須保持唯一�����,F(xiàn)在員工將自己的私人電腦接入到企業(yè)的網絡���,就可能導致IP地址沖突�,從而影響其它主機的正常上網���。如員工自己的電腦采用的是固定IP地址�,此時如果連入到企業(yè)網絡的話,就很可能會造成IP地址的沖突�����。
再如企業(yè)往往會在內網與外網的中間部署有防火墻��,用來防止互聯(lián)網上的病毒進入到企業(yè)內部����,F(xiàn)在的問題是,員工的個人電腦直接從同企業(yè)內部的接口連入到企業(yè)的網絡���。此時就相當于越過了防火墻的檢查。如果員工的電腦有病毒的話��,那么就會影響到企業(yè)網絡的運行�。嚴重的話,還可能會導致企業(yè)整個內部網絡的癱瘓��。
可見����,未經授權的主機接入到交換機的端口,會存在比較大的安全隱患�����。其實在交換機的操作系統(tǒng)上,有現(xiàn)成的預防措施來消除這種安全隱患�����。如可以通過使用“基于主機MAC地址允許流量”機制��,來指定只有特定MAC地址的主機才能夠連接到企業(yè)的交換機上�。如此的話,就可以將未經授權的主及排除在外�����。
通常情況下���,單個交換機端口能夠允許1個或者1個以上到某個特定數(shù)目的MAC地址��。簡單的說�,在交換機的端口上會有一個配置列表��,上面列舉了幾個允許接入交換機的MAC地址��。只有在這個名單中的主機才能夠連接到這個端口中。如果希望啟用這個特性的話���,可以通過如下命令來實現(xiàn):Set Port Security MAC地址��。在使用這個命令時�,可以加入多個IP地址����。如企業(yè)的規(guī)模比較小,網絡管理員在組建網絡時將一個交換機的端口對應一個部門��。而一個部門的主機數(shù)目可能有10個�����。此時就需要在這個命令中將10個MAC地址都加上�����。如此的話�����,就只有這十臺主機才能夠連接到這個交換機端口中���。
不過需要注意的是�����,不同品牌或者同一品牌不同規(guī)格的交換機��,對可以支持的MAC地址數(shù)往往有所限制����。如果需要讓交換機的端口支持多個MAC地址的話�����,就不能過超過這個最大數(shù)量的限制����。
