專網交換機管理安全策略

交換機是一種基于硬件專用集成電路，進行物理地址（mac）識別，能完成封裝轉發數據包功能的網絡設備。其工作原理是當交換機從某端口收到數據包，它先讀取包頭中的源mac地址，學習知道源mac地址的機器是連在哪個端口上，接著讀取目的mac地址，查找mac地址表及其對應端口，如查到則直接把數據包復制到該端口，如查找不到則把這個數據包進行廣播，當目的機器回應時，交換機則記錄、更新mac地址表。交換機的優點在于它基于硬件，可同時提供多個通道，比采用共享式的集線器提供更多帶寬，在時間響應方面則比路由器提供更寬的帶寬及交換速度，而且價格更低。

專網交換機管理現狀

1.專網網絡建設情況

單位進行信息化過程中，建設了自己的辦公專網，隨著投入的深入，越來越多的網絡交換機在專網中得到了應用。網絡設備增多應用的同時給網絡管理人員帶來巨大的維護壓力。專網交換機的易管理性與安全性成反比，因傳輸信息密級不同，所采用的安全策略也有所不同，傳輸信息密級高的，采用的安全策略相對復雜，傳輸密級較低的，應用的安全策略也不需那么多，這樣才能實現管理維護、開銷與安全的平衡。

2.專網交換機管理面臨的安全分析

目前，專網交換機管理面臨的安全問題主要體現在物理管理安全、設備管理維護安全和用戶接入安全三方面。

從物理管理安全看:近些年專網網系建設較集中且網系逐漸增多，設備架設位置地點松散，主要體現在網絡設備管理巡視，機房環境、設備狀態監管力度待加強，建設中也缺乏相應監管配套，后期可實施規章制度建設跟不上等等。

從設備管理維護安全看:專網系統、設備的網絡管理員、審計員職責區分不夠，多為一人，而且多個管理員統一用一個賬號進行系統配置、管理，缺乏管理審計，系統設備管理能力、方法、手段簡單，缺乏專業性，安全策略實施較少。

從用戶接入看:對網絡用戶接入控制安全措施較少，有用戶對終端地址配置隨意改動現象，缺乏用戶接入控制策略。

交換機管理安全策略

下面主要從專網交換機的設備管理維護安全、用戶接入安全及安全防攻擊等方面進行安全策略部署實施方法進行分析、闡述，不同廠商設備可能管理維護命令不同，但功能是相通的。

1.設備管理維護安全

(1)嚴格管理口令密碼強度

密碼位數建議至少8位；不要使用單純的數字、字母尤其是出生年月日期、英文單詞等弱口令；建議設置大小寫字母、數字、符號混合使用的中強密碼，如:Admin007、Admin#007，如需加強，可使用轉盤代密，并定期更新。

（2）嚴格設備管理權限

第一、限制遠程管理源地址，如下配置實現對遠程登錄的管理終端地址進行限制:

第二、限制snmp協議管理源地址，如下配置實現對網絡管理服務器地址進行限制:

第三、設置管理會話過期時間限制，如下配置實現對管理連接會話過期時間進行限制:

第四、建立管理信息日志服務，如下配置實現把交換機狀態日志傳送到日志服務器:

（3）使用安全管理協議

第一、使用加密管理協議管理設備，禁用telnet協議，使用ssh協議，如下配置實現禁用telnet協議，使用ssh協議管理設備:

第二、采用簡單網管協議snmp v3版本進行設備管理，如下配置實現利用snmp v3，進行設備管理:

第三、使用配置口令密文服務，實現 password，secret、vty、console口令的密文，如下配置使交換機口令簡單加密:

（4）建立虛擬局域網機制

第一、利用交換機虛擬局域網技術（vlan）實現靈活、更加規范的用戶隔離域，減小網絡管理開銷，控制網絡廣播范圍。

第二、建立虛擬局域網干道協議（vtp）機制，之間采用密鑰通信機制。于核心交換機設置成server，其他接入交換機設置成client，之間實施密鑰通信。

第三、采用生成樹協議（stp）在網絡中建立樹形拓撲，消除網絡中的環路，避免由于環路形成廣播風暴。

2.用戶接入安全

第一、利用IEEE802.1x安全認證手段，進行用戶權限認證:

第二、限制不同用戶使用命令權限:

第三、對用戶端口進行安全設置。

設置安全端口，實施ip地址和物理地址綁定，借助安全端口，可以只容許指定的MAC地址或指定數量的MAC地址訪問:

第四，關閉未分配、不必要的物理端口:

3.安全防攻擊策略

（1）關閉不必要服務

第一、如無需要，禁止基于udp/tcp協議的小服務:

第二、如無需要，配置禁止finger、ntp、cdp協議 :

（2）配置嚴謹的訪問控制策略

第一、防外部地址ip欺騙

阻止源地址為私有地址的所有通信流。

阻止源地址為回環地址的所有通信流。

第二、阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流，如在對外部接口的向內方數據流用101過濾。

阻止源地址為私有地址的所有通信流。

阻止源地址為回環地址的所有通信流。

阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流。

第三、防外部非法探測

阻止用ping探測網絡，阻止用traceroute探測網絡，如在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出，不阻止探測進入。

第四、保護不受攻擊

阻止對關鍵端口的非法訪問

第五、對內網的重要服務器進行訪問限制

允許外部用戶到Web服務器的向內連接請求。

允許Web服務器到外部用戶的向外答復。

允許外部SMTP服務器向內部郵件服務器的向內連接請求。

允許內部郵件服務器向外部SMTP服務器的向外答復。

允許內部郵件服務器向外DNS查詢。

允許到內部郵件服務器的向內的DNS答復。

允許內部主機的向外TCP連接。

允許對請求主機的向內TCP答復。

總結

通過對交換機管理面臨的安全分析與具體的安全策略部署分析，筆者認為在專網中對交換機實施安全策略，對整個網絡的健壯性和安全性的提高，相對于交換機有限的開銷、較繁雜的用戶接入管理安全相比是非常值得的，特別是在傳輸信息密級較高的專網，實施之后足以避免不必要的因病毒爆發或網絡入侵帶來的損失。