剖析交換機安全功能

引言：交換機自身具備不少有特色的安全功能，如果能夠深入了解并加以利用，可以為企業帶來很好的安全防護效果，b并能節省大量的IT支出成本，這對于不少IT投資預算不足的企業是很有價值的。本文將結合實際應用，介紹交換機常用的安全功能，希望給各位同行帶來一些幫助。

交換機作為企業信息化建設基礎設施的重要組成部分，是使用數量最多的網絡設備之一。近年來，隨著智能交換機技術的發展，交換機的功能有了很多擴展，除了傳統的二層（數據鏈路層）數據轉發功能以外，還具備了很多三層（網絡層）和四層（傳輸層）的功能。特別是交換機所具備的安全防護方面的功能，如果運用得當，可以以非常低的成本獲得較高的安全防護回報，為企業節省大量投資成本。下面將介紹Port security（端口安全）和ACL（訪問控制列表）兩種常用的交換機安全功能。

端口安全

端口安全的基本功能就是根據交換機所轉發的二層數據包中的MAC地址來對網絡流量進行管理和控制，只允許經過授權的MAC地址或者符合控制策略的MAC地址通過本端口通信，其他MAC地址發送的數據包經過此端口時，端口安全特性會按照特定的策略進行阻止。使用端口安全特性可以防止未經授權的設備接入網絡，起到一定的終端安全防護作用；另外，端口安全特性也可用于防止MAC地址泛洪而造成MAC地址轉發表溢出。

下面給出一個常用的示例場景：某公司人數不多，大概三十人的規模，利用1臺48口的思科3560交換機作為用戶接入，公司對于信息安全非常重視，為防止其他不安全的終端接入網絡，規定每個員工只允許一臺辦公電腦通過交換機端口接入網絡，但是少數員工為方便自己使用公司網絡資源，私自利用集線器擴展接入點，接入無線路由器、筆記本等其他終端，給公司的信息安全帶來很大的隱患。

在行政管理手段無法奏效的情況下，公司領導要求網絡管理人員利用技術手段徹底屏蔽這種私接，保障內網安全。其實對于這種典型的終端安全管理問題，引進基于802.1X技術的準入控制產品即可迎刃而解，但是公司領導明確要求不能花錢，必須利用公司現有的設備和技術去解決這個問題。

所以經過分析上述需求，其實就是要求交換機端口與辦公電腦做到一一對應的關系，可利用接入交換機上的端口安全技術輕松解決。

簡單來說就是將辦公電腦的MAC地址與交換機的端口進行靜態綁定。首先，需要統計公司辦公電腦和交換機端口的接入對應關系，以及每臺辦公電腦的MAC地址。由于公司人數不多，統計相對簡單，最終整理出辦公電腦MAC地址與交換機端口的對照表即可；其次，在接入交換機上啟用端口安全，實施綁定策略，具體操作如下所示：

當端口接收到違反策略的MAC地址流量時，可以配置三種違規處理動作：

Protect：直接丟棄違規的MAC地址流量，但不會創建日志消息。

Restrict：直接丟棄違規的MAC地址流量，創建日志消息并發送SNMP Trap消息。

Shutdown：默認選項，將端口置于err-disabled狀態，創建日志消息并發送SNMP Trap消息，需要手動恢復或者使用errdisable recovery特性重新開啟該端口。

通過在接入交換機每個端口上重復配置上述命令，即可徹底杜絕私接非法終端的行為，而且不需要花錢購買任何商業產品。如果用戶私接終端，那么就會觸發交換機的端口安全機制，自動將該端口關閉，只有通過網絡管理人員才能重新開啟。這樣就能嚴格規范用戶的網絡接入行為，保障了公司的信息安全，實現了技術與管理的深度融合。

訪問控制列表

訪問控制是實施網絡安全防護的基本策略，它的主要任務是保證網絡資源不被非法使用和訪問，它是保障網絡安全最重要的核心策略之一。訪問控制列表是應用在網絡設備接口的訪問控制指令的集合。這些指令集合通過數據包匹配，告訴網絡設備哪些數據包可以接收、哪些數據包應該拒絕，匹配條件包括源地址、目的地址、源端口、目的端口、優先級等。

如果合理利用，訪問控制列表不僅可以控制網絡流量，更能夠起到保護網絡設備、服務器、應用系統的關鍵作用，作為進入企業內網的首道關卡，網絡設備上的訪問控制列表成為保護內網安全的有效手段。此外，在網絡設備的許多其他配置任務中都需要使用訪問控制列表，如Routemap策略路由、網絡地址轉換、路由重分布等等。

訪問控制列表主要包括標準ACL和擴展ACL兩類。標準ACL匹配IP數據包里的源地址，可對匹配成功的數據包采取permit和deny兩種操作，標準ACL的編號范圍是從1到99；擴展ACL比標準ACL具備更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口等，擴展ACL的編號范圍是從100到1999。由于擴展ACL具備更精細的網絡防護功能，在企業實際應用中更為普遍，下面給出一個擴展ACL應用的場景：

某大型企業，用戶近千人，擁有自建數據中心，數據中心有近百臺服務器提供各類業務應用給用戶訪問；企業整體網絡架構是典型的“核心-匯聚-接入”三層架構，通過VLAN技術進行邏輯網絡隔離，其中服務器在192.168.1.0/24網 段，屬 于 VLAN2，用戶分 布 在192.168.4.0/24，192.168.5.0/24，192.168.6.0/24和192.168.7.0/24四個網段，分別屬于VLAN3，VLAN4，VLAN5和VLAN6。由于業務數據的保密要求較高，該企業需要實施較為嚴格的信息安全管控手段。在Internet出口處，已經部署了防火墻、防毒墻、IPS等防護設備，能夠很好地防護來自Internet的安全威脅，但是由于部署位置的原因，這些高端的安全設備對于來自內網的安全威脅無能為力，為了保障內網服務器及業務數據的安全，公司領導要求僅僅開放業務系統使用的端口80，443 和 1433，服務器的其他端口全部禁止使用，并且要求盡可能節約成本。仔細分析，這個問題其實有兩種解決方案：

1.逐個在每臺服務器防火墻上設置相應的端口訪問控制策略。

2.在交換機對應端口實施ACL控制，按照策略過濾對應數據流量。

由于數據中心服務器數量較多，第一種方案工作量非常大，而且擴展性也很差，如果未來新添加服務器，還得手動進行設置，達不到“一勞永逸”的效果；而第二種方案則可以很好地規避上述這些問題，具體操作如下：

在核心交換機上創建相應的ACL：

通過上述設置后，核心交換機會根據port_protect的策略去過濾發往服務器VLAN2網段的IP數據包，只有來自VLAN3、VLAN4、VLAN5和VLAN6網段的用戶能夠訪問業務系統端口（80，443 和 1433），其他任何數據包均會被丟棄。如未來新添加服務器，也不需要再變更任何配置，這種集中式的網絡訪問控制策略降低了網絡管理人員的維護難度。

總結

大多數交換機都具備一定的安全防護功能，無論大型企業還是中小型企業，均能利用交換機的安全特性靈活實施安全策略，保障企業網絡安全。交換機作為終端接入的首道關卡，特殊的部署位置決定了交換機在安全防護方面大有可為。網絡管理人員應避免將交換機簡單視為數據轉發工具，充分挖掘其安全特性并加以利用，以實現交換機真正價值。