企業網絡交換機常用安全防護措施

■ 大慶 吉海強

編者按：網絡交換機是企業網絡中非常重要的硬件設備，網絡交換機的安全與整體網絡安全有著非常直接的關系。然而網絡交換機本身的安全防護，卻很容易在網絡安全設計中被忽視。本文總結了在企業網絡交換機日常運維中常用的幾種針對交換機的安全防護措施，單獨或混合使用，均可有效提升網絡交換機的安全性。

當前網絡安全已經被上升到國家安全高度，在網絡安全形勢日趨嚴峻的今天，如何保障網絡安全是一個世界級難題。

提到網絡安全，大多數企業更多的是關注防火墻、防病毒、入侵檢測以及上網行為等方面，卻經常忽略了在網絡中扮演重要角色的網絡交換機的安全。網絡交換機是企業網絡中最基礎的網絡設備，網絡交換機一旦出現安全問題，那么整個企業網絡將會出現重大安全隱患。本文以華為交換機配置為例，簡單介紹交換機幾種常用的網絡安全防護措施。

關閉默認VLAN

所有交換機，無論是可網管還是不可網管的，初始的默認VLAN 都是VLAN1。在不做配置的情況下，交換機所有端口都屬于默認VLAN。正常企業網絡交換機配置時，端口會劃分對應的業務VLAN，但是交換機互連端口會使用Trunk 模式。缺省情況下，VLAN1 的數據可以通過Trunk 端口。如果默認VLAN不關閉，那么攻擊者隨便增加一臺交換機連接在企業網絡交換機上，就可以利用默認VLAN 將數據包發送到企業網絡內的所有交換機，甚至是網絡核心交換機，存在巨大安全隱患。

在企業網絡中，網絡管理員可以關閉默認VLAN，選擇其他VLAN 做為管理VLAN 使用，這樣就可以避免攻擊隨便通過默認VLAN 發起網絡攻擊行為。

選擇加密的遠程登錄方式

一般在企業中，相對于HTTP 方式，網絡管理員更喜歡命令行方式對交換機進行管理。但往往網絡交換機安裝在各個業務部門的網絡間，網絡管理員經常不在交換機現場對交換機進行管理，而通常會采用網絡遠程登錄的方式對交換機進行管理。

交換機遠程管理最常用的登錄方式有兩種，一種是Telnet，另一種是SSH。Telnet 是一種遠程登錄協議和方式，其通過TCP/IP 協議來遠程訪問設備，傳輸的數據和口令是明文形式的。這樣攻擊者就很容易得到口令和數據，其獲得方式也很簡單，攻擊者可以在網絡上利用抓包工具進行數據截取。因為傳輸的是明文，攻擊者可以很容易得到交換機的登錄用戶名和密碼，然后就可以登錄交換機進行非法操作。

SSH 分為SSH1 和SSH2。兩者是不兼容的版本，使用不同的協議。SSH1又分為1.3和1.5 兩個版本。SSH1 采用DES、3DES、Blowfish 和RC4等對稱加密算法保護數據安全傳輸。而對稱加密算法的密鑰是通過非對稱加密算法（RSA）來完成交換的。SSH1使用循環冗余校驗碼（CRC）來保證數據的完整性，但是后來發現這種方法有缺陷。

SSH2 避免了RSA 的專利問題，并修補了CRC 的缺陷。SSH2 用數字簽名算法（DSA）和Diffie-Hellman（DH）算法代替RSA 來完成對稱密鑰的交換，用消息證實代碼（HMAC）來代替CRC。同時SSH2 增加了AES 和Twofish等對稱加密算法。所以企業網絡管理員在配置交換機的時候，不要使用Telnet 登錄方式，而使用SSH 登錄方式。攻擊者即使可以在中間對數據包進行截獲，也無法得到交換機的管理員帳號和密碼。這樣就可以有效增加交換機遠程管理的安全性。

設置復雜的登錄用戶名和密碼

目前，企業網交換機提供了多種用戶登錄，訪問設備的方式，主要有Console、SNMP、Telnet、SSH 以及HTTP等方式，方便網絡管理員對交換機進行管理的同時，也給交換機自身安全帶來隱患。

交換機可以設置為只輸入密碼登錄，這樣攻擊者只要知道交換機的管理IP 地址，再破解掉密碼就可以對交換機進行非法管理。密碼復雜度的問題這里不再贅述，登錄用戶名在交換機配置命令允許的情況下，同樣可以使用大小寫字母、數字加特殊字符的組合來設定。這樣將交換機設置為用戶名字加密碼的登錄方式，那么攻擊者不光要破解密碼，還需要破解交換機的登錄用戶名。這在很大程度上增加了交換機非法登錄的難度，保證交換機的遠程管理安全。華為交換機配置登錄用戶名和密碼均支持！、@、#、&、+、-、=等特殊符號，在設置用戶名和密碼時可以使用。

應用訪問控制列表技術對交換機管理網絡進行訪問控制

訪問控制列表（ACL）是由一條或多條規則組成的集合。所謂規則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址及端口號等。設備基于這些規則進行報文匹配，可以過濾出特定的報文，并根據應用ACL 的業務模塊的處理策略來允許或阻止該報文通過。

應用訪問控制列表技術可以限定某些特定IP 地址如網絡管理員的IP 地址訪問交換機，可以限定網管服務器通過SNMP 協議管理交換機，還可以限定某些特定IP 地址可以通過HTTP 方式訪問交換機。

這樣，除特定IP 地址可以訪問交換機的特定功能之外，其他對交換機的訪問全部拒絕。

應用訪問控制列表可以極大提升交換機的安全防護能力。訪問控制列表可以在兩個地方設置，一是接入交換機，二是在核心或匯聚交換機。接入交換機可以設置在遠程用戶接口，用來設定哪些IP 地址可以通過遠程方式對交換機進行管理。核心或匯聚交換機是配置交換機管理VLAN 三層虛擬接口的地方，在這里也可以編寫ACL，然后應用在交換機的全局入方向即可。

要注意的是，核心或匯聚交換機上配置的ACL，需要在允許網絡管理員IP 地址之后，增加一條拒絕其他所有地址對交換機管理地址段的訪問。

MAC 地址控制技術

交換機會自動學習并記錄MAC 地址，而攻擊者會利用交換機的MAC 地址學習機制，不斷地進行MAC 地址刷新，迅速填滿交換機的MAC地址表。這樣其他主機所發送的數據幀交換機會做泛洪處理，攻擊者自己的主機就可以接收到受害者的數據幀。攻擊者只需要使用抓包軟件就可以獲取相應的信息。

另 外，Trunk 接口上的流量也會發給所有接口和與該交換機相連的其他交換機，造成交換機負載過大，網絡緩慢甚至癱瘓。

為了有效限制MAC 攻擊，可以限制交換機端口可以學習的最大MAC 地址數量，交換機默認情況下對端口可以學習的MAC 數量是沒有限制的。當該端口學習到的MAC地址數量達到限定的數量值，將不再對MAC 地址進行學習，這樣就可以有效控制交換機學習的MAC 地址數量。

關閉交換機Web 管理功能

交換機的Web 管理方式是圖形化界面的管理方式，比較直觀，容易理解和掌握。網絡管理人員無需記住各種管理命令并輸入繁瑣的命令行，只需要使用每臺電腦的標配IE，即可對網絡設備進行本地和遠程的管理。

但是，HTTP 協議安全性并不高。如果交換機允許網絡管理員通過HTTP 進行訪問，那么攻擊者很容易可以通過網絡設備的瀏覽器接口對交換機設備進行監視，甚至可以對交換機配置進行更改，達到其入侵的目的。

所以對于一個熟悉命令行配置的網絡管理員來說，關閉交換機的Web 管理功能，也不失為一種強化交換機自身安全的方式。

結論

隨著大數據、人工智能、云計算、移動互聯網以及物聯網的深度發展與融合，網絡攻擊也呈現出復雜化、規模化趨勢。在企業信息安全建設過程中，除了堆砌防火墻、入侵檢測甚至是態勢感知系統等一些常見的網絡安全產品，也不要忽略交換機自身安全在企業信息安全建設中的重要性。

在企業網絡交換機自身安全防護的過程中，可以根據各個企業的實際情況，采取以上安全防護措施中的一個或多個對網絡交換機進行安全加固，以確保網絡交換機的自身安全。