企業網絡交換機常用安全防護措施

■ 大慶 吉海強

編者按：網絡交換機是企業網絡中非常重要的硬件設備，網絡交換機的安全與整體網絡安全有著非常直接的關系。然而網絡交換機本身的安全防護，卻很容易在網絡安全設計中被忽視。本文總結了在企業網絡交換機日常運維中常用的幾種針對交換機的安全防護措施，單獨或混合使用，均可有效提升網絡交換機的安全性。

當前網絡安全已經被上升到國家安全高度，在網絡安全形勢日趨嚴峻的今天，如何保障網絡安全是一個世界級難題。

提到網絡安全，大多數企業更多的是關注防火墻、防病毒、入侵檢測以及上網行為等方面，卻經常忽略了在網絡中扮演重要角色的網絡交換機的安全。網絡交換機是企業網絡中最基礎的網絡設備，網絡交換機一旦出現安全問題，那么整個企業網絡將會出現重大安全隱患。本文以華為交換機配置為例，簡單介紹交換機幾種常用的網絡安全防護措施。

關閉默認VLAN

所有交換機，無論是可網管還是不可網管的，初始的默認VLAN 都是VLAN1。在不做配置的情況下，交換機所有端口都屬于默認VLAN。正常企業網絡交換機配置時，端口會劃分對應的業務VLAN，但是交換機互連端口會使用Trunk 模式。缺省情況下，VLAN1 的數據可以通過Trunk 端口。如果默認VLAN不關閉，那么攻擊者隨便增加一臺交換機連接在企業網絡交換機上，就可以利用默認VLAN 將數據包發送到企業網絡內的所有交換機，甚至是網絡核心交換機，存在巨大安全隱患。……