有些網(wǎng)絡(luò)管理員沒有在交換機(jī)的端口上采取任何的保護(hù)措施��,這將導(dǎo)致未經(jīng)授權(quán)的主及能夠自由的介入到交換機(jī)的端口上(通過企業(yè)的預(yù)先設(shè)置的網(wǎng)絡(luò)端口)�����。這可能會(huì)給企業(yè)的網(wǎng)絡(luò)帶來比較大的安全隱患���。
一�、未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口
有些網(wǎng)絡(luò)管理員沒有在交換機(jī)的端口上采取任何的保護(hù)措施�����,這將導(dǎo)致未經(jīng)授權(quán)的主及能夠自由的介入到交換機(jī)的端口上(通過企業(yè)的預(yù)先設(shè)置的網(wǎng)絡(luò)端口)��。這可能會(huì)給企業(yè)的網(wǎng)絡(luò)帶來比較大的安全隱患�����。
如員工自己有筆記本電腦。在未經(jīng)網(wǎng)絡(luò)管理員允許的情況下�,就私自拿到公司,然后連入到公司的網(wǎng)絡(luò)�。這就比較危險(xiǎn)。如企業(yè)內(nèi)部的IP地址往往有一個(gè)比較嚴(yán)格的規(guī)劃���,而且IP地址像人的身份證號(hào)碼一樣��,必須保持唯一����,F(xiàn)在員工將自己的私人電腦接入到企業(yè)的網(wǎng)絡(luò)�,就可能導(dǎo)致IP地址沖突,從而影響其它主機(jī)的正常上網(wǎng)�。如員工自己的電腦采用的是固定IP地址��,此時(shí)如果連入到企業(yè)網(wǎng)絡(luò)的話�����,就很可能會(huì)造成IP地址的沖突�。
再如企業(yè)往往會(huì)在內(nèi)網(wǎng)與外網(wǎng)的中間部署有防火墻,用來防止互聯(lián)網(wǎng)上的病毒進(jìn)入到企業(yè)內(nèi)部�,F(xiàn)在的問題是��,員工的個(gè)人電腦直接從同企業(yè)內(nèi)部的接口連入到企業(yè)的網(wǎng)絡(luò)�����。此時(shí)就相當(dāng)于越過了防火墻的檢查���。如果員工的電腦有病毒的話,那么就會(huì)影響到企業(yè)網(wǎng)絡(luò)的運(yùn)行�。嚴(yán)重的話,還可能會(huì)導(dǎo)致企業(yè)整個(gè)內(nèi)部網(wǎng)絡(luò)的癱瘓�����。
可見�,未經(jīng)授權(quán)的主機(jī)接入到交換機(jī)的端口,會(huì)存在比較大的安全隱患����。其實(shí)在交換機(jī)的操作系統(tǒng)上,有現(xiàn)成的預(yù)防措施來消除這種安全隱患���。如可以通過使用“基于主機(jī)MAC地址允許流量”機(jī)制�����,來指定只有特定MAC地址的主機(jī)才能夠連接到企業(yè)的交換機(jī)上�����。如此的話����,就可以將未經(jīng)授權(quán)的主及排除在外。
通常情況下��,單個(gè)交換機(jī)端口能夠允許1個(gè)或者1個(gè)以上到某個(gè)特定數(shù)目的MAC地址�����。簡(jiǎn)單的說�����,在交換機(jī)的端口上會(huì)有一個(gè)配置列表����,上面列舉了幾個(gè)允許接入交換機(jī)的MAC地址��。只有在這個(gè)名單中的主機(jī)才能夠連接到這個(gè)端口中���。如果希望啟用這個(gè)特性的話�,可以通過如下命令來實(shí)現(xiàn):Set Port Security MAC地址。在使用這個(gè)命令時(shí)�,可以加入多個(gè)IP地址。如企業(yè)的規(guī)模比較小���,網(wǎng)絡(luò)管理員在組建網(wǎng)絡(luò)時(shí)將一個(gè)交換機(jī)的端口對(duì)應(yīng)一個(gè)部門��。而一個(gè)部門的主機(jī)數(shù)目可能有10個(gè)�。此時(shí)就需要在這個(gè)命令中將10個(gè)MAC地址都加上��。如此的話����,就只有這十臺(tái)主機(jī)才能夠連接到這個(gè)交換機(jī)端口中。
不過需要注意的是�����,不同品牌或者同一品牌不同規(guī)格的交換機(jī)�,對(duì)可以支持的MAC地址數(shù)往往有所限制。如果需要讓交換機(jī)的端口支持多個(gè)MAC地址的話�����,就不能過超過這個(gè)最大數(shù)量的限制。
