提高企業交換機安全級別的方法

　　如在11.2以前版本的交換機軟件中，會默認實現多個TCP或者UDP服務器。這么設計主要是為了方便管理以及跟現有的環境進行集成。但是需要注意的是，在實際工作中，大多數的TCP和UDP服務基本上用不著。此時如果網絡管理員仍然將這些服務開啟著，無疑是給攻擊者留了一個口子。接下來是小編為大家收集的提高企業交換機安全級別的方法，希望能幫到大家。

　　提高企業交換機安全級別的方法

　　禁止一：禁用集成的HTTP后臺程序

　　在大部分廠家的交換機中都會提供HTTP后臺程序。這主要是為了方便用戶管理的需要。畢竟對于初學者來說，可能不習慣命令行的管理模式。而喜歡采用WEB界面對交換機等網絡設備進行管理。但是在大部分情況下，這個HTTP后臺程序是不安全的。

　　如果開啟了這個服務，則一些攻擊者可以向交換機等網絡設備發送大量的HTTP請求，從而導致交換機的CPU使用率節節攀升，從而可能導致系統發生拒絕服務攻擊。從而給網絡的正常運行產生不利的影響。雖然包括思科在內的大部分廠家的交換機為簡化管理都提供了一個集成的HTTP服務器，但是筆者還是建議在生產網絡中最好禁用這個特性。默認情況下，思科的交換機中是禁用這個服務的。這也可以說明思科已經意識到其可能帶來的安全隱患。之所以還留著這個服務，可能是出于一些教學等方面的需要。

　　HTTP后臺程序不僅不安全，而且在多層交換網絡環境中基本上用不著。如果網絡管理員由于某些特殊的原因，確實要開啟這個后臺程序，那么也需要做好一定的安全措施。如需要通過訪問控制列表來限制可以使用這個程序的IP地址或者MAC地址。也就是說限制只有網絡管理員等特定的人員才通過特定的終端才能夠訪問這個HTTP后臺程序。另外在有必要的情況下，還需要改變HTTP后臺程序的默認端口。如此的話，一些掃描工具就比較難以發現交換機是否開啟了HTTP服務，從而減少被攻擊的可能性。雖然通過這些安全措施可以在一定程度上提高整個后臺程序的安全級別。但是筆者最后還是要說，沒有特別充分的理由，最好還是禁用集成的HTTP后臺程序為好。

　　禁止二：限制鏈路聚集連接

　　通常情況下，在某些交換機上(如思科的Catalyst系列的交換機)會有自動協商鏈路聚集的功能。這個自動協商功能是允許未經授權的鏈路聚集端口引進網絡。這個特性可能會在一定程度上提高網絡的靈活性。但是也會帶來網絡新的安全隱患。如這個未經授權的鏈路聚集端口很有可能被攻擊者用來監聽網絡上的通信流量，或者說被攻擊者用來發起Dos攻擊。這里需要特別提醒的是，在大部分情況下如果發起Dos等攻擊的話，鏈路聚集端口比普通的接入端口后果要嚴重的多。特別是企業中如果存在VLAN的話。如果在接入端口發起這個攻擊，那么受影響的最多就是一個VLAN。而如果在聚集端口上發起Dos攻擊的話，則會同時影響到多個VLAN。

　　所以從安全角度出發，網絡管理員應該在主機和接入端口上禁用鏈路聚集自動協商功能。

　　禁止三：禁用不需要的服務

　　從某種角度上來說，多啟動一項服務，就好像是在交換機上多開了一扇門，多了一重風險。為了提高交換機的安全性，網絡管理員需要習慣于只在交換機上啟動必需的服務，禁用那些不需要的服務。

　　故筆者對網絡管理員有一個建議。在新的設備投入到企業網絡中之前，網絡管理員應該仔細檢查每一臺設備的配置。一般來說包括設備啟動的服務與端口。對于服務來說，只要這個服務不需要用到(無論是短期還是長期的)，那么就禁用他。對于端口也是類似，只要端口沒什么用處，就禁用。這里需要注意的是，在出廠的時候廠家可能出于滿足大部分客戶的要求出發，會啟用比較多的服務。而對于某個特定的用戶或者應用場景來說，這些服務就可能是不需要的。在大部分情況下，對于初始投入的網絡設備往往需要進行比較大的調整。如在多層交換網絡環境中，需要禁止如下這些服務：TCP SAMLL SERVERS、Finger、Boot服務器、不進行身份驗證的NTP、ICMP重定向與不可達、定向廣播轉發等服務。在多層網絡環境中，這些服務基本上用不著。如果留著反而會成為威脅企業網絡安全的定時炸彈，還不如關閉好禁止四：盡可能少的使用CDP

　　CDP(Cisco設備直線發現協議)主要用來發現直連的CISCO設備的相關信息。簡單的說，CDP就是利用直連的兩個設備間定時發送CDP數據包來維持彼此的鄰居關系。由于CDP協議會在網絡中傳播相關設備的詳細信息。而這些信息如果給攻擊者收集到的話，則會給他們發動攻擊提供幫助。雖然有些專家認為，只需要正確的規劃與配置，這個CDP協議還是一個比較安全的協議。但是要做到正確的規劃與配置，有一定的難度。企業的網越來越復雜，而且還在不斷的調整。故很少有管理員可以拍拍胸脯保證自己的網絡規劃與配置都是完美的。所以在實際工作中，還是需要盡可能的少用CDP。具體的來說，需要做到以下幾點。

　　一是在不必要的接口上禁用CDP。通常情況下，需要CDP協議的只有一個地方。即在多層網絡中，輔助VLAN可能需要這個協議。所以可以只為管理目的的接口上運行CDP協議。根據筆者的經驗，一般情況下會在交換機間連接(直連)接口上或者IP電話連接的接口上啟用CDP協議。

　　二是只在受控范圍內的設備上啟用CDP協議。這主要是因為CDP協議是一種鏈路級別的協議。在實際工作中，除非使用了第二層隧道機制，否則的話CDP協議不會通過MAN或者WAN進行端到端的傳播。所以對于MAN或者WAN連接，CDP表中可能包含服務器提供商的下一級路由器或者交換機。

　　三是不要在不安全的連接上運行CDP協議。一般來說，internet連接被認為是不安全的連接。最好不要在這些不安全的連接上運行CDP協議。否則的話，萬一網絡被偵聽，這些機密信息都會泄露。此時CDP協議就會成為網絡攻擊者的道具。

　　在網絡管理中，安全性一直是不容忽視的一個問題。而要保障網絡的安全，往往需要從交換機的安全開始做起。其實通過以下四個禁止就可以明顯提高交換機的安全級別。

看了“提高企業交換機安全級別的方法”還想看：

1.網絡交換機安全小技巧

2.交換機應用中的六種安全設置方法

3.設置電腦安全級別的方法

4.怎么利用第三層交換機安全策略

5.怎樣保證企業內網的安全

6.交換機配置基礎及實例講解