从细节抓起 保障企业多层网络交换机安全

笔者受邀对一些企业的网络安全进行评估时，发现一种奇怪的现象。很多网络管理员在安全设计时，喜欢采用高端的设备与技术，但是却忽视了一些细节与基础性的内容。如采用了企业级的防火墙，但是却没有重视交换机本身的安全。为此笔者借助这个平台，向各位读者建议，企业网络安全应该从细节抓起。

一、通过访问控制列表来限制用户的访问

通过使用访问控制列表来限制管理访问和远程接入，就可以有效防止对管理接口的非授权访问和Dos拒绝服务攻击。其实这个配置是很基础的内容。如可以在企业边缘路由器上(连接到互联网的路由器)，进行访问控制列表配置，拒绝从互联网接口接受Ping命令。

另外如果企业有虚拟局域网设置，那么这个访问控制列表还可以跟其结合使用，进一步提高虚拟局域网的安全性。如可以设置只有网络管理员才可以访问某个特定的虚拟局域网等等。再如可以限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。笔者认为，访问控制列表是一个很好的安全工具。可惜的是，不少网络管理员可能认为其太简单了，而忽视了这个技术的存在。却不知道，简单的往往是比较实用的。故笔者建议各位读者，还是需要好好研究一下访问控制列表。在购买安全设备之前，想想能否通过访问控制列表来实现安全方面的需求。尽量不要购买第三方的安全产品，以降低网络的复杂性。

二、配置系统警告标语，以起到警示的作用

我们到超市或者书店的时候，往往会看到“市场已安装涉嫌头、请各位自重”的标语。这种标语会在无形中给小偷一种心理的警示。其实在企业网络交换机安全规划中，也可以设计一个警告标语，让攻击者知难而退。

笔者认为，无论是出于安全或者管理的目的，配置一条在用户登录前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户连接到交换机、在输入用户名与密码之前，向用户提供一个警告标语。标语可以是这台设备的用途，也可以是警告用户不要进行非授权访问的警示语。就好像超市中“安装摄像头”的警示语一样，对非法访问的用户起到一个警示的作用。在用户正式登陆之前，网络管理员可以让交换机明确的指出交换机的归属、使用方法、安全措施(可以适当的夸大)、访问权限以及所采取的保护策略(这也可适当夸大)。如可以说明将对用户所采用的IP地址进行合法性验证等等。以起到应有的警示作用。

三、为交换机配置一把安全的钥匙

现在市场上的交换机，通常对口令采用的都是MD5加密方法。如以思科的多层交换机为例，通过使用enable secret命令，可以进入系统的特权模式，设置相关的口令。不过需要注意的是，此时虽然对口令进行了加密处理，但是这个加密机制并不是很复杂。通常情况下，可以采用字典攻击来破解用户设置的口令。那这是否说明不需要为交换机设置口令呢?其实这是一个误解。

我们在设置交换机口令的时候，可以增加口令的复杂性，来提高破解的难度。这就好像银行卡密码一样。其理论上也可以通过采用字典攻击的方式来破解密码。但是只要将密码设置的复杂一些(如不要采用相同的数字、生日、电话号码作为密码)，同时设置密码策略(如密码连续错误三次将锁住)，如此就可以提高这个密码的安全性。

对于交换机来说，也是这个道理。虽然其只是采用了MD5加密机制，可以通过字典攻击来破解。但是我们仍然可以通过加强密码的复杂性，让字典攻击知难而退。这个道理，可能大家都懂得。在学校的网络安全课程上，这也是一个基础性的内容。可是真的到了实际工作中，很多人都忽视了其的存在。笔者认为，可以在交换机的密码中加入一些特殊的字符，如标点符号，或者大小写、字母与数字混用等等，来为交换机配置比较坚固的口令。