科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换从细节抓起 保障企业多层网络交换机安全

从细节抓起 保障企业多层网络交换机安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

笔者受邀对一些企业的网络安全进行评估时,发现一种奇怪的现象。很多网络管理员在安全设计时,喜欢采用高端的设备与技术,但是却忽视了一些细节与基础性的内容。如采用了企业级的防火墙,但是却没有重视交换机本身的安全。为此笔者借助这个平台,向各位读者建议,企业网络安全应该从细节抓起。

作者:佚名 来源:TechTarget中国 2011年1月31日

关键字: 交换机 网络交换机 安全 访问控制列表 远程接入

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

四、CDP协议要尽量少用

CDP思科发现协议是思科网络设备中一个比较重要的协议。其可以传播网络设备的详细信息。如在多层交换网络中,辅助Vlan和其他的专用解决方案需要CDP协议的支持。所以默认情况下,这个协议是开启的。但是我们做安全的人员需要注意,这个协议会带来比较大的安全隐患。我们需要在安全与实用性之间取得一个均衡。通常情况下,我们并不需要在所有的交换机等网络设备上都启用这个协议。或者说,这个协议要尽量的少用,要用在刀口上。

如CDP协议通常情况下只有管理员才用的着。所以安全人员可以在交换机的每个接口上都禁用CDP协议,而只为管理目的运行CDP协议。如通常情况下,需要在交换机的廉洁上和IP电话连接的接口上启用CDP协议。

再如可以考虑只在受控制范围内定设备之间运行CDP协议。这主要是因为CDP协议时一种链路级别的协议。通常情况下除非使用了第二层隧道机制,否则的话它是不会通过Wan进行端到端的传播。这也就是说,对于Wan连接,CDP表中可能包含服务器提供的下一跳路由器或者交换机的信息,而不是企业控制之下的远端路由器。总之就是不要再不安起的连接(一般Internet连接被认为是不安全的)上运行CDP协议。

总之,CDP协议在某些方面确实很有用。但是从安全的角度讲,不能够对CDP协议进行滥用。而应该将其用在刀刃上,在必需的接口上启用CDP协议。

五、注意SNMP是一把双刃剑

SNMP协议通CDP协议一样,其安全性也一直备受争议。笔者认为,SNMP协议是一把双刃剑。从管理角度讲,很多网络管理员离不开SNMP协议。但是从安全角度讲,其确实存在着比较大的安全隐患。这主要是因为SNMP协议在网络中通常是通过明文来传输的。即使是采用了SNMPV2C,其虽然采用了身份验证技术。但是其身份验证信息也是由简单的文本字符组成。而这些字符则是通过明文来进行传输。这就给企业的网络安全造成了隐患。

遇到这种情况时,安全管理人员应该采取适当的措施来确保SNMP协议的安全。笔者常用的手段是升级SNMP协议,采用SNMPV3版本。在这个版本中,可以设置对于传输的数据都采用加密处理,从而确保通信流量的安全性。

其次,可以结合上面谈到的访问控制列表来加强SNMP协议的安全性。如在访问控制列表中设置,交换机只转发那些来自受信子网或者工作站(其实就访问控制列表中定义允许的子网或者工作站的IP地址)的SNMP通信流量通过交换机。一般来说,只要做到这两点,SNMP协议的安全是有所保障的。

除此之外,限制链路聚集连接、关闭不需要的服务、少用HTTP协议等等,都是企业网络安全管理中的细节方面的内容。根据笔者的经验,大部分企业只要把握住这些细节,并不需要购买额外的安全设别,就可以满足企业在安全方面的需求。当然,像银行等金融机构,对安全性级别要求特高,那在做好这些细节时,还需要购买专业的安全设备。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章