1. 2020年計算機軟考《網路管理員》考點:提高交換機埠的安全性
企業網路安全涉及到方方面面。從交換機來說,首選需要保證交換機埠的安全。在不少企業中,員工可以隨意的使用集線器等工具將一個上網埠增至多個,或者說使用自己的筆記本電腦連接到企業的網路中。類似的情況都會給企業的網路安全帶來不利的影響。在這篇文章中,筆者就跟大家談談,交換機埠的常見安全威脅及應對措施。
一、常見安全威脅
在企業中,威脅交換機埠的行為比較多,總結一下有如下幾種情況:
(1)未經授權的用戶主機隨意連接到企業的網路中。
如員工從自己家裡拿來一台電腦,可以在不經管理員同意的情況下,拔下某台主機的網線,插在自己帶來的電腦上。然後連入到企業的網路中。這會帶來很大的安全隱患。如員工帶來的電腦可能本身就帶有病毒。從而使得病毒通過企業內部網路進行傳播。或者非法復制企業內部的資料等等。
(2)未經批准採用集線器等設備。
有些員工為了增加網路終端的數量,會在未經授權的情況下,將集線器、交換機等設備插入到辦公室的網路介面上。如此的話,會導致這個網路介面對應的交換機介面流量增加,從而導致網路性能的下降。在企業網路日常管理中,這也是經常遇到的一種危險的行為。
在日常工作中,筆者發現不少網路管理員對於交換機埠的安全性不怎麼重視。這是他們網路安全管理中的一個盲區。他們對此有一個錯誤的認識。以為交換機鎖在機房裡,不會出大問題。或者說,只是將網路安全的重點放在防火牆等軟體上,而忽略了交換機埠等硬體的安全。這是非常致命的。
二、主要的應對措施
從以上的分析中可以看出,企業現在交換機埠的安全環境非常的薄弱。在這種情況下,該如何來加強埠的安全性呢?如何才能夠阻止非授權用戶的主機聯入到交換機的埠上呢?如何才能夠防止未經授權的用戶將集線器、交換機等設備插入到辦公室的網路介面上呢?對此筆者有如下幾個建議。
(1)從意識上要加以重視。
筆者認為,首先各位網路管理員從意識上要對此加以重視。特別是要消除輕硬體、重軟體這個錯誤的誤區。在實際工作中,要建立一套合理的安全規劃。如對於交換機的埠,要制定一套合理的安全策略,包括是否要對接入交換機埠的MAC地址與主機數量進行限制等等。安全策略制定完之後,再進行嚴格的配置。如此的話,就走完了交換機埠安全的第一步。根據交換機的工作原理,在系統中會有一個轉發過濾資料庫,會保存MAC地址等相關的信息。而通過交換機的埠安全策略,可以確保只有授權的用戶才能夠接入到交換機特定的埠中。為此只要網路管理員有這個心,其實完全有能力來保障交換機的埠安全。
(2)從技術角度來提高埠的安全性。
如比較常用的一種手段是某個特定的交換機埠只能夠連接某台特定的主機。如現在用戶從家裡拿來了一台筆記本電腦。將自己原先公司的網線接入到這台筆記本電腦中,會發現無法連入到企業的網路中。這時因為兩台電腦的MAC地址不同而造成的。因為在交換機的這個埠中,有一個限制條件。只有特定的IP地址才可以通過其這個埠連入到網路中。如果主機變更了,還需要讓其允許連接這個埠的話,那麼就需要重新調整交換機的MAC地址設置。這種手段的好處就是可以控制,只有授權的主機才能夠連接到交換機特定的埠中。未經授權的用戶無法進行連接。而缺陷就是配置的工作量會比較大。
在期初的時候,需要為每個交換機的埠進行配置。如果後續主機有調整或者網卡有更換的話(如最近打雷損壞的網卡特別多),那麼需要重新配置。這就會導致後續工作量的增加。如果需要進行這個MAC地址限制的話,可以通過使用命令switchport port–security mac-address來進行配置。使用這個命令後,可以將單個MAC地址分配到交換機的每個埠中。正如上面所說的,要執行這個限制的話,工作量會比較大。
(3)對可以介接入的設備進行限制。
出於客戶端性能的考慮,我們往往需要限制某個交換機埠可以連接的最多的主機數量。如我們可以將這個參數設置為1,那麼就只允許一台主機連接到交換機的埠中。如此的話,就可以避免用戶私自使用集線器或者交換機等設備拉增加埠的數量。不過這種策略跟上面的MAC地址策略還是有一定的區別。MAC地址安全策略的話,也只有一台主機可以連接到埠上。不過還必須是MAC地址匹配的主機才能夠進行連接。
而現在這個數量的限制策略,沒有MAC地址匹配的要求。也就是說,更換一台主機後,仍然可以正常連接到交換機的埠上。這個限制措施顯然比上面這個措施要寬松不少。不過工作量上也會減少不少。要實現這個策略的話,可以通過命令swichport-security maximun來實現。如故將這個參數設置為1,那麼就只允許一台主機連接到交換機的埠之上。這就可以變相的限制介入交換機或者集線器等設備。不過這里需要注意的是,如果用戶違反了這種情況,那麼交換機的埠就會被關閉掉。也就是說,一台主機都連接不到這個埠上。在實際工作中,這可能會殃及無辜。所以需要特別的注意。
(4)使用sticky參數來簡化管理。
在實際工作中,sticky參數是一個很好用的參數。可以大大的簡化MAC地址的配置。如企業現在網路部署完畢後,運行以下switch-port port-security mac-address ticky命令。那麼交換機各個埠就會自動記住當前所連接的主機的MAC地址。如此的話,在後續工作中,如果更換了主機的話,只要其MAC地址與原有主機不匹配的話,交換機就會拒絕這台主機的連接請求。這個參數主要提供靜態MAC地址的安全。管理員不需要再網路中輸入每個埠的MAC地址。從而可以簡化埠配置的工作。不過如果後續主機有調整,或者新增主機的話,仍然需要進行手工的配置。不過此時的配置往往是小范圍的,工作量還可以接受。
最後需要注意的是,如果在交換機的埠中同時連接PC主機與電話機的時候,需要將Maximun參數設置為2。因為對於交換機埠來說,電話機與PC機一樣,都是屬於同類型的設備。如果將參數設置為1,那麼就會出現問題。在電話機等設備集成的方案中設置埠安全策略時,需要特別注意這一點。很多網路管理員在實際工作中,會在這個地方載跟斗。
可見,要實現交換機的埠安全難度也不是很大,主要是網路管理員需要有這方面的觀念。然後使用交換機的埠安全特性,就可以保障交換機的埠安全。以上介紹的幾種方法,各有各的特點。在可操作性上與安全性上各有不同。網路管理員需要根據自己公司網路的規模、對於安全性的要求等各個方面的因素來選擇採用的方案。總之,在網路安全逐漸成為管理員心頭大患的今天,交換機的埠安全必須引起大家的關注。
1、 考試要求 (1)熟悉計算機系統基礎知識; (2)熟悉數據通信的基本知識; (3)熟悉計算機網路的體系結構,了解TCPIP協議的基本知識; (4)熟悉常用計算機網路互連設備和通信傳輸介質的性能、特點; (5)熟悉Internet的基本知識和應用; (6)掌握區域網體系結構和區域網技術基礎; (7)掌握乙太網的性能、特點、組網方法及簡單管理; (8)掌握主流操作系統的安裝、設置和管理方法; (9)熟悉DNS、WWW、MAIL、FTP和代理伺服器的配置和管理; (10)掌握Web網站的建立、管理與維護方法,熟悉網頁製作技術; (11)熟悉綜合布線基礎技術; (12)熟悉計算機網路安全的相關問題和防範技術; (13)了解計算機網路有關的法律、法規,以及信息化的基礎知識; (14)了解計算機網路的新技術、新發展; (15)正確閱讀和理解本領域的簡單英文資料。 2、 本考試的合格人員能夠進行小型網路系統的設計、構建、安裝和調試,中小型區域網的運行維護和日常管理;根據應用部門的需求,構建和維護Web網站,進行網頁製作;具有助理工程師(或技術員)的實際工作能力和業務水平。 3、 本考試設置的科目包括 (1) 計算機與網路基礎知識,考試時間為150分鍾,筆試; (2) 網路系統的管理與維護,考試時間為150分鍾,筆試。 二、考試范圍 考試科目1:計算機與網路基礎知識 1.計算機科學基礎 1.1 數制及其轉換 二進制、十進制和十六進制等常用數制及其相互轉換 1.2 數據的表示 數的表示(原碼、反碼、補碼表示,整數和實數的機內表示) 非數值表示(字元和漢字表示、聲音表示、圖像表示) 校驗方法和校驗碼(奇偶校驗) 1.3 算術運算 計算機中的二進制數運算方法 2. 計算機系統基礎知識 2.1 硬體基礎知識 計算機系統的結構和工作原理 CPU的結構、特徵、分類及發展 存儲器的結構、特徵分類及發展 IO介面、IO設備和通信設備 2.2 軟體基礎知識 操作系統的類型、配置 操作系統的功能 資料庫系統基礎知識 應用軟體的安裝與配置 網路管理軟體的功能 3. 計算機網路基礎知識 3.1 數據通信基礎知識 數據信號、信道的基本概念 數據通信模型的構成 數據傳輸基礎知識 數據編碼的分類和基本原理 多路復用技術的分類、基本原理和應用領域 數據交換技術的分類、基本原理和性能特點 3.2 計算機網路基礎知識 計算機網路的概念、分類和構成 協議的概念,開放系統互連參考模型的結構及各層的功能 TCPIP協議的概念及IP數據報的格式、IP地址、子網掩碼和域名 3.3 區域網技術基礎 IEEE802參考模型 區域網拓撲結構 區域網媒體訪問控制技術CSMACD 乙太網的發展歷程 乙太網的分類及各種乙太網的性能特點 乙太網技術基礎、IEEE802.3幀結構、乙太網跨距 交換型乙太網、全雙工乙太網的基本原理和特點 4. 計算機網路應用基礎知識 4.1 網際網路應用基礎知識 網際網路的概念、起源和提供的基本服務,以及我國的網際網路現狀 通過PSTN、ISDN、ADSL和區域網拉入網際網路的基本原理和特性 WWW、主頁、超級鏈接、HTML的概念及應用 電子郵件、FTP、Telnet、BBS、ICQ、網路新聞組、網路傳真、網路視頻會議、電子商務和電子政務的概念及應用 4.2 網路操作系統基礎知識 網路操作系統的概念、結構和特點 Windows操作系統的安裝、配置和基本應用 Linux操作系統的安裝、配置和基本應用、KDE環境和Linux操作命令 4.3 應用伺服器基礎知識 DNS服務的基本原理 WWW服務的基本原理 FTP服務的基本原理 電子郵件服務的基本原理 5. 網路管理基礎知識 5.1 網路管理基本概念 網路管理的概念、功能、網路管理標准和網路管理模型 簡單網路管理協議SNMP概述、管理信息庫、SNMP操作 5.2 網路管理系統基礎知識 網路管理系統概念 Sniffer的功能和特點 6. 網路安全基礎知識 可信計算機系統評估准則 網路安全漏洞 網路安全控制技術 防火牆基本原理 入侵檢測系統的功能和基本原理 漏洞掃描系統的功能和基本原理 網路防病毒系統的功能和基本原理 CA中心建設的概念和基本原理 容災系統 應急處理常用方法和技術 7. 標准化基礎知識 標准化機構 常用的國內外IT標准 8. 信息化基本知識 信息化概念 有關的法律、法規 9. 與網路系統有關的新技術、新方法的概念 無線個人網、無線區域網、無線城域網和無線廣域網的標准 無線區域網的拓撲結構、媒體訪問控制方式和擴頻技術,IEEE802.11 新一代網路管理系統 新一代網路技術(Ipv6,3G) 網路 10.專業英語 掌握計算機技術的基本英文詞彙 能正確閱讀和理解本領域的簡單英文資料 考試科目2:網路系統的管理與維護 1. 小型計算機區域網的構建 組網設計 組網技術選擇 組網設備選擇及部署 設備配置和管理 劃分VLAN 2. 綜合布線 綜合布線概念、組成、設計及依據的標准 綜合布線基礎環境准備 線纜及相關硬體的選擇與安裝 綜合布線系統的性能指標及測試流程 3. 小型計算機區域網伺服器配置 IP地址、子網掩碼的規劃配置 DNS伺服器的規劃、設置和維護(Linux環境和Windows環境) 電子郵件伺服器的規劃、設置和維護(Linux環境和Windows環境) FTP伺服器的規劃、設置和維護(Linux環境和Windows環境) 代理伺服器的規劃、設置和維護(Linux環境和Windows環境) DHCP伺服器的安裝與設置 4. Web網站的建立、管理維護以及網頁製作 Web網路的規劃、建設、管理與維護 使用HTML和相關軟體進行網頁設計與製作(如選用Photoshop、Flash、Fireworks或Dreamweaver等) JSP、ASP、XML等動態網頁編程技術的基本概念 5. 網路系統的運行、維護和管理 使用網路管理軟體對網路的配置、安全、性能、故障、計費進行監督和管理 簡單網路故障的分析、定位、診斷和排除 小型網路的維護策略、計劃和實施 數據備份和數據恢復 系統性能分析,系統潛在問題分析 6. 防火牆技術 網路病毒防護策略 防火牆的配置策略 入侵處理策略 漏洞處理策略
滿意請採納