1. 2020年计算机软考《网络管理员》考点:提高交换机端口的安全性
企业网络安全涉及到方方面面。从交换机来说,首选需要保证交换机端口的安全。在不少企业中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到企业的网路中。类似的情况都会给企业的网络安全带来不利的影响。在这篇文章中,笔者就跟大家谈谈,交换机端口的常见安全威胁及应对措施。
一、常见安全威胁
在企业中,威胁交换机端口的行为比较多,总结一下有如下几种情况:
(1)未经授权的用户主机随意连接到企业的网络中。
如员工从自己家里拿来一台电脑,可以在不经管理员同意的情况下,拔下某台主机的网线,插在自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。
(2)未经批准采用集线器等设备。
有些员工为了增加网络终端的数量,会在未经授权的情况下,将集线器、交换机等设备插入到办公室的网络接口上。如此的话,会导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。在企业网络日常管理中,这也是经常遇到的一种危险的行为。
在日常工作中,笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。这是他们网络安全管理中的一个盲区。他们对此有一个错误的认识。以为交换机锁在机房里,不会出大问题。或者说,只是将网络安全的重点放在防火墙等软件上,而忽略了交换机端口等硬件的安全。这是非常致命的。
二、主要的应对措施
从以上的分析中可以看出,企业现在交换机端口的安全环境非常的薄弱。在这种情况下,该如何来加强端口的安全性呢?如何才能够阻止非授权用户的主机联入到交换机的端口上呢?如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢?对此笔者有如下几个建议。
(1)从意识上要加以重视。
笔者认为,首先各位网络管理员从意识上要对此加以重视。特别是要消除轻硬件、重软件这个错误的误区。在实际工作中,要建立一套合理的安全规划。如对于交换机的端口,要制定一套合理的安全策略,包括是否要对接入交换机端口的MAC地址与主机数量进行限制等等。安全策略制定完之后,再进行严格的配置。如此的话,就走完了交换机端口安全的第一步。根据交换机的工作原理,在系统中会有一个转发过滤数据库,会保存MAC地址等相关的信息。而通过交换机的端口安全策略,可以确保只有授权的用户才能够接入到交换机特定的端口中。为此只要网络管理员有这个心,其实完全有能力来保障交换机的端口安全。
(2)从技术角度来提高端口的安全性。
如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主机。如现在用户从家里拿来了一台笔记本电脑。将自己原先公司的网线接入到这台笔记本电脑中,会发现无法连入到企业的网络中。这时因为两台电脑的MAC地址不同而造成的。因为在交换机的这个端口中,有一个限制条件。只有特定的IP地址才可以通过其这个端口连入到网络中。如果主机变更了,还需要让其允许连接这个端口的话,那么就需要重新调整交换机的MAC地址设置。这种手段的好处就是可以控制,只有授权的主机才能够连接到交换机特定的端口中。未经授权的用户无法进行连接。而缺陷就是配置的工作量会比较大。
在期初的时候,需要为每个交换机的端口进行配置。如果后续主机有调整或者网卡有更换的话(如最近打雷损坏的网卡特别多),那么需要重新配置。这就会导致后续工作量的增加。如果需要进行这个MAC地址限制的话,可以通过使用命令switchport port–security mac-address来进行配置。使用这个命令后,可以将单个MAC地址分配到交换机的每个端口中。正如上面所说的,要执行这个限制的话,工作量会比较大。
(3)对可以介接入的设备进行限制。
出于客户端性能的考虑,我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1,那么就只允许一台主机连接到交换机的端口中。如此的话,就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话,也只有一台主机可以连接到端口上。不过还必须是MAC地址匹配的主机才能够进行连接。
而现在这个数量的限制策略,没有MAC地址匹配的要求。也就是说,更换一台主机后,仍然可以正常连接到交换机的端口上。这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话,可以通过命令swichport-security maximun来实现。如故将这个参数设置为1,那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是,如果用户违反了这种情况,那么交换机的端口就会被关闭掉。也就是说,一台主机都连接不到这个端口上。在实际工作中,这可能会殃及无辜。所以需要特别的注意。
(4)使用sticky参数来简化管理。
在实际工作中,sticky参数是一个很好用的参数。可以大大的简化MAC地址的配置。如企业现在网络部署完毕后,运行以下switch-port port-security mac-address ticky命令。那么交换机各个端口就会自动记住当前所连接的主机的MAC地址。如此的话,在后续工作中,如果更换了主机的话,只要其MAC地址与原有主机不匹配的话,交换机就会拒绝这台主机的连接请求。这个参数主要提供静态MAC地址的安全。管理员不需要再网络中输入每个端口的MAC地址。从而可以简化端口配置的工作。不过如果后续主机有调整,或者新增主机的话,仍然需要进行手工的配置。不过此时的配置往往是小范围的,工作量还可以接受。
最后需要注意的是,如果在交换机的端口中同时连接PC主机与电话机的时候,需要将Maximun参数设置为2。因为对于交换机端口来说,电话机与PC机一样,都是属于同类型的设备。如果将参数设置为1,那么就会出现问题。在电话机等设备集成的方案中设置端口安全策略时,需要特别注意这一点。很多网络管理员在实际工作中,会在这个地方载跟斗。
可见,要实现交换机的端口安全难度也不是很大,主要是网络管理员需要有这方面的观念。然后使用交换机的端口安全特性,就可以保障交换机的端口安全。以上介绍的几种方法,各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之,在网络安全逐渐成为管理员心头大患的今天,交换机的端口安全必须引起大家的关注。
1、 考试要求 (1)熟悉计算机系统基础知识; (2)熟悉数据通信的基本知识; (3)熟悉计算机网络的体系结构,了解TCPIP协议的基本知识; (4)熟悉常用计算机网络互连设备和通信传输介质的性能、特点; (5)熟悉Internet的基本知识和应用; (6)掌握局域网体系结构和局域网技术基础; (7)掌握以太网的性能、特点、组网方法及简单管理; (8)掌握主流操作系统的安装、设置和管理方法; (9)熟悉DNS、WWW、MAIL、FTP和代理服务器的配置和管理; (10)掌握Web网站的建立、管理与维护方法,熟悉网页制作技术; (11)熟悉综合布线基础技术; (12)熟悉计算机网络安全的相关问题和防范技术; (13)了解计算机网络有关的法律、法规,以及信息化的基础知识; (14)了解计算机网络的新技术、新发展; (15)正确阅读和理解本领域的简单英文资料。 2、 本考试的合格人员能够进行小型网络系统的设计、构建、安装和调试,中小型局域网的运行维护和日常管理;根据应用部门的需求,构建和维护Web网站,进行网页制作;具有助理工程师(或技术员)的实际工作能力和业务水平。 3、 本考试设置的科目包括 (1) 计算机与网络基础知识,考试时间为150分钟,笔试; (2) 网络系统的管理与维护,考试时间为150分钟,笔试。 二、考试范围 考试科目1:计算机与网络基础知识 1.计算机科学基础 1.1 数制及其转换 二进制、十进制和十六进制等常用数制及其相互转换 1.2 数据的表示 数的表示(原码、反码、补码表示,整数和实数的机内表示) 非数值表示(字符和汉字表示、声音表示、图像表示) 校验方法和校验码(奇偶校验) 1.3 算术运算 计算机中的二进制数运算方法 2. 计算机系统基础知识 2.1 硬件基础知识 计算机系统的结构和工作原理 CPU的结构、特征、分类及发展 存储器的结构、特征分类及发展 IO接口、IO设备和通信设备 2.2 软件基础知识 操作系统的类型、配置 操作系统的功能 数据库系统基础知识 应用软件的安装与配置 网络管理软件的功能 3. 计算机网络基础知识 3.1 数据通信基础知识 数据信号、信道的基本概念 数据通信模型的构成 数据传输基础知识 数据编码的分类和基本原理 多路复用技术的分类、基本原理和应用领域 数据交换技术的分类、基本原理和性能特点 3.2 计算机网络基础知识 计算机网络的概念、分类和构成 协议的概念,开放系统互连参考模型的结构及各层的功能 TCPIP协议的概念及IP数据报的格式、IP地址、子网掩码和域名 3.3 局域网技术基础 IEEE802参考模型 局域网拓扑结构 局域网媒体访问控制技术CSMACD 以太网的发展历程 以太网的分类及各种以太网的性能特点 以太网技术基础、IEEE802.3帧结构、以太网跨距 交换型以太网、全双工以太网的基本原理和特点 4. 计算机网络应用基础知识 4.1 因特网应用基础知识 因特网的概念、起源和提供的基本服务,以及我国的因特网现状 通过PSTN、ISDN、ADSL和局域网拉入因特网的基本原理和特性 WWW、主页、超级链接、HTML的概念及应用 电子邮件、FTP、Telnet、BBS、ICQ、网络新闻组、网络传真、网络视频会议、电子商务和电子政务的概念及应用 4.2 网络操作系统基础知识 网络操作系统的概念、结构和特点 Windows操作系统的安装、配置和基本应用 Linux操作系统的安装、配置和基本应用、KDE环境和Linux操作命令 4.3 应用服务器基础知识 DNS服务的基本原理 WWW服务的基本原理 FTP服务的基本原理 电子邮件服务的基本原理 5. 网络管理基础知识 5.1 网络管理基本概念 网络管理的概念、功能、网络管理标准和网络管理模型 简单网络管理协议SNMP概述、管理信息库、SNMP操作 5.2 网络管理系统基础知识 网络管理系统概念 Sniffer的功能和特点 6. 网络安全基础知识 可信计算机系统评估准则 网络安全漏洞 网络安全控制技术 防火墙基本原理 入侵检测系统的功能和基本原理 漏洞扫描系统的功能和基本原理 网络防病毒系统的功能和基本原理 CA中心建设的概念和基本原理 容灾系统 应急处理常用方法和技术 7. 标准化基础知识 标准化机构 常用的国内外IT标准 8. 信息化基本知识 信息化概念 有关的法律、法规 9. 与网络系统有关的新技术、新方法的概念 无线个人网、无线局域网、无线城域网和无线广域网的标准 无线局域网的拓扑结构、媒体访问控制方式和扩频技术,IEEE802.11 新一代网络管理系统 新一代网络技术(Ipv6,3G) 网络 10.专业英语 掌握计算机技术的基本英文词汇 能正确阅读和理解本领域的简单英文资料 考试科目2:网络系统的管理与维护 1. 小型计算机局域网的构建 组网设计 组网技术选择 组网设备选择及部署 设备配置和管理 划分VLAN 2. 综合布线 综合布线概念、组成、设计及依据的标准 综合布线基础环境准备 线缆及相关硬件的选择与安装 综合布线系统的性能指标及测试流程 3. 小型计算机局域网服务器配置 IP地址、子网掩码的规划配置 DNS服务器的规划、设置和维护(Linux环境和Windows环境) 电子邮件服务器的规划、设置和维护(Linux环境和Windows环境) FTP服务器的规划、设置和维护(Linux环境和Windows环境) 代理服务器的规划、设置和维护(Linux环境和Windows环境) DHCP服务器的安装与设置 4. Web网站的建立、管理维护以及网页制作 Web网络的规划、建设、管理与维护 使用HTML和相关软件进行网页设计与制作(如选用Photoshop、Flash、Fireworks或Dreamweaver等) JSP、ASP、XML等动态网页编程技术的基本概念 5. 网络系统的运行、维护和管理 使用网络管理软件对网络的配置、安全、性能、故障、计费进行监督和管理 简单网络故障的分析、定位、诊断和排除 小型网络的维护策略、计划和实施 数据备份和数据恢复 系统性能分析,系统潜在问题分析 6. 防火墙技术 网络病毒防护策略 防火墙的配置策略 入侵处理策略 漏洞处理策略
满意请采纳