交換機是一種基于硬件專用集成電路，進行物理地址（mac）識別，能完成封裝轉發(fā)數據包功能的網絡設備。其工作原理是當交換機從某端口收到數據包，它先讀取包頭中的源mac地址，學習知道源mac地址的機器是連在哪個端口上，接著讀取目的mac地址，查找mac地址表及其對應端口，如查到則直接把數據包復制到該端口，如查找不到則把這個數據包進行廣播，當目的機器回應時，交換機則記錄、更新mac地址表。交換機的優(yōu)點在于它基于硬件，可同時提供多個通道，比采用共享式的集線器提供更多帶寬，在時間響應方面則比路由器提供更寬的帶寬及交換速度，而且價格更低。

專網交換機管理現(xiàn)狀

1.專網網絡建設情況

單位進行信息化過程中，建設了自己的辦公專網，隨著投入的深入，越來越多的網絡交換機在專網中得到了應用。網絡設備增多應用的同時給網絡管理人員帶來巨大的維護壓力。專網交換機的易管理性與安全性成反比，因傳輸信息密級不同，所采用的安全策略也有所不同，傳輸信息密級高的，采用的安全策略相對復雜，傳輸密級較低的，應用的安全策略也不需那么多，這樣才能實現(xiàn)管理維護、開銷與安全的平衡。

2.專網交換機管理面臨的安全分析

目前，專網交換機管理面臨的安全問題主要體現(xiàn)在物理管理安全、設備管理維護安全和用戶接入安全三方面。

從物理管理安全看:近些年專網網系建設較集中且網系逐漸增多，設備架設位置地點松散，主要體現(xiàn)在網絡設備管理巡視，機房環(huán)境、設備狀態(tài)監(jiān)管力度待加強，建設中也缺乏相應監(jiān)管配套，后期可實施規(guī)章制度建設跟不上等等。

從設備管理維護安全看:專網系統(tǒng)、設備的網絡管理員、審計員職責區(qū)分不夠，多為一人，而且多個管理員統(tǒng)一用一個賬號進行系統(tǒng)配置、管理，缺乏管理審計，系統(tǒng)設備管理能力、方法、手段簡單，缺乏專業(yè)性，安全策略實施較少。

從用戶接入看:對網絡用戶接入控制安全措施較少，有用戶對終端地址配置隨意改動現(xiàn)象，缺乏用戶接入控制策略。

交換機管理安全策略

下面主要從專網交換機的設備管理維護安全、用戶接入安全及安全防攻擊等方面進行安全策略部署實施方法進行分析、闡述，不同廠商設備可能管理維護命令不同，但功能是相通的。

1.設備管理維護安全

(1)嚴格管理口令密碼強度

密碼位數建議至少8位；不要使用單純的數字、字母尤其是出生年月日期、英文單詞等弱口令；建議設置大小寫字母、數字、符號混合使用的中強密碼，如:Admin007、Admin#007，如需加強，可使用轉盤代密，并定期更新。

（2）嚴格設備管理權限

第一、限制遠程管理源地址，如下配置實現(xiàn)對遠程登錄的管理終端地址進行限制:

第二、限制snmp協(xié)議管理源地址，如下配置實現(xiàn)對網絡管理服務器地址進行限制:

第三、設置管理會話過期時間限制，如下配置實現(xiàn)對管理連接會話過期時間進行限制:

第四、建立管理信息日志服務，如下配置實現(xiàn)把交換機狀態(tài)日志傳送到日志服務器:

（3）使用安全管理協(xié)議

第一、使用加密管理協(xié)議管理設備，禁用telnet協(xié)議，使用ssh協(xié)議，如下配置實現(xiàn)禁用telnet協(xié)議，使用ssh協(xié)議管理設備:

第二、采用簡單網管協(xié)議snmp v3版本進行設備管理，如下配置實現(xiàn)利用snmp v3，進行設備管理:

第三、使用配置口令密文服務，實現(xiàn) password，secret、vty、console口令的密文，如下配置使交換機口令簡單加密:

（4）建立虛擬局域網機制

第一、利用交換機虛擬局域網技術（vlan）實現(xiàn)靈活、更加規(guī)范的用戶隔離域，減小網絡管理開銷，控制網絡廣播范圍。

第二、建立虛擬局域網干道協(xié)議（vtp）機制，之間采用密鑰通信機制。于核心交換機設置成server，其他接入交換機設置成client，之間實施密鑰通信。

第三、采用生成樹協(xié)議（stp）在網絡中建立樹形拓撲，消除網絡中的環(huán)路，避免由于環(huán)路形成廣播風暴。

2.用戶接入安全

第一、利用IEEE802.1x安全認證手段，進行用戶權限認證:

第二、限制不同用戶使用命令權限:

第三、對用戶端口進行安全設置。

設置安全端口，實施ip地址和物理地址綁定，借助安全端口，可以只容許指定的MAC地址或指定數量的MAC地址訪問:

第四，關閉未分配、不必要的物理端口:

3.安全防攻擊策略

（1）關閉不必要服務

第一、如無需要，禁止基于udp/tcp協(xié)議的小服務:

第二、如無需要，配置禁止finger、ntp、cdp協(xié)議 :

（2）配置嚴謹的訪問控制策略

第一、防外部地址ip欺騙

阻止源地址為私有地址的所有通信流。

阻止源地址為回環(huán)地址的所有通信流。

第二、阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流，如在對外部接口的向內方數據流用101過濾。

阻止源地址為私有地址的所有通信流。

阻止源地址為回環(huán)地址的所有通信流。

阻止源地址為多目的地址的所有通信流。

阻止沒有列出源地址的通信流。

第三、防外部非法探測

阻止用ping探測網絡，阻止用traceroute探測網絡，如在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出，不阻止探測進入。

第四、保護不受攻擊

阻止對關鍵端口的非法訪問

第五、對內網的重要服務器進行訪問限制

允許外部用戶到Web服務器的向內連接請求。

允許Web服務器到外部用戶的向外答復。

允許外部SMTP服務器向內部郵件服務器的向內連接請求。

允許內部郵件服務器向外部SMTP服務器的向外答復。

允許內部郵件服務器向外DNS查詢。

允許到內部郵件服務器的向內的DNS答復。

允許內部主機的向外TCP連接。

允許對請求主機的向內TCP答復。

總結

通過對交換機管理面臨的安全分析與具體的安全策略部署分析，筆者認為在專網中對交換機實施安全策略，對整個網絡的健壯性和安全性的提高，相對于交換機有限的開銷、較繁雜的用戶接入管理安全相比是非常值得的，特別是在傳輸信息密級較高的專網，實施之后足以避免不必要的因病毒爆發(fā)或網絡入侵帶來的損失。