引言:交換機自身具備不少有特色的安全功能,如果能夠深入了解并加以利用,可以為企業(yè)帶來很好的安全防護效果,b并能節(jié)省大量的IT支出成本,這對于不少IT投資預算不足的企業(yè)是很有價值的。本文將結合實際應用,介紹交換機常用的安全功能,希望給各位同行帶來一些幫助。
交換機作為企業(yè)信息化建設基礎設施的重要組成部分,是使用數(shù)量最多的網(wǎng)絡設備之一。近年來,隨著智能交換機技術的發(fā)展,交換機的功能有了很多擴展,除了傳統(tǒng)的二層(數(shù)據(jù)鏈路層)數(shù)據(jù)轉發(fā)功能以外,還具備了很多三層(網(wǎng)絡層)和四層(傳輸層)的功能。特別是交換機所具備的安全防護方面的功能,如果運用得當,可以以非常低的成本獲得較高的安全防護回報,為企業(yè)節(jié)省大量投資成本。下面將介紹Port security(端口安全)和ACL(訪問控制列表)兩種常用的交換機安全功能。
端口安全的基本功能就是根據(jù)交換機所轉發(fā)的二層數(shù)據(jù)包中的MAC地址來對網(wǎng)絡流量進行管理和控制,只允許經(jīng)過授權的MAC地址或者符合控制策略的MAC地址通過本端口通信,其他MAC地址發(fā)送的數(shù)據(jù)包經(jīng)過此端口時,端口安全特性會按照特定的策略進行阻止。使用端口安全特性可以防止未經(jīng)授權的設備接入網(wǎng)絡,起到一定的終端安全防護作用;另外,端口安全特性也可用于防止MAC地址泛洪而造成MAC地址轉發(fā)表溢出。
下面給出一個常用的示例場景:某公司人數(shù)不多,大概三十人的規(guī)模,利用1臺48口的思科3560交換機作為用戶接入,公司對于信息安全非常重視,為防止其他不安全的終端接入網(wǎng)絡,規(guī)定每個員工只允許一臺辦公電腦通過交換機端口接入網(wǎng)絡,但是少數(shù)員工為方便自己使用公司網(wǎng)絡資源,私自利用集線器擴展接入點,接入無線路由器、筆記本等其他終端,給公司的信息安全帶來很大的隱患。
在行政管理手段無法奏效的情況下,公司領導要求網(wǎng)絡管理人員利用技術手段徹底屏蔽這種私接,保障內網(wǎng)安全。其實對于這種典型的終端安全管理問題,引進基于802.1X技術的準入控制產品即可迎刃而解,但是公司領導明確要求不能花錢,必須利用公司現(xiàn)有的設備和技術去解決這個問題。
所以經(jīng)過分析上述需求,其實就是要求交換機端口與辦公電腦做到一一對應的關系,可利用接入交換機上的端口安全技術輕松解決。
簡單來說就是將辦公電腦的MAC地址與交換機的端口進行靜態(tài)綁定。首先,需要統(tǒng)計公司辦公電腦和交換機端口的接入對應關系,以及每臺辦公電腦的MAC地址。由于公司人數(shù)不多,統(tǒng)計相對簡單,最終整理出辦公電腦MAC地址與交換機端口的對照表即可;其次,在接入交換機上啟用端口安全,實施綁定策略,具體操作如下所示:
當端口接收到違反策略的MAC地址流量時,可以配置三種違規(guī)處理動作:
Protect:直接丟棄違規(guī)的MAC地址流量,但不會創(chuàng)建日志消息。
Restrict:直接丟棄違規(guī)的MAC地址流量,創(chuàng)建日志消息并發(fā)送SNMP Trap消息。
Shutdown:默認選項,將端口置于err-disabled狀態(tài),創(chuàng)建日志消息并發(fā)送SNMP Trap消息,需要手動恢復或者使用errdisable recovery特性重新開啟該端口。
通過在接入交換機每個端口上重復配置上述命令,即可徹底杜絕私接非法終端的行為,而且不需要花錢購買任何商業(yè)產品。如果用戶私接終端,那么就會觸發(fā)交換機的端口安全機制,自動將該端口關閉,只有通過網(wǎng)絡管理人員才能重新開啟。這樣就能嚴格規(guī)范用戶的網(wǎng)絡接入行為,保障了公司的信息安全,實現(xiàn)了技術與管理的深度融合。
訪問控制是實施網(wǎng)絡安全防護的基本策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問,它是保障網(wǎng)絡安全最重要的核心策略之一。訪問控制列表是應用在網(wǎng)絡設備接口的訪問控制指令的集合。這些指令集合通過數(shù)據(jù)包匹配,告訴網(wǎng)絡設備哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包應該拒絕,匹配條件包括源地址、目的地址、源端口、目的端口、優(yōu)先級等。
如果合理利用,訪問控制列表不僅可以控制網(wǎng)絡流量,更能夠起到保護網(wǎng)絡設備、服務器、應用系統(tǒng)的關鍵作用,作為進入企業(yè)內網(wǎng)的首道關卡,網(wǎng)絡設備上的訪問控制列表成為保護內網(wǎng)安全的有效手段。此外,在網(wǎng)絡設備的許多其他配置任務中都需要使用訪問控制列表,如Routemap策略路由、網(wǎng)絡地址轉換、路由重分布等等。
訪問控制列表主要包括標準ACL和擴展ACL兩類。標準ACL匹配IP數(shù)據(jù)包里的源地址,可對匹配成功的數(shù)據(jù)包采取permit和deny兩種操作,標準ACL的編號范圍是從1到99;擴展ACL比標準ACL具備更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口等,擴展ACL的編號范圍是從100到1999。由于擴展ACL具備更精細的網(wǎng)絡防護功能,在企業(yè)實際應用中更為普遍,下面給出一個擴展ACL應用的場景:
某大型企業(yè),用戶近千人,擁有自建數(shù)據(jù)中心,數(shù)據(jù)中心有近百臺服務器提供各類業(yè)務應用給用戶訪問;企業(yè)整體網(wǎng)絡架構是典型的“核心-匯聚-接入”三層架構,通過VLAN技術進行邏輯網(wǎng)絡隔離,其中服務器在192.168.1.0/24網(wǎng) 段,屬 于 VLAN2,用戶分 布 在192.168.4.0/24,192.168.5.0/24,192.168.6.0/24和192.168.7.0/24四個網(wǎng)段,分別屬于VLAN3,VLAN4,VLAN5和VLAN6。由于業(yè)務數(shù)據(jù)的保密要求較高,該企業(yè)需要實施較為嚴格的信息安全管控手段。在Internet出口處,已經(jīng)部署了防火墻、防毒墻、IPS等防護設備,能夠很好地防護來自Internet的安全威脅,但是由于部署位置的原因,這些高端的安全設備對于來自內網(wǎng)的安全威脅無能為力,為了保障內網(wǎng)服務器及業(yè)務數(shù)據(jù)的安全,公司領導要求僅僅開放業(yè)務系統(tǒng)使用的端口80,443 和 1433,服務器的其他端口全部禁止使用,并且要求盡可能節(jié)約成本。仔細分析,這個問題其實有兩種解決方案:
1.逐個在每臺服務器防火墻上設置相應的端口訪問控制策略。
2.在交換機對應端口實施ACL控制,按照策略過濾對應數(shù)據(jù)流量。
由于數(shù)據(jù)中心服務器數(shù)量較多,第一種方案工作量非常大,而且擴展性也很差,如果未來新添加服務器,還得手動進行設置,達不到“一勞永逸”的效果;而第二種方案則可以很好地規(guī)避上述這些問題,具體操作如下:
在核心交換機上創(chuàng)建相應的ACL:
通過上述設置后,核心交換機會根據(jù)port_protect的策略去過濾發(fā)往服務器VLAN2網(wǎng)段的IP數(shù)據(jù)包,只有來自VLAN3、VLAN4、VLAN5和VLAN6網(wǎng)段的用戶能夠訪問業(yè)務系統(tǒng)端口(80,443 和 1433),其他任何數(shù)據(jù)包均會被丟棄。如未來新添加服務器,也不需要再變更任何配置,這種集中式的網(wǎng)絡訪問控制策略降低了網(wǎng)絡管理人員的維護難度。
大多數(shù)交換機都具備一定的安全防護功能,無論大型企業(yè)還是中小型企業(yè),均能利用交換機的安全特性靈活實施安全策略,保障企業(yè)網(wǎng)絡安全。交換機作為終端接入的首道關卡,特殊的部署位置決定了交換機在安全防護方面大有可為。網(wǎng)絡管理人員應避免將交換機簡單視為數(shù)據(jù)轉發(fā)工具,充分挖掘其安全特性并加以利用,以實現(xiàn)交換機真正價值。