剖析交換機(jī)安全功能

引言：交換機(jī)自身具備不少有特色的安全功能，如果能夠深入了解并加以利用，可以為企業(yè)帶來(lái)很好的安全防護(hù)效果，b并能節(jié)省大量的IT支出成本，這對(duì)于不少I(mǎi)T投資預(yù)算不足的企業(yè)是很有價(jià)值的。本文將結(jié)合實(shí)際應(yīng)用，介紹交換機(jī)常用的安全功能，希望給各位同行帶來(lái)一些幫助。

交換機(jī)作為企業(yè)信息化建設(shè)基礎(chǔ)設(shè)施的重要組成部分，是使用數(shù)量最多的網(wǎng)絡(luò)設(shè)備之一。近年來(lái)，隨著智能交換機(jī)技術(shù)的發(fā)展，交換機(jī)的功能有了很多擴(kuò)展，除了傳統(tǒng)的二層（數(shù)據(jù)鏈路層）數(shù)據(jù)轉(zhuǎn)發(fā)功能以外，還具備了很多三層（網(wǎng)絡(luò)層）和四層（傳輸層）的功能。特別是交換機(jī)所具備的安全防護(hù)方面的功能，如果運(yùn)用得當(dāng)，可以以非常低的成本獲得較高的安全防護(hù)回報(bào)，為企業(yè)節(jié)省大量投資成本。下面將介紹Port security（端口安全）和ACL（訪(fǎng)問(wèn)控制列表）兩種常用的交換機(jī)安全功能。

端口安全

端口安全的基本功能就是根據(jù)交換機(jī)所轉(zhuǎn)發(fā)的二層數(shù)據(jù)包中的MAC地址來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行管理和控制，只允許經(jīng)過(guò)授權(quán)的MAC地址或者符合控制策略的MAC地址通過(guò)本端口通信，其他MAC地址發(fā)送的數(shù)據(jù)包經(jīng)過(guò)此端口時(shí)，端口安全特性會(huì)按照特定的策略進(jìn)行阻止。使用端口安全特性可以防止未經(jīng)授權(quán)的設(shè)備接入網(wǎng)絡(luò)，起到一定的終端安全防護(hù)作用；另外，端口安全特性也可用于防止MAC地址泛洪而造成MAC地址轉(zhuǎn)發(fā)表溢出。

下面給出一個(gè)常用的示例場(chǎng)景：某公司人數(shù)不多，大概三十人的規(guī)模，利用1臺(tái)48口的思科3560交換機(jī)作為用戶(hù)接入，公司對(duì)于信息安全非常重視，為防止其他不安全的終端接入網(wǎng)絡(luò)，規(guī)定每個(gè)員工只允許一臺(tái)辦公電腦通過(guò)交換機(jī)端口接入網(wǎng)絡(luò)，但是少數(shù)員工為方便自己使用公司網(wǎng)絡(luò)資源，私自利用集線(xiàn)器擴(kuò)展接入點(diǎn)，接入無(wú)線(xiàn)路由器、筆記本等其他終端，給公司的信息安全帶來(lái)很大的隱患。

在行政管理手段無(wú)法奏效的情況下，公司領(lǐng)導(dǎo)要求網(wǎng)絡(luò)管理人員利用技術(shù)手段徹底屏蔽這種私接，保障內(nèi)網(wǎng)安全。其實(shí)對(duì)于這種典型的終端安全管理問(wèn)題，引進(jìn)基于802.1X技術(shù)的準(zhǔn)入控制產(chǎn)品即可迎刃而解，但是公司領(lǐng)導(dǎo)明確要求不能花錢(qián)，必須利用公司現(xiàn)有的設(shè)備和技術(shù)去解決這個(gè)問(wèn)題。

所以經(jīng)過(guò)分析上述需求，其實(shí)就是要求交換機(jī)端口與辦公電腦做到一一對(duì)應(yīng)的關(guān)系，可利用接入交換機(jī)上的端口安全技術(shù)輕松解決。

簡(jiǎn)單來(lái)說(shuō)就是將辦公電腦的MAC地址與交換機(jī)的端口進(jìn)行靜態(tài)綁定。首先，需要統(tǒng)計(jì)公司辦公電腦和交換機(jī)端口的接入對(duì)應(yīng)關(guān)系，以及每臺(tái)辦公電腦的MAC地址。由于公司人數(shù)不多，統(tǒng)計(jì)相對(duì)簡(jiǎn)單，最終整理出辦公電腦MAC地址與交換機(jī)端口的對(duì)照表即可；其次，在接入交換機(jī)上啟用端口安全，實(shí)施綁定策略，具體操作如下所示：

當(dāng)端口接收到違反策略的MAC地址流量時(shí)，可以配置三種違規(guī)處理動(dòng)作：

Protect：直接丟棄違規(guī)的MAC地址流量，但不會(huì)創(chuàng)建日志消息。

Restrict：直接丟棄違規(guī)的MAC地址流量，創(chuàng)建日志消息并發(fā)送SNMP Trap消息。

Shutdown：默認(rèn)選項(xiàng)，將端口置于err-disabled狀態(tài)，創(chuàng)建日志消息并發(fā)送SNMP Trap消息，需要手動(dòng)恢復(fù)或者使用errdisable recovery特性重新開(kāi)啟該端口。

通過(guò)在接入交換機(jī)每個(gè)端口上重復(fù)配置上述命令，即可徹底杜絕私接非法終端的行為，而且不需要花錢(qián)購(gòu)買(mǎi)任何商業(yè)產(chǎn)品。如果用戶(hù)私接終端，那么就會(huì)觸發(fā)交換機(jī)的端口安全機(jī)制，自動(dòng)將該端口關(guān)閉，只有通過(guò)網(wǎng)絡(luò)管理人員才能重新開(kāi)啟。這樣就能?chē)?yán)格規(guī)范用戶(hù)的網(wǎng)絡(luò)接入行為，保障了公司的信息安全，實(shí)現(xiàn)了技術(shù)與管理的深度融合。

訪(fǎng)問(wèn)控制列表

訪(fǎng)問(wèn)控制是實(shí)施網(wǎng)絡(luò)安全防護(hù)的基本策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)，它是保障網(wǎng)絡(luò)安全最重要的核心策略之一。訪(fǎng)問(wèn)控制列表是應(yīng)用在網(wǎng)絡(luò)設(shè)備接口的訪(fǎng)問(wèn)控制指令的集合。這些指令集合通過(guò)數(shù)據(jù)包匹配，告訴網(wǎng)絡(luò)設(shè)備哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包應(yīng)該拒絕，匹配條件包括源地址、目的地址、源端口、目的端口、優(yōu)先級(jí)等。

如果合理利用，訪(fǎng)問(wèn)控制列表不僅可以控制網(wǎng)絡(luò)流量，更能夠起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)的關(guān)鍵作用，作為進(jìn)入企業(yè)內(nèi)網(wǎng)的首道關(guān)卡，網(wǎng)絡(luò)設(shè)備上的訪(fǎng)問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。此外，在網(wǎng)絡(luò)設(shè)備的許多其他配置任務(wù)中都需要使用訪(fǎng)問(wèn)控制列表，如Routemap策略路由、網(wǎng)絡(luò)地址轉(zhuǎn)換、路由重分布等等。

訪(fǎng)問(wèn)控制列表主要包括標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩類(lèi)。標(biāo)準(zhǔn)ACL匹配IP數(shù)據(jù)包里的源地址，可對(duì)匹配成功的數(shù)據(jù)包采取permit和deny兩種操作，標(biāo)準(zhǔn)ACL的編號(hào)范圍是從1到99；擴(kuò)展ACL比標(biāo)準(zhǔn)ACL具備更多的匹配項(xiàng)，包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口等，擴(kuò)展ACL的編號(hào)范圍是從100到1999。由于擴(kuò)展ACL具備更精細(xì)的網(wǎng)絡(luò)防護(hù)功能，在企業(yè)實(shí)際應(yīng)用中更為普遍，下面給出一個(gè)擴(kuò)展ACL應(yīng)用的場(chǎng)景：

某大型企業(yè)，用戶(hù)近千人，擁有自建數(shù)據(jù)中心，數(shù)據(jù)中心有近百臺(tái)服務(wù)器提供各類(lèi)業(yè)務(wù)應(yīng)用給用戶(hù)訪(fǎng)問(wèn)；企業(yè)整體網(wǎng)絡(luò)架構(gòu)是典型的“核心-匯聚-接入”三層架構(gòu)，通過(guò)VLAN技術(shù)進(jìn)行邏輯網(wǎng)絡(luò)隔離，其中服務(wù)器在192.168.1.0/24網(wǎng) 段，屬 于 VLAN2，用戶(hù)分 布 在192.168.4.0/24，192.168.5.0/24，192.168.6.0/24和192.168.7.0/24四個(gè)網(wǎng)段，分別屬于VLAN3，VLAN4，VLAN5和VLAN6。由于業(yè)務(wù)數(shù)據(jù)的保密要求較高，該企業(yè)需要實(shí)施較為嚴(yán)格的信息安全管控手段。在Internet出口處，已經(jīng)部署了防火墻、防毒墻、IPS等防護(hù)設(shè)備，能夠很好地防護(hù)來(lái)自Internet的安全威脅，但是由于部署位置的原因，這些高端的安全設(shè)備對(duì)于來(lái)自?xún)?nèi)網(wǎng)的安全威脅無(wú)能為力，為了保障內(nèi)網(wǎng)服務(wù)器及業(yè)務(wù)數(shù)據(jù)的安全，公司領(lǐng)導(dǎo)要求僅僅開(kāi)放業(yè)務(wù)系統(tǒng)使用的端口80，443 和 1433，服務(wù)器的其他端口全部禁止使用，并且要求盡可能節(jié)約成本。仔細(xì)分析，這個(gè)問(wèn)題其實(shí)有兩種解決方案：

1.逐個(gè)在每臺(tái)服務(wù)器防火墻上設(shè)置相應(yīng)的端口訪(fǎng)問(wèn)控制策略。

2.在交換機(jī)對(duì)應(yīng)端口實(shí)施ACL控制，按照策略過(guò)濾對(duì)應(yīng)數(shù)據(jù)流量。

由于數(shù)據(jù)中心服務(wù)器數(shù)量較多，第一種方案工作量非常大，而且擴(kuò)展性也很差，如果未來(lái)新添加服務(wù)器，還得手動(dòng)進(jìn)行設(shè)置，達(dá)不到“一勞永逸”的效果；而第二種方案則可以很好地規(guī)避上述這些問(wèn)題，具體操作如下：

在核心交換機(jī)上創(chuàng)建相應(yīng)的ACL：

通過(guò)上述設(shè)置后，核心交換機(jī)會(huì)根據(jù)port_protect的策略去過(guò)濾發(fā)往服務(wù)器VLAN2網(wǎng)段的IP數(shù)據(jù)包，只有來(lái)自VLAN3、VLAN4、VLAN5和VLAN6網(wǎng)段的用戶(hù)能夠訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)端口（80，443 和 1433），其他任何數(shù)據(jù)包均會(huì)被丟棄。如未來(lái)新添加服務(wù)器，也不需要再變更任何配置，這種集中式的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略降低了網(wǎng)絡(luò)管理人員的維護(hù)難度。

總結(jié)

大多數(shù)交換機(jī)都具備一定的安全防護(hù)功能，無(wú)論大型企業(yè)還是中小型企業(yè)，均能利用交換機(jī)的安全特性靈活實(shí)施安全策略，保障企業(yè)網(wǎng)絡(luò)安全。交換機(jī)作為終端接入的首道關(guān)卡，特殊的部署位置決定了交換機(jī)在安全防護(hù)方面大有可為。網(wǎng)絡(luò)管理人員應(yīng)避免將交換機(jī)簡(jiǎn)單視為數(shù)據(jù)轉(zhuǎn)發(fā)工具，充分挖掘其安全特性并加以利用，以實(shí)現(xiàn)交換機(jī)真正價(jià)值。