全國計算機等級考試一級���、二級���、微軟認證考試���、IBM認證……但在國內較放心的還要看計算機軟件水平考試(軟考),這個證書是國內針對計算機專業(yè)的較高水平考試���。今天一起來看看計算機軟考考點:提高交換機端口的安全性���。
一���、常見安全威脅
在企業(yè)中,威脅交換機端口的行為比較多���,總結一下有如下幾種情況。
(1)未經授權的用戶主機隨意連接到企業(yè)的網絡中���。
如員工從自己家里拿來一臺電腦���,可以在不經管理員同意的情況下,拔下某臺主機的網線���,插在自己帶來的電腦上���。然后連入到企業(yè)的網路中。這會帶來很大的安全隱患���。如員工帶來的電腦可能本身就帶有病毒���。從而使得病毒通過企業(yè)內部網絡進行傳播���。或者非法復制企業(yè)內部的資料等等���。
(2)未經批準采用集線器等設備���。
有些員工為了增加網絡終端的數(shù)量,會在未經授權的情況下���,將集線器���、交換機等設備插入到辦公室的網絡接口上。如此的話���,會導致這個網絡接口對應的交換機接口流量增加���,從而導致網絡性能的下降。在企業(yè)網絡日常管理中���,這也是經常遇到的一種危險的行為���。
在日常工作中���,筆者發(fā)現(xiàn)不少網絡管理員對于交換機端口的安全性不怎么重視。這是他們網絡安全管理中的一個盲區(qū)���。他們對此有一個錯誤的認識���。以為交換機鎖在機房里,不會出大問題���。或者說���,只是將網絡安全的重點放在防火墻等軟件上���,而忽略了交換機端口等硬件的安全。這是非常致命的���。
二���、主要的應對措施
(1)從意識上要加以重視���。
筆者認為,首先各位網絡管理員從意識上要對此加以重視���。特別是要消除輕硬件���、重軟件這個錯誤的誤區(qū)。在實際工作中���,要建立一套合理的安全規(guī)劃���。如對于交換機的端口,要制定一套合理的安全策略���,包括是否要對接入交換機端口的MAC地址與主機數(shù)量進行限制等等���。安全策略制定完之后,再進行嚴格的配置���。如此的話���,就走完了交換機端口安全的第一步���。根據(jù)交換機的工作原理,在系統(tǒng)中會有一個轉發(fā)過濾數(shù)據(jù)庫���,會保存MAC地址等相關的信息���。而通過交換機的端口安全策略,可以確保只有授權的用戶才能夠接入到交換機特定的端口中���。為此只要網絡管理員有這個心���,其實完全有能力來保障交換機的端口安全。
(2)從技術角度來提高端口的安全性���。
如比較常用的一種手段是某個特定的交換機端口只能夠連接某臺特定的主機。如現(xiàn)在用戶從家里拿來了一臺筆記本電腦���。將自己原先公司的網線接入到這臺筆記本電腦中���,會發(fā)現(xiàn)無法連入到企業(yè)的網絡中。這時因為兩臺電腦的MAC地址不同而造成的。因為在交換機的這個端口中���,有一個限制條件���。只有特定的IP地址才可以通過其這個端口連入到網絡中。如果主機變更了���,還需要讓其允許連接這個端口的話���,那么就需要重新調整交換機的MAC地址設置。這種手段的好處就是可以控制���,只有授權的主機才能夠連接到交換機特定的端口中���。未經授權的用戶無法進行連接。而缺陷就是配置的工作量會比較大���。
(3)對可以介接入的設備進行限制���。
出于客戶端性能的考慮,我們往往需要限制某個交換機端口可以連接的較多的主機數(shù)量���。如我們可以將這個參數(shù)設置為1���,那么就只允許一臺主機連接到交換機的端口中���。如此的話,就可以避免用戶私自使用集線器或者交換機等設備拉增加端口的數(shù)量���。不過這種策略跟上面的MAC地址策略還是有一定的區(qū)別���。MAC地址安全策略的話,也只有一臺主機可以連接到端口上���。不過還必須是MAC地址匹配的主機才能夠進行連接���。
(4)使用sticky參數(shù)來簡化管理。
在實際工作中���,sticky參數(shù)是一個很好用的參數(shù)���?��?梢源蟠蟮暮喕疢AC地址的配置���。如企業(yè)現(xiàn)在網絡部署完畢后���,運行以下switch-port port-security mac-addressticky命令。那么交換機各個端口就會自動記住當前所連接的主機的MAC地址���。如此的話���,在后續(xù)工作中,如果更換了主機的話���,只要其MAC地址與原有主機不匹配的話���,交換機就會拒絕這臺主機的連接請求。這個參數(shù)主要提供靜態(tài)MAC地址的安全���。管理員不需要再網絡中輸入每個端口的MAC地址���。從而可以簡化端口配置的工作。不過如果后續(xù)主機有調整���,或者新增主機的話���,仍然需要進行手工的配置���。不過此時的配置往往是小范圍的,工作量還可以接受���。
軟考考什么?
熟悉軟考的人都知道���,軟考共有為5個專業(yè),3個層次級別���,分別是初級���、中級和高級共計27個資格考試。難度從初級到高級依次遞進���,大家一定要根據(jù)自己的水平確定報考的項目���,以免因為考試難度過大,導致應考失敗���。這樣就得不償失了���。
軟考的考試安排是由全國軟考辦中國計算機技術職業(yè)資格網發(fā)布每年的計算機技術與軟件專業(yè)技術資格(水平)考試工作安排的通知。通知里會公布考試的時間安排以及各級別的開考資格���?��?荚噧热輹殖缮衔绾拖挛纾荷衔缡腔A選擇題,下午主要是操作填空題���。每科的總分是75���,達到45分后即通過考試。需要特別注意的是:必須是每科45分以上���,平均分45是不算的���。
更多培訓課程: 九龍坡區(qū)軟考認證 更多學校信息: 重慶九龍坡區(qū)東方瑞通IT培訓 咨詢電話:
有考網
