全國(guó)計(jì)算機(jī)等級(jí)考試一級(jí)���、二級(jí)�����、微軟認(rèn)證考試���、IBM認(rèn)證……但在國(guó)內(nèi)較放心的還要看計(jì)算機(jī)軟件水平考試(軟考),這個(gè)證書是國(guó)內(nèi)針對(duì)計(jì)算機(jī)專業(yè)的較高水平考試���。今天一起來看看計(jì)算機(jī)軟考考點(diǎn):提高交換機(jī)端口的安全性�����。
一��、常見安全威脅
在企業(yè)中��,威脅交換機(jī)端口的行為比較多,總結(jié)一下有如下幾種情況�����。
(1)未經(jīng)授權(quán)的用戶主機(jī)隨意連接到企業(yè)的網(wǎng)絡(luò)中。
如員工從自己家里拿來一臺(tái)電腦��,可以在不經(jīng)管理員同意的情況下��,拔下某臺(tái)主機(jī)的網(wǎng)線�����,插在自己帶來的電腦上�����。然后連入到企業(yè)的網(wǎng)路中����。這會(huì)帶來很大的安全隱患。如員工帶來的電腦可能本身就帶有病毒��。從而使得病毒通過企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行傳播��?��;蛘叻欠◤?fù)制企業(yè)內(nèi)部的資料等等�����。
(2)未經(jīng)批準(zhǔn)采用集線器等設(shè)備����。
有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量,會(huì)在未經(jīng)授權(quán)的情況下�����,將集線器���、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上��。如此的話����,會(huì)導(dǎo)致這個(gè)網(wǎng)絡(luò)接口對(duì)應(yīng)的交換機(jī)接口流量增加��,從而導(dǎo)致網(wǎng)絡(luò)性能的下降����。在企業(yè)網(wǎng)絡(luò)日常管理中,這也是經(jīng)常遇到的一種危險(xiǎn)的行為����。
在日常工作中,筆者發(fā)現(xiàn)不少網(wǎng)絡(luò)管理員對(duì)于交換機(jī)端口的安全性不怎么重視����。這是他們網(wǎng)絡(luò)安全管理中的一個(gè)盲區(qū)。他們對(duì)此有一個(gè)錯(cuò)誤的認(rèn)識(shí)�����。以為交換機(jī)鎖在機(jī)房里�����,不會(huì)出大問題��?��;蛘哒f���,只是將網(wǎng)絡(luò)安全的重點(diǎn)放在防火墻等軟件上,而忽略了交換機(jī)端口等硬件的安全����。這是非常致命的。
二���、主要的應(yīng)對(duì)措施
(1)從意識(shí)上要加以重視���。
筆者認(rèn)為�����,首先各位網(wǎng)絡(luò)管理員從意識(shí)上要對(duì)此加以重視����。特別是要消除輕硬件���、重軟件這個(gè)錯(cuò)誤的誤區(qū)����。在實(shí)際工作中����,要建立一套合理的安全規(guī)劃。如對(duì)于交換機(jī)的端口��,要制定一套合理的安全策略�����,包括是否要對(duì)接入交換機(jī)端口的MAC地址與主機(jī)數(shù)量進(jìn)行限制等等。安全策略制定完之后���,再進(jìn)行嚴(yán)格的配置。如此的話��,就走完了交換機(jī)端口安全的第一步����。根據(jù)交換機(jī)的工作原理,在系統(tǒng)中會(huì)有一個(gè)轉(zhuǎn)發(fā)過濾數(shù)據(jù)庫(kù)����,會(huì)保存MAC地址等相關(guān)的信息。而通過交換機(jī)的端口安全策略��,可以確保只有授權(quán)的用戶才能夠接入到交換機(jī)特定的端口中���。為此只要網(wǎng)絡(luò)管理員有這個(gè)心����,其實(shí)完全有能力來保障交換機(jī)的端口安全����。
(2)從技術(shù)角度來提高端口的安全性����。
如比較常用的一種手段是某個(gè)特定的交換機(jī)端口只能夠連接某臺(tái)特定的主機(jī)���。如現(xiàn)在用戶從家里拿來了一臺(tái)筆記本電腦����。將自己原先公司的網(wǎng)線接入到這臺(tái)筆記本電腦中����,會(huì)發(fā)現(xiàn)無法連入到企業(yè)的網(wǎng)絡(luò)中。這時(shí)因?yàn)閮膳_(tái)電腦的MAC地址不同而造成的���。因?yàn)樵诮粨Q機(jī)的這個(gè)端口中����,有一個(gè)限制條件��。只有特定的IP地址才可以通過其這個(gè)端口連入到網(wǎng)絡(luò)中����。如果主機(jī)變更了,還需要讓其允許連接這個(gè)端口的話,那么就需要重新調(diào)整交換機(jī)的MAC地址設(shè)置����。這種手段的好處就是可以控制,只有授權(quán)的主機(jī)才能夠連接到交換機(jī)特定的端口中�����。未經(jīng)授權(quán)的用戶無法進(jìn)行連接��。而缺陷就是配置的工作量會(huì)比較大����。
(3)對(duì)可以介接入的設(shè)備進(jìn)行限制�����。
出于客戶端性能的考慮��,我們往往需要限制某個(gè)交換機(jī)端口可以連接的較多的主機(jī)數(shù)量����。如我們可以將這個(gè)參數(shù)設(shè)置為1,那么就只允許一臺(tái)主機(jī)連接到交換機(jī)的端口中���。如此的話��,就可以避免用戶私自使用集線器或者交換機(jī)等設(shè)備拉增加端口的數(shù)量�����。不過這種策略跟上面的MAC地址策略還是有一定的區(qū)別���。MAC地址安全策略的話�����,也只有一臺(tái)主機(jī)可以連接到端口上����。不過還必須是MAC地址匹配的主機(jī)才能夠進(jìn)行連接�����。
(4)使用sticky參數(shù)來簡(jiǎn)化管理����。
在實(shí)際工作中,sticky參數(shù)是一個(gè)很好用的參數(shù)����?�?梢源蟠蟮暮?jiǎn)化MAC地址的配置����。如企業(yè)現(xiàn)在網(wǎng)絡(luò)部署完畢后���,運(yùn)行以下switch-port port-security mac-addressticky命令���。那么交換機(jī)各個(gè)端口就會(huì)自動(dòng)記住當(dāng)前所連接的主機(jī)的MAC地址�����。如此的話���,在后續(xù)工作中��,如果更換了主機(jī)的話�����,只要其MAC地址與原有主機(jī)不匹配的話���,交換機(jī)就會(huì)拒絕這臺(tái)主機(jī)的連接請(qǐng)求�����。這個(gè)參數(shù)主要提供靜態(tài)MAC地址的安全��。管理員不需要再網(wǎng)絡(luò)中輸入每個(gè)端口的MAC地址�����。從而可以簡(jiǎn)化端口配置的工作���。不過如果后續(xù)主機(jī)有調(diào)整,或者新增主機(jī)的話���,仍然需要進(jìn)行手工的配置�����。不過此時(shí)的配置往往是小范圍的�����,工作量還可以接受����。
軟考考什么?
熟悉軟考的人都知道,軟考共有為5個(gè)專業(yè)����,3個(gè)層次級(jí)別,分別是初級(jí)��、中級(jí)和高級(jí)共計(jì)27個(gè)資格考試��。難度從初級(jí)到高級(jí)依次遞進(jìn)�����,大家一定要根據(jù)自己的水平確定報(bào)考的項(xiàng)目�����,以免因?yàn)榭荚囯y度過大����,導(dǎo)致應(yīng)考失敗����。這樣就得不償失了�����。
軟考的考試安排是由全國(guó)軟考辦中國(guó)計(jì)算機(jī)技術(shù)職業(yè)資格網(wǎng)發(fā)布每年的計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格(水平)考試工作安排的通知����。通知里會(huì)公布考試的時(shí)間安排以及各級(jí)別的開考資格����。考試內(nèi)容會(huì)分成上午和下午:上午是基礎(chǔ)選擇題����,下午主要是操作填空題。每科的總分是75����,達(dá)到45分后即通過考試。需要特別注意的是:必須是每科45分以上��,平均分45是不算的�����。
更多培訓(xùn)課程: 九龍坡區(qū)軟考認(rèn)證 更多學(xué)校信息: 重慶九龍坡區(qū)東方瑞通IT培訓(xùn) 咨詢電話:
有考網(wǎng)合作機(jī)構(gòu)>九龍坡區(qū)培訓(xùn)學(xué)校>重慶九龍坡區(qū)東方瑞通IT培訓(xùn)
