二�����、違反規(guī)則時(shí)該如何處理?
當(dāng)設(shè)置了如上的預(yù)防措施之后��,如果員工還是將自己的電腦拿到企業(yè)來���,在未經(jīng)授權(quán)的情況下連入到企業(yè)的網(wǎng)絡(luò)��。此時(shí)交換機(jī)會(huì)有什么反應(yīng)呢?通常情況下���,交換機(jī)端口如果檢測(cè)到有連接到其接口的主機(jī)MAC地址不在自己的名單中的話,其會(huì)做出三種行為�����。
第一種行為是關(guān)閉接口�����。即到檢測(cè)到有未經(jīng)授權(quán)的主機(jī)連接到其接口上,交換機(jī)的操作系統(tǒng)會(huì)馬上將這個(gè)接口關(guān)閉掉����。如此的話,連接在這個(gè)接口上的所有主機(jī)都將無法訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)���。如上面舉的例子���。一個(gè)接口可能對(duì)應(yīng)一個(gè)部門。此時(shí)就可能因?yàn)橐粋(gè)員工的行為而影響到整個(gè)部門的網(wǎng)絡(luò)���。這種安全措施就比較“極端”�����,其根其他行為相比�,最大的一個(gè)好處就是能夠及時(shí)發(fā)現(xiàn)員工的這種非法行為�����。
第二種行為是限制�����。在這種情況下����,當(dāng)檢測(cè)到有未經(jīng)授權(quán)的主機(jī)之后,其只會(huì)拒絕這臺(tái)主機(jī)的連接�,而對(duì)于其他合法主機(jī)的連接不會(huì)有影響。這種措施有好處也有壞處��。好處就是不會(huì)影響到其它合法用戶的連接��。而壞處就是網(wǎng)絡(luò)管理員很難發(fā)現(xiàn)員工是否有這種未經(jīng)授權(quán)的行為��。因?yàn)榧词褂羞@種情況下��,也不會(huì)影響其他正常用戶的訪問����。所以員工不會(huì)自己舉報(bào)這種行為。在安全級(jí)別比較高的企業(yè)中��,這個(gè)措施仍然存在著一定的安全風(fēng)險(xiǎn)�����。不過其靈活性比較高。
第三種行為是保護(hù)�。這主要是針對(duì)網(wǎng)絡(luò)管理員規(guī)定的最大MAC地址連接數(shù)與設(shè)置的MAC地址不同而導(dǎo)致的。如網(wǎng)絡(luò)管理員出于性能的考慮��,規(guī)定交換機(jī)的接口最多只能夠連接10個(gè)MAC地址�。而在設(shè)置允許主機(jī)的MAC地址的時(shí)候,卻指定了13個(gè)MAC地址���。此時(shí)如果有第11臺(tái)主機(jī)連接到這個(gè)交換機(jī)接口上(其MAC地址是合法的)�����,在這種情況下�����,交換機(jī)該如何處理呢?此時(shí)就會(huì)觸發(fā)交換機(jī)的保護(hù)機(jī)制����。即會(huì)拒絕新的主機(jī)連接到這個(gè)交換機(jī)的接口上�����。但是不會(huì)影響到交換機(jī)現(xiàn)有的用戶連接��。
以上三種行為在具體的使用時(shí),網(wǎng)絡(luò)管理員需要根據(jù)企業(yè)的實(shí)際情況來進(jìn)行選擇��。其建議是���,“關(guān)閉接口”這種行為需要謹(jǐn)慎使用。特別是一個(gè)交換機(jī)接口對(duì)應(yīng)多個(gè)合法用戶的時(shí)候�����,更加需要三思而后行���。因?yàn)檫@會(huì)連累其他合法的用戶無法正常使用企業(yè)的網(wǎng)絡(luò)�����。
三�����、技術(shù)限制重要���,培訓(xùn)更重要
在考慮內(nèi)網(wǎng)交換機(jī)安全時(shí),技術(shù)上的限制固然重要�,但一定的安全知識(shí)培訓(xùn)也必不可少����。如企業(yè)在實(shí)際工作中����,往往會(huì)對(duì)員工的網(wǎng)絡(luò)安全知識(shí)進(jìn)行定期的培訓(xùn)。如告訴員工�����,企業(yè)的個(gè)人電腦不能夠私自接入到企業(yè)的網(wǎng)絡(luò)中����。如果一定要接入的話,就需要通知網(wǎng)絡(luò)管理員����。并且只能夠在特定的位置(相當(dāng)于是交換機(jī)的接口)接入網(wǎng)絡(luò)。只有不斷的培訓(xùn)��,才能夠加強(qiáng)員工的安全意識(shí)��。否則的話�����,光靠網(wǎng)絡(luò)管理員一個(gè)人的努力,很難保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全�。
四、需要開發(fā)某個(gè)特定的交換機(jī)接口
在實(shí)際工作中����,還需要注意一個(gè)問題,不能夠?qū)λ械慕粨Q機(jī)接口都做如上的限制����。如企業(yè)可能不時(shí)的會(huì)有客戶或者供應(yīng)商到企業(yè)來拜訪�����。此時(shí)他們需要使用他們自己的筆記本電腦上網(wǎng)����。如果企業(yè)允許這種情況的話,那么就需要在便利性與安全性上取得一個(gè)均衡��。
其做法是�����,在固定的位置開發(fā)交換機(jī)的端口限制����。如企業(yè)有一個(gè)會(huì)客室����。將這個(gè)會(huì)客室的網(wǎng)絡(luò)接口連接到一個(gè)特定的交換機(jī)接口�。而這個(gè)交換機(jī)接口沒有采取上面的設(shè)置。即所有的主機(jī)都可以通過這個(gè)交換機(jī)連接到企業(yè)的網(wǎng)路中��。不過為了安全起見���,對(duì)其可以訪問的資源進(jìn)行了限制�。如需要訪問企業(yè)的文件服務(wù)器時(shí)���,需要憑用戶名與密碼才可以訪問��。而對(duì)于其他接口�����,則沒有這方面的限制����。而訪問一些公共資源����,包括通過企業(yè)的內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)�、或者訪問企業(yè)的網(wǎng)絡(luò)打印機(jī)時(shí)��,可以自由訪問�����。這種安全措施�����,就可以實(shí)現(xiàn)在便利性與安全性上的均衡����。
