二�、違反規(guī)則時該如何處理?
當設置了如上的預防措施之后,如果員工還是將自己的電腦拿到企業(yè)來���,在未經授權的情況下連入到企業(yè)的網絡��。此時交換機會有什么反應呢?通常情況下���,交換機端口如果檢測到有連接到其接口的主機MAC地址不在自己的名單中的話,其會做出三種行為���。
第一種行為是關閉接口�。即到檢測到有未經授權的主機連接到其接口上�,交換機的操作系統(tǒng)會馬上將這個接口關閉掉。如此的話�����,連接在這個接口上的所有主機都將無法訪問企業(yè)的內部網絡。如上面舉的例子����。一個接口可能對應一個部門。此時就可能因為一個員工的行為而影響到整個部門的網絡����。這種安全措施就比較“極端”,其根其他行為相比��,最大的一個好處就是能夠及時發(fā)現員工的這種非法行為��。
第二種行為是限制�����。在這種情況下�����,當檢測到有未經授權的主機之后�,其只會拒絕這臺主機的連接,而對于其他合法主機的連接不會有影響��。這種措施有好處也有壞處���。好處就是不會影響到其它合法用戶的連接����。而壞處就是網絡管理員很難發(fā)現員工是否有這種未經授權的行為。因為即使有這種情況下�����,也不會影響其他正常用戶的訪問��。所以員工不會自己舉報這種行為�����。在安全級別比較高的企業(yè)中��,這個措施仍然存在著一定的安全風險���。不過其靈活性比較高。
第三種行為是保護����。這主要是針對網絡管理員規(guī)定的最大MAC地址連接數與設置的MAC地址不同而導致的。如網絡管理員出于性能的考慮�����,規(guī)定交換機的接口最多只能夠連接10個MAC地址。而在設置允許主機的MAC地址的時候����,卻指定了13個MAC地址。此時如果有第11臺主機連接到這個交換機接口上(其MAC地址是合法的)�,在這種情況下,交換機該如何處理呢?此時就會觸發(fā)交換機的保護機制���。即會拒絕新的主機連接到這個交換機的接口上����。但是不會影響到交換機現有的用戶連接���。
以上三種行為在具體的使用時��,網絡管理員需要根據企業(yè)的實際情況來進行選擇��。其建議是�����,“關閉接口”這種行為需要謹慎使用����。特別是一個交換機接口對應多個合法用戶的時候,更加需要三思而后行�����。因為這會連累其他合法的用戶無法正常使用企業(yè)的網絡���。
三、技術限制重要�,培訓更重要
在考慮內網交換機安全時,技術上的限制固然重要��,但一定的安全知識培訓也必不可少����。如企業(yè)在實際工作中,往往會對員工的網絡安全知識進行定期的培訓�����。如告訴員工����,企業(yè)的個人電腦不能夠私自接入到企業(yè)的網絡中�。如果一定要接入的話��,就需要通知網絡管理員���。并且只能夠在特定的位置(相當于是交換機的接口)接入網絡����。只有不斷的培訓����,才能夠加強員工的安全意識。否則的話���,光靠網絡管理員一個人的努力�,很難保障企業(yè)內部網絡的安全�����。
四�����、需要開發(fā)某個特定的交換機接口
在實際工作中,還需要注意一個問題���,不能夠對所有的交換機接口都做如上的限制�。如企業(yè)可能不時的會有客戶或者供應商到企業(yè)來拜訪����。此時他們需要使用他們自己的筆記本電腦上網。如果企業(yè)允許這種情況的話���,那么就需要在便利性與安全性上取得一個均衡����。
其做法是����,在固定的位置開發(fā)交換機的端口限制����。如企業(yè)有一個會客室。將這個會客室的網絡接口連接到一個特定的交換機接口��。而這個交換機接口沒有采取上面的設置����。即所有的主機都可以通過這個交換機連接到企業(yè)的網路中���。不過為了安全起見,對其可以訪問的資源進行了限制�����。如需要訪問企業(yè)的文件服務器時�����,需要憑用戶名與密碼才可以訪問����。而對于其他接口,則沒有這方面的限制�。而訪問一些公共資源,包括通過企業(yè)的內部網絡訪問互聯網����、或者訪問企業(yè)的網絡打印機時,可以自由訪問��。這種安全措施����,就可以實現在便利性與安全性上的均衡���。
