網(wǎng)絡(luò)交換機(jī)是一種物理或虛擬設(shè)備，用于連接和通信兩個或多個設(shè)備，從而形成網(wǎng)絡(luò)。它是局域網(wǎng) (LAN) 的基本組成部分。網(wǎng)絡(luò)連接設(shè)備以執(zhí)行基本業(yè)務(wù)功能，因此網(wǎng)絡(luò)安全對于抵御威脅至關(guān)重要。這些設(shè)備包括 LAN 和 WAN，使用路由器和防火墻等各種硬件，并依靠加密和監(jiān)控來保護(hù)數(shù)據(jù)。

網(wǎng)絡(luò)是一個龐大的話題，因此讓我們將其分解成一些簡短的內(nèi)容，重點(diǎn)介紹網(wǎng)絡(luò)交換機(jī)。從網(wǎng)絡(luò)中的端口安全到配置服務(wù)器集群中的專用交換機(jī)，交換機(jī)處于從專用服務(wù)器到集群托管和主機(jī)托管服務(wù)器等所有事物的頂端。網(wǎng)絡(luò)作為開放系統(tǒng)互連 (OSI) 模型的第 3 層運(yùn)行，通過創(chuàng)建和路由數(shù)據(jù)包來管理數(shù)據(jù)傳輸，這些數(shù)據(jù)包通常通過加密進(jìn)行保護(hù)。各種網(wǎng)絡(luò)硬件包括服務(wù)器、路由器、交換機(jī)和防火墻，每個硬件都是網(wǎng)絡(luò)功能不可或缺的一部分。

“CIA 三元組”是一種通用模型，構(gòu)成了安全系統(tǒng)開發(fā)的基礎(chǔ)，用于查找漏洞和創(chuàng)建解決方案的方法。在安全策略中，“CIA”代表機(jī)密性、完整性和可用性，在過去 20 年中，ServerMania 一直是構(gòu)建安全解決方案的值得信賴的領(lǐng)導(dǎo)者，為企業(yè)提供安全可靠的網(wǎng)絡(luò)。我們的先進(jìn)解決方案可防御外部威脅、管理數(shù)據(jù)傳輸和監(jiān)控網(wǎng)絡(luò)交換機(jī)配置，確保您的應(yīng)用程序在從 LAN 到基于云的系統(tǒng)的各種網(wǎng)絡(luò)類型中無縫且安全地運(yùn)行。

什么是網(wǎng)絡(luò)交換機(jī)？

網(wǎng)絡(luò)交換機(jī)在 OSI 模型的數(shù)據(jù)鏈路層（第 2 層）運(yùn)行。連接到網(wǎng)絡(luò)交換機(jī)的設(shè)備示例包括計(jì)算機(jī)、服務(wù)器、打印機(jī)和其他聯(lián)網(wǎng)設(shè)備。當(dāng)這些互連資產(chǎn)連接在一起時，它們可支持核心業(yè)務(wù)功能，使網(wǎng)絡(luò)管理員能夠?qū)⒃O(shè)備放置在不同的段上，即使它們在地理位置上相距甚遠(yuǎn)，同時仍在同一工作站、服務(wù)器、交換機(jī)和 SaaS 網(wǎng)關(guān)社區(qū)內(nèi)保持連接。

了解網(wǎng)絡(luò)交換機(jī)安全基礎(chǔ)知識

網(wǎng)絡(luò)交換機(jī)是基礎(chǔ)設(shè)施的骨干，用于連接設(shè)備、管理數(shù)據(jù)流量和確保連接順暢。但是，市面上有這么多選擇，您如何為您的企業(yè)選擇合適的交換機(jī)？網(wǎng)絡(luò)的多樣性意味著沒有一種萬能的安全解決方案，因此了解您正在使用什么很重要。本指南旨在為您提供幫助，提供關(guān)鍵見解和提示，以確保您選擇正確的網(wǎng)絡(luò)交換機(jī)。

在深入討論細(xì)節(jié)之前，我們先從基礎(chǔ)知識開始。網(wǎng)絡(luò)有各種形狀和大小，您需要的安全性取決于您使用的網(wǎng)絡(luò)類型。

以下是簡要分析：

LAN（局域網(wǎng)）： LAN 可以視為小型的本地網(wǎng)絡(luò)，例如家庭或辦公室內(nèi)聯(lián)網(wǎng)。它們通過一個或多個路由器連接大量設(shè)備，例如計(jì)算機(jī)、智能手機(jī)、打印機(jī)，甚至游戲機(jī)。這些路由器管理所有流量并為每個設(shè)備分配 IP 地址，確保所有設(shè)備保持連接。

WAN（廣域網(wǎng)）： WAN 的覆蓋范圍更廣，顧名思義。它們連接遠(yuǎn)距離的多個 LAN，就像在不同城市設(shè)有辦事處的公司保持所有事物連接一樣?；ヂ?lián)網(wǎng)本身就是一個巨大的 WAN，您的 ISP 網(wǎng)絡(luò)也是如此。

SD-WAN（軟件定義廣域網(wǎng)）： SD-WAN 就像是標(biāo)準(zhǔn)廣域網(wǎng)的升級版。它是位于廣域網(wǎng)之上的軟件層，讓您可以更好地控制流量和訪問資源。它便于保護(hù)基于云的資產(chǎn)，并允許進(jìn)行詳細(xì)的流量監(jiān)控，因此對于希望加強(qiáng)網(wǎng)絡(luò)安全的企業(yè)來說，它是首選。

網(wǎng)絡(luò)交換機(jī)如何工作？

網(wǎng)絡(luò)交換機(jī)通過基于 MAC 地址智能轉(zhuǎn)發(fā)以太網(wǎng)幀來運(yùn)行。此過程可提高網(wǎng)絡(luò)效率、減少沖突并使設(shè)備能夠在本地網(wǎng)絡(luò)內(nèi)有效通信。網(wǎng)絡(luò)交換機(jī)的工作原理是檢查每個幀的目標(biāo) MAC 地址并將其轉(zhuǎn)發(fā)到相應(yīng)的設(shè)備。交換機(jī)對收到的每個幀重復(fù)此過程；但需要注意常見的安全檢查。這些威脅可能會很快破壞您的基礎(chǔ)設(shè)施。

考慮與您可以信賴的主機(jī)托管提供商合作。

常見的安全問題和威脅

MAC 地址泛濫

MAC 地址泛濫是指攻擊者用大量虛假 MAC 地址淹沒交換機(jī)，導(dǎo)致交換機(jī)的 MAC 地址表不堪重負(fù)。DHCP 欺騙是指攻擊者假裝是授權(quán)的 DHCP 服務(wù)器，向設(shè)備分發(fā)不正確或惡意的 IP 配置。VLAN 跳躍是攻擊者用來訪問交換機(jī)上不同 VLAN 的一種方法。

這可能會導(dǎo)致交換機(jī)進(jìn)入故障開放模式，允許所有流量通過而無需進(jìn)行適當(dāng)?shù)?MAC 地址驗(yàn)證。實(shí)施端口安全措施（例如限制每個端口的 MAC 地址數(shù)量）可以緩解 MAC 地址泛洪攻擊。

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚以 80% 的比例位居榜首，超過了配置錯誤，這并不奇怪。這些攻擊通常會躲過垃圾郵件過濾器，因此很難完全保護(hù)用戶免受其害。網(wǎng)絡(luò)釣魚變得更加棘手的是這些計(jì)劃變得多么逼真和令人信服，尤其是針對特定個人或團(tuán)體的有針對性的魚叉式網(wǎng)絡(luò)釣魚。

網(wǎng)絡(luò)釣魚模擬是試水的好方法。它們模仿真實(shí)的網(wǎng)絡(luò)釣魚攻擊，讓公司能夠跟蹤用戶是否打開、點(diǎn)擊甚至輸入憑據(jù)。這有助于確定哪些員工更容易受到攻擊以及他們?nèi)菀紫萑肽男╊愋偷木W(wǎng)絡(luò)釣魚策略。從這里開始，定期培訓(xùn)可以幫助提高他們的意識，讓他們更加謹(jǐn)慎。

勒索軟件

勒索軟件已成為一種主要威脅，其高調(diào)的入侵和勒索占據(jù)了新聞頭條。勒索軟件本質(zhì)上是一種鎖定數(shù)據(jù)并要求付款才能釋放數(shù)據(jù)的惡意軟件。勒索軟件現(xiàn)在占所有數(shù)據(jù)泄露的 10%，僅在一年內(nèi)就翻了一番，全球超過三分之一的組織在 2021 年遭受了勒索軟件攻擊。

這些攻擊的復(fù)雜程度也不斷升級，一些犯罪分子提供勒索軟件即服務(wù) (RaaS)，將惡意軟件平臺出租給他人使用。支付贖金也不能保證你能拿回你的數(shù)據(jù)——攻擊者經(jīng)常會再次索要更多贖金，威脅說如果他們的要求得不到滿足，他們就會出售或泄露敏感信息。

配置錯誤

配置錯誤（尤其是云端配置錯誤）是造成多起重大數(shù)據(jù)泄露事件的原因。即使安全設(shè)置最初是正確的，員工也可能會在之后有意或無意地更改這些設(shè)置。值得慶幸的是，您可以采取一些措施來最大程度地降低這些風(fēng)險。

• 限制訪問：僅向員工授予完成工作所需的權(quán)限。這可以防止他們無意中訪問和更改他們不應(yīng)該接觸的設(shè)置。實(shí)施身份訪問管理 (IAM) 解決方案可以幫助實(shí)現(xiàn)這一點(diǎn)。
• 監(jiān)控和管理配置：錯誤配置通常長期不被察覺，只有在發(fā)生違規(guī)后才會被發(fā)現(xiàn)。定期檢查您的網(wǎng)絡(luò)和服務(wù)器設(shè)置，以確保它們符合安全政策。使用 SIEM 等工具自動執(zhí)行此過程有助于在未經(jīng)授權(quán)的更改造成危害之前將其捕獲。

弱密碼

弱密碼仍然是一個主要的安全風(fēng)險。建立一套強(qiáng)大的密碼管理系統(tǒng)至關(guān)重要，該系統(tǒng)強(qiáng)制執(zhí)行復(fù)雜性和不可重復(fù)使用規(guī)則。靈活的身份驗(yàn)證方法（如移動或語音重置）也可以提高采用率并確保密碼重置的安全。

缺乏補(bǔ)丁

補(bǔ)丁管理不善首次成為最大的安全威脅。黑客可以快速對新補(bǔ)丁進(jìn)行逆向工程并利用未修補(bǔ)的漏洞。為了保持領(lǐng)先地位，公司需要創(chuàng)建資產(chǎn)清單、監(jiān)控補(bǔ)丁并立即應(yīng)用它們。自動滲透測試工具可以幫助驗(yàn)證漏洞是否已得到正確修補(bǔ)。

設(shè)備丟失或被盜

隨著遠(yuǎn)程辦公的興起，設(shè)備丟失或被盜的風(fēng)險也急劇上升。雖然無法預(yù)防每一起事件，但制定鼓勵員工迅速報告設(shè)備丟失的政策是關(guān)鍵。安全監(jiān)控工具還可以檢測可疑活動，例如重復(fù)登錄嘗試或來自不尋常位置的會話，從而幫助在被盜設(shè)備造成損害之前對其進(jìn)行標(biāo)記。

高級交換機(jī)安全功能

網(wǎng)絡(luò)訪問控制

實(shí)施網(wǎng)絡(luò)訪問控制措施，包括安全身份驗(yàn)證方法和限制受信任個人的管理訪問。配置訪問端口以限制未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問。使用 VLAN 在網(wǎng)絡(luò)內(nèi)提供分段并隔離不同的設(shè)備組。

IEEE 802.1x

IEEE 802.1x 是一種基于端口的身份驗(yàn)證協(xié)議，它比簡單地關(guān)閉未使用的端口提供更強(qiáng)大的端口安全性 802.1x 要求用戶或設(shè)備在連接到交換機(jī)或特定物理端口時進(jìn)行身份驗(yàn)證。它可以在有線和無線網(wǎng)絡(luò)中實(shí)施，并在客戶端訪問網(wǎng)絡(luò)之前保護(hù)身份驗(yàn)證過程。

VLAN 跳躍保護(hù)

VLAN 跳躍是攻擊者用來訪問交換機(jī)上不同 VLAN 的一種方法。在不需要中繼的交換機(jī)上禁用自動中繼協(xié)商 (DTP)，并確定交換機(jī)上的每個接口是接入端口還是中繼端口。實(shí)施 VLAN 跳躍保護(hù)，以防止攻擊者訪問交換機(jī)上的不同 VLAN。

單播洪水保護(hù)

單播洪水保護(hù)允許管理員設(shè)置交換機(jī)上單播洪水的數(shù)量限制。當(dāng)洪水保護(hù)檢測到未知單播洪水超過預(yù)定義限制時，它會發(fā)出警報并關(guān)閉生成洪水的端口。此功能可防止攻擊者使用偽造的 MAC 地址對交換機(jī)進(jìn)行洪水攻擊。

交換機(jī)安全最佳實(shí)踐

定期更新固件和軟件

交換機(jī)制造商總是推出更新和補(bǔ)丁來修復(fù)安全問題并提高性能。保持客戶的交換機(jī)固件和軟件為最新狀態(tài)以防范已知漏洞至關(guān)重要。設(shè)置定期更新程序并確保在安全補(bǔ)丁可用時立即應(yīng)用。積極主動地更新對于降低過時系統(tǒng)受到攻擊的風(fēng)險大有裨益。

強(qiáng)化交換機(jī)配置

要保護(hù) LAN 交換機(jī)，首先要禁用所有不必要的服務(wù)、端口和協(xié)議 — 這有助于減少攻擊者入侵的方式。刪除默認(rèn)設(shè)置、限制遠(yuǎn)程訪問，并確保管理員帳戶設(shè)置了強(qiáng)密碼。通過遵循這些最佳做法，您可以降低未經(jīng)授權(quán)訪問的可能性并阻止常見的攻擊方法。

實(shí)施端口安全功能

實(shí)施 DHCP 監(jiān)聽以驗(yàn)證 DHCP 服務(wù)器的合法性并確保僅使用授權(quán)服務(wù)器。配置 MAC 地址表以限制每個端口的 MAC 地址數(shù)量。啟用端口安全功能以防止 MAC 地址欺騙攻擊。

禁用未使用的交換機(jī)端口

禁用交換機(jī)上未使用的物理端口，以防止攻擊者插入計(jì)算機(jī)并訪問網(wǎng)絡(luò)。這是可以在交換機(jī)控制臺界面中實(shí)施的一項(xiàng)基本安全措施 - 禁用未使用的端口，以防止未經(jīng)授權(quán)的設(shè)備訪問網(wǎng)絡(luò)。

安全遠(yuǎn)程訪問

使用 SSH 或其他安全協(xié)議安全地遠(yuǎn)程訪問交換機(jī)。將管理訪問權(quán)限限制在受信任的個人，并實(shí)施安全的身份驗(yàn)證方法。定期更新固件，使交換機(jī)固件保持最新狀態(tài)，并安裝最新的安全補(bǔ)丁和錯誤修復(fù)。

必須確保此訪問的安全，以防止未經(jīng)授權(quán)的個人破壞網(wǎng)絡(luò)。安全遠(yuǎn)程訪問的一種常用方法是安全外殼 (SSH)。SSH 通過加密管理員設(shè)備和交換機(jī)之間傳輸?shù)臄?shù)據(jù)來運(yùn)行，確保敏感信息保持機(jī)密。實(shí)施 SSH 時，組織可以建立安全的遠(yuǎn)程管理通道，最大限度地降低數(shù)據(jù)攔截或未經(jīng)授權(quán)訪問端口的風(fēng)險。

定期監(jiān)控網(wǎng)絡(luò)流量

密切關(guān)注網(wǎng)絡(luò)流量對于及早發(fā)現(xiàn)可疑行為并迅速采取行動至關(guān)重要。使用網(wǎng)絡(luò)監(jiān)控工具和入侵檢測系統(tǒng) (IDS) 來跟蹤流量模式并捕捉任何異常情況。實(shí)時監(jiān)控可確保您能夠快速響應(yīng)安全事件，最大限度地減少潛在損害。

訪問控制列表 (ACL)

訪問控制列表 (ACL) 是控制流量和增強(qiáng) LAN 交換機(jī)安全性的強(qiáng)大工具。它們允許管理員根據(jù) IP 地址、端口和協(xié)議等設(shè)置允許或阻止流量的規(guī)則。通過使用 ACL，安全承包商可以減少受到威脅的可能性并縮小客戶網(wǎng)絡(luò)的攻擊面。

網(wǎng)絡(luò)訪問控制 (NAC)

網(wǎng)絡(luò)訪問控制 (NAC) 通過在設(shè)備連接到網(wǎng)絡(luò)之前檢查其健康狀況和合規(guī)性來增加另一層防御。NAC 系統(tǒng)確保設(shè)備在授予訪問權(quán)限之前擁有更新的防病毒軟件和修補(bǔ)的操作系統(tǒng)等，從而幫助將易受攻擊或受感染的設(shè)備排除在您的網(wǎng)絡(luò)之外。

結(jié)論 – 關(guān)鍵要點(diǎn)

實(shí)施強(qiáng)大的交換機(jī)安全性對于保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問和潛在攻擊至關(guān)重要。啟用端口安全功能，實(shí)施端口安全，并配置 DHCP 偵聽以驗(yàn)證 DHCP 服務(wù)器的合法性。使用 VLAN 在網(wǎng)絡(luò)內(nèi)提供分段并隔離不同的設(shè)備組。定期更新固件并監(jiān)控網(wǎng)絡(luò)流量以檢測和分析可疑或惡意活動。

保護(hù) LAN 交換機(jī)是實(shí)現(xiàn)穩(wěn)固網(wǎng)絡(luò)防御的關(guān)鍵。通過遵循本指南，企業(yè)可以降低網(wǎng)絡(luò)攻擊的風(fēng)險并保護(hù)敏感數(shù)據(jù)和關(guān)鍵基礎(chǔ)設(shè)施。我們了解組織有時會因低標(biāo)準(zhǔn)基礎(chǔ)設(shè)施而承擔(dān)的風(fēng)險，這就是為什么我們開發(fā)了先進(jìn)的解決方案來防范外部威脅、管理數(shù)據(jù)傳輸和監(jiān)控網(wǎng)絡(luò)交換機(jī)配置，確保您的應(yīng)用程序在從 LAN 到基于云的系統(tǒng)的各種網(wǎng)絡(luò)類型中無縫且安全地運(yùn)行。