计算机网络中的端口安全

引言

攻击者一旦进入目标网络，他们的任务就变得非常简单。以太网 LAN 上的交换机端口总是可以使用的，这使得它们极易受到攻击。可能发生几种类型的攻击，包括第二层地址欺骗和拒绝服务 (DoS) 攻击。显然，如果管理员能够控制网络，网络就是安全的。一种称为端口安全的功能可以让用户完全控制交换机端口。如果能够阻止未经授权的用户使用这些端口，第二层安全性将得到显著提高。

用户有两种方式可以保护端口

• 限制从单个交换机端口可以学习到的 MAC 地址数量；如果从单个端口可以学到超过允许数量的 MAC 地址，将采取相应的措施。
• 如果检测到未经授权的访问，则删除通信或生成日志消息以便于监控。

端口安全 -

交换机在通过交换机端口转发帧时会获取 MAC 地址。用户可以通过使用端口安全设置静态 MAC 地址、阻止不受欢迎的用户访问端口以及惩罚未经授权的用户。他们还可以限制可以学习到端口的 MAC 地址的数量。用户可以选择使用端口安全命令来保护、限制或关闭。

各种违规模式

Protect（保护）：在此模式下，未知源 MAC 地址的数据包将被丢弃，直到安全 MAC 地址的数量减少到最大值以下。

Restrict（限制）：此模式与保护模式的作用相同；也就是说，它会丢弃数据包，直到安全 MAC 地址的数量减少到小于最大值。此外，它还会生成日志消息，增加计数器值，并触发 SNMP 陷阱。

Shut down（关闭）：此选项通常比其他选项更受欢迎，因为它在发生未经授权的连接时会立即关闭端口。此外，它还会触发 SNMP 陷阱，增加计数器值，并生成日志。端口将保持关闭状态，直到管理员发出“no shutdown”命令。

Sticky（粘滞）：此模式不违反任何规则。用户可以使用粘滞命令来确保静态 MAC 地址安全，而无需输入确切的 MAC 地址。例如，如果用户指定最大限制为两个，那么在该端口上学习到的前两个 MAC 地址将被存储在当前配置中。如果第二个用户学习到 MAC 地址后，采取了符合已应用违规模式的相应措施，则第三个用户将被允许访问。

端口安全仅在访问端口上工作；要启用端口安全，用户必须首先将其设置为访问端口。

端口安全如何工作？

在网络领域， MAC 地址是分配给网络上每个设备的唯一标识符。因此，端口安全可以通过利用 MAC 地址来限制对网络的访问。

MAC 地址可以静态或动态定义。当交换机识别到某个 MAC 地址或安全的 MAC 地址是合法时，它允许设备连接到网络。否则，设备将无法连接到网络，端口安全将进入错误禁用状态。

端口安全通过以下两种方式限制访问：

• 基于 MAC 地址：这意味着如果设备拥有相同的安全 MAC 地址，端口安全将允许其连接。您可以静态或动态地设置一些 MAC 地址。
• 基于最大 MAC 地址数量：此模式允许您设置可以在特定端口上加入网络的最大设备或 MAC 地址数量。

端口安全在网络中的作用

对于网络性能和安全，端口安全可以提供许多优势，包括：

• 防止未经授权的设备访问受保护网络上的数据和资源。
• 通过防止未经授权的设备访问来阻止病毒和恶意软件进入网络。
• 防止未经授权的设备占用网络拥塞或带宽。
• 阻止未经授权的网络设备进行欺骗和冒充。
• 消除恶意设备引起的广播风暴和网络环路。
• 端口安全通过显示设备连接并检测拓扑更改或异常，有助于网络管理和故障排除。

为什么端口安全很重要？

任何网络都需要端口安全，原因如下。

• 首先，它保护网络免受恶意攻击和非法访问。通过限制可以访问网络的设备以及允许通过的流量类型，管理员可以确保只有授权和安全的流量能够访问网络。
• 端口安全还通过降低安全漏洞的可能性来帮助维护网络完整性和隐私。
• 此外，通过减少网络流量，端口安全有助于缓解网络拥塞。通过限制允许访问网络的设备，管理员可以帮助释放资源和带宽，以便合法流量可以快速自由地移动。
• 通过监控哪些设备正在访问网络，管理员可以发现任何网络性能问题并采取措施进行修复。

为什么要使用端口安全？

在只有一台计算机的家庭网络上设置端口安全可能不是最佳选择，但在拥有数百个用户和端口的更大网络中，需要额外的保护来确保只有授权设备才能连接到网络。因此，端口安全有助于保护我们的网络免受恶意攻击者的侵害。

此外，端口安全还可以帮助我们限制网络流量，从而减少连接到网络并导致网络过载的人数。它还有助于监控我们的网络是否存在任何潜在问题。

为了更好地理解端口安全的优势，请考虑以下基本示例。

您的网络交换机大约有三十五个端口；其中一些被您的员工使用，但还有许多端口未使用。如果攻击者设法访问您未受保护的网络，您可能会陷入大麻烦，因为他们可以发动各种攻击，给您和您的业务造成巨大损失。但是，您不必担心，因为端口安全就在这里。只需几个命令即可启用端口安全，您就可以免受这些威胁。

端口安全如何识别有效设备

端口安全需要获取设备的 MAC 地址，无论是静态地还是动态地，才能正常工作。

• 动态：这意味着如果启用了端口安全，端口服务将学习并识别第一个连接的源 MAC 地址作为安全 MAC 地址。
• 静态：为了让端口安全允许您的设备使用这些特定的 MAC 地址连接到网络，您可以将特定的 MAC 地址添加到您的端口过滤器中。

请记住，当在交换机端口上启用端口安全时，它将自动只允许来自一个 MAC 地址的连接。如果您愿意，可以静态地添加新设备进行连接。

端口安全有哪些缺点？

端口安全的主要缺点如下：

• 安装和维护类似端口安全这样的系统成本非常高。成本确实很高。
• 一些端口超出了其容量，并且缺乏实施安全措施所需的必要资源。
• 处理针对每个国家的特定网络安全威胁，使得在港口实施网络安全系统具有挑战性。

结论

端口安全是一项有用的网络功能。它是您网络上的一项非常有用的功能，您可以通过几个命令快速轻松地配置端口安全，以开始防御它免受有害和恶意的攻击。

但是，维护和负担得起这种类型的系统可能很困难，因此权衡利弊至关重要。