4. 网络设备安全基线(交换机/路由器):VLAN划分、端口安全、ACL配置、管理接口安全
大家好,我是老周。今天咱们聊聊网络设备的安全基线。说白了,就是交换机、路由器这些“管道工”该怎么加固。
很多朋友觉得,网络设备嘛,能通就行。我见过太多公司,核心交换机买回来,默认配置一用就是好几年。嗯,这其实挺危险的。你想想看,如果攻击者进了内网,连个VLAN隔离都没有,那基本就是“裸奔”。
核心观点:网络设备是内网的第一道门。门没锁好,后面再强的防火墙也白搭。
4.1 VLAN划分:别让广播域变成“裸奔区”
VLAN,虚拟局域网。说白了就是把一个物理交换机,切成几个逻辑上的小交换机。
为什么要这么做?我举个例子。以前有个客户,财务部和研发部在同一个VLAN里。结果研发部有人中了ARP病毒,财务部整个网络瘫痪了。你说冤不冤?
我个人习惯,VLAN划分遵循三个原则:
- 按部门隔离:财务、人事、研发、访客,各走各的VLAN
- 按安全等级:服务器区、办公区、DMZ区,严格分开
- 按功能:语音VLAN、管理VLAN、数据VLAN,互不干扰
小技巧:我建议给每个VLAN起个有意义的名字。别用VLAN 10、VLAN 20这种。用VLAN_FINANCE、VLAN_DEV,半年后你自己回头看也清楚。
配置示例(Cisco交换机):
!
vlan 10
name VLAN_FINANCE
!
vlan 20
name VLAN_DEV
!
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
!
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20
!
4.2 端口安全:别让任何人随便插网线
端口安全,说白了就是管住交换机的每个口子。谁可以插,插几个设备,都得有规矩。
我曾经处理过一个案例:某公司会议室墙上有个网口,谁都能插。结果有次外部人员插了笔记本,直接扫描内网。嗯,从那以后,我所有项目都强制开启端口安全。
端口安全的核心配置:
- 限制MAC地址数量:一个端口最多学几个MAC
- 绑定MAC地址:只允许特定设备接入
- 违规处理:可以选择shutdown、restrict或protect
注意:端口安全别乱开。比如接AP的端口,一个AP后面可能带几十个终端。你设成1个MAC,那AP一接上去端口就down了。我吃过这个亏。
配置示例:
!
interface GigabitEthernet0/1
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation shutdown
!
这里我解释一下:mac-address sticky 的意思是,交换机自动学习第一个MAC并绑定。下次换个设备插上来,端口直接down。我个人觉得这个最实用。
4.3 ACL配置:给流量装个“安检门”
ACL,访问控制列表。说白了就是给网络流量设个规则:谁可以访问谁,什么协议可以过。
你想想看,如果没有ACL,内网里任何两台机器都能互相访问。财务服务器人人都能ping,那还谈什么安全?
我一般把ACL分成两类:
| 类型 | 特点 | 适用场景 |
|---|---|---|
| 标准ACL | 只检查源IP | 简单的允许/拒绝 |
| 扩展ACL | 检查源IP、目的IP、端口、协议 | 精细化控制 |
我个人习惯,能用扩展ACL就别用标准的。为什么?因为标准ACL太粗了。比如你只想禁止某台机器访问财务的3389端口,标准ACL做不到。
配置示例(只允许管理段访问SSH):
!
access-list 100 permit tcp 192.168.100.0 0.0.0.255 host 192.168.1.1 eq 22
access-list 100 deny ip any any
!
line vty 0 4
access-class 100 in
!
避坑指南:我曾经犯过一个错——ACL写反了顺序。ACL是顺序匹配的,匹配到第一条就停止。如果你把deny any any写在前面,后面所有permit都废了。记住:先放permit,再放deny。
4.4 管理接口安全:别把“后门”敞开着
管理接口,就是咱们远程登录设备用的。Telnet、SSH、HTTP、HTTPS,还有Console口。
嗯,这里我要重点说一句:Telnet是明文传输的,千万别用。我见过有人还在用Telnet管理核心交换机,密码在网络里裸奔。抓个包就能看到,太危险了。
管理接口安全我总结为“四要”:
- 要用SSH:禁用Telnet,只开SSH v2
- 要限制源:只允许特定管理IP访问
- 要改默认端口:SSH默认22,可以改成别的
- 要设ACL:管理接口上挂ACL,只放行管理段
配置示例:
!
ip domain-name example.com
crypto key generate rsa modulus 2048
!
ip ssh version 2
!
line vty 0 4
transport input ssh
login local
!
access-list 10 permit 192.168.100.0 0.0.0.255
line vty 0 4
access-class 10 in
!
个人经验:我习惯把管理接口单独划一个VLAN,比如VLAN 999。这个VLAN只放管理流量,不承载业务。这样即使业务VLAN被攻破,管理VLAN还是安全的。
另外,Console口也要注意。物理安全同样重要。我见过有人把交换机放走廊里,Console口插着线,谁都能连。嗯,这等于把钥匙挂在门上。
总结一下今天的内容:VLAN划分是基础隔离,端口安全是接入控制,ACL是流量过滤,管理接口安全是最后一道防线。四者配合,才能构建一个相对安全的网络环境。
好了,今天就聊到这儿。记住,安全不是一蹴而就的,而是一个持续优化的过程。