4. 网络设备安全基线(交换机/路由器):VLAN划分、端口安全、ACL配置、管理接口安全

大家好,我是老周。今天咱们聊聊网络设备的安全基线。说白了,就是交换机、路由器这些“管道工”该怎么加固。

很多朋友觉得,网络设备嘛,能通就行。我见过太多公司,核心交换机买回来,默认配置一用就是好几年。嗯,这其实挺危险的。你想想看,如果攻击者进了内网,连个VLAN隔离都没有,那基本就是“裸奔”。

核心观点:网络设备是内网的第一道门。门没锁好,后面再强的防火墙也白搭。

网络设备安全基线核心逻辑 安全基线 四维加固 VLAN划分 隔离广播域 端口安全 防MAC泛洪 ACL配置 流量过滤 管理接口安全 SSH/ACL限制 四者缺一不可,形成纵深防御

4.1 VLAN划分:别让广播域变成“裸奔区”

VLAN,虚拟局域网。说白了就是把一个物理交换机,切成几个逻辑上的小交换机。

为什么要这么做?我举个例子。以前有个客户,财务部和研发部在同一个VLAN里。结果研发部有人中了ARP病毒,财务部整个网络瘫痪了。你说冤不冤?

我个人习惯,VLAN划分遵循三个原则:

  • 按部门隔离:财务、人事、研发、访客,各走各的VLAN
  • 按安全等级:服务器区、办公区、DMZ区,严格分开
  • 按功能:语音VLAN、管理VLAN、数据VLAN,互不干扰

小技巧:我建议给每个VLAN起个有意义的名字。别用VLAN 10、VLAN 20这种。用VLAN_FINANCE、VLAN_DEV,半年后你自己回头看也清楚。

配置示例(Cisco交换机):

!
vlan 10
 name VLAN_FINANCE
!
vlan 20
 name VLAN_DEV
!
interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
!
interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 20
!

4.2 端口安全:别让任何人随便插网线

端口安全,说白了就是管住交换机的每个口子。谁可以插,插几个设备,都得有规矩。

我曾经处理过一个案例:某公司会议室墙上有个网口,谁都能插。结果有次外部人员插了笔记本,直接扫描内网。嗯,从那以后,我所有项目都强制开启端口安全。

端口安全的核心配置:

  • 限制MAC地址数量:一个端口最多学几个MAC
  • 绑定MAC地址:只允许特定设备接入
  • 违规处理:可以选择shutdown、restrict或protect

注意:端口安全别乱开。比如接AP的端口,一个AP后面可能带几十个终端。你设成1个MAC,那AP一接上去端口就down了。我吃过这个亏。

配置示例:

!
interface GigabitEthernet0/1
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
!

这里我解释一下:mac-address sticky 的意思是,交换机自动学习第一个MAC并绑定。下次换个设备插上来,端口直接down。我个人觉得这个最实用。

4.3 ACL配置:给流量装个“安检门”

ACL,访问控制列表。说白了就是给网络流量设个规则:谁可以访问谁,什么协议可以过。

你想想看,如果没有ACL,内网里任何两台机器都能互相访问。财务服务器人人都能ping,那还谈什么安全?

我一般把ACL分成两类:

类型 特点 适用场景
标准ACL 只检查源IP 简单的允许/拒绝
扩展ACL 检查源IP、目的IP、端口、协议 精细化控制

我个人习惯,能用扩展ACL就别用标准的。为什么?因为标准ACL太粗了。比如你只想禁止某台机器访问财务的3389端口,标准ACL做不到。

配置示例(只允许管理段访问SSH):

!
access-list 100 permit tcp 192.168.100.0 0.0.0.255 host 192.168.1.1 eq 22
access-list 100 deny ip any any
!
line vty 0 4
 access-class 100 in
!

避坑指南:我曾经犯过一个错——ACL写反了顺序。ACL是顺序匹配的,匹配到第一条就停止。如果你把deny any any写在前面,后面所有permit都废了。记住:先放permit,再放deny。

4.4 管理接口安全:别把“后门”敞开着

管理接口,就是咱们远程登录设备用的。Telnet、SSH、HTTP、HTTPS,还有Console口。

嗯,这里我要重点说一句:Telnet是明文传输的,千万别用。我见过有人还在用Telnet管理核心交换机,密码在网络里裸奔。抓个包就能看到,太危险了。

管理接口安全我总结为“四要”:

  • 要用SSH:禁用Telnet,只开SSH v2
  • 要限制源:只允许特定管理IP访问
  • 要改默认端口:SSH默认22,可以改成别的
  • 要设ACL:管理接口上挂ACL,只放行管理段

配置示例:

!
ip domain-name example.com
crypto key generate rsa modulus 2048
!
ip ssh version 2
!
line vty 0 4
 transport input ssh
 login local
!
access-list 10 permit 192.168.100.0 0.0.0.255
line vty 0 4
 access-class 10 in
!

个人经验:我习惯把管理接口单独划一个VLAN,比如VLAN 999。这个VLAN只放管理流量,不承载业务。这样即使业务VLAN被攻破,管理VLAN还是安全的。

另外,Console口也要注意。物理安全同样重要。我见过有人把交换机放走廊里,Console口插着线,谁都能连。嗯,这等于把钥匙挂在门上。

总结一下今天的内容:VLAN划分是基础隔离,端口安全是接入控制,ACL是流量过滤,管理接口安全是最后一道防线。四者配合,才能构建一个相对安全的网络环境。

好了,今天就聊到这儿。记住,安全不是一蹴而就的,而是一个持续优化的过程。


专注资料整理