禁止三：禁用不需要的服务

从某种角度上来说，多启动一项服务，就好像是在交换机上多开了一扇门，多了一重风险。为了提高交换机的安全性，网络管理员需要习惯于只在交换机上启动必需的服务，禁用那些不需要的服务。

如在11.2以前版本的交换机软件中，会默认实现多个TCP或者UDP服务器。这么设计主要是为了方便管理以及跟现有的环境进行集成。但是需要注意的是，在实际工作中，大多数的TCP和UDP服务基本上用不着。此时如果网络管理员仍然将这些服务开启着，无疑是给攻击者留了一个口子。在这种情况下，聪明的管理员应该学会禁用这些服务。禁用他们可以减少安全隐患。

故笔者对网络管理员有一个建议。在新的设备投入到企业网络中之前，网络管理员应该仔细检查每一台设备的配置。一般来说包括设备启动的服务与端口。对于服务来说，只要这个服务不需要用到(无论是短期还是长期的)，那么就禁用他。对于端口也是类似，只要端口没什么用处，就禁用。这里需要注意的是，在出厂的时候厂家可能出于满足大部分客户的要求出发，会启用比较多的服务。而对于某个特定的用户或者应用场景来说，这些服务就可能是不需要的。在大部分情况下，对于初始投入的网络设备往往需要进行比较大的调整。如在多层交换网络环境中，需要禁止如下这些服务：TCP SAMLL SERVERS、Finger、Boot服务器、不进行身份验证的NTP、ICMP重定向与不可达、定向广播转发等服务。在多层网络环境中，这些服务基本上用不着。如果留着反而会成为威胁企业网络安全的定时炸弹，还不如关闭好。

禁止四：尽可能少的使用CDP

CDP(Cisco设备直线发现协议)主要用来发现直连的CISCO设备的相关信息。简单的说，CDP就是利用直连的两个设备间定时发送CDP数据包来维持彼此的邻居关系。由于CDP协议会在网络中传播相关设备的详细信息。而这些信息如果给攻击者收集到的话，则会给他们发动攻击提供帮助。虽然有些专家认为，只需要正确的规划与配置，这个CDP协议还是一个比较安全的协议。但是要做到正确的规划与配置，有一定的难度。企业的网越来越复杂，而且还在不断的调整。故很少有管理员可以拍拍胸脯保证自己的网络规划与配置都是完美的。所以在实际工作中，还是需要尽可能的少用CDP。具体的来说，需要做到以下几点。

一是在不必要的接口上禁用CDP。通常情况下，需要CDP协议的只有一个地方。即在多层网络中，辅助VLAN可能需要这个协议。所以可以只为管理目的的接口上运行CDP协议。根据笔者的经验，一般情况下会在交换机间连接(直连)接口上或者IP电话连接的接口上启用CDP协议。

二是只在受控范围内的设备上启用CDP协议。这主要是因为CDP协议是一种链路级别的协议。在实际工作中，除非使用了第二层隧道机制，否则的话CDP协议不会通过MAN或者WAN进行端到端的传播。所以对于MAN或者WAN连接，CDP表中可能包含服务器提供商的下一级路由器或者交换机。

三是不要在不安全的连接上运行CDP协议。一般来说，internet连接被认为是不安全的连接。最好不要在这些不安全的连接上运行CDP协议。否则的话，万一网络被侦听，这些机密信息都会泄露。此时CDP协议就会成为网络攻击者的道具。

总之一句话，CDP协议能少用就少用。如果不用网络也可以正常运行的话，就不用。