基于交換機的網(wǎng)絡(luò)安全體系構(gòu)建

摘 要：現(xiàn)當代的網(wǎng)絡(luò)環(huán)境發(fā)展，網(wǎng)絡(luò)成為人類生活中不可缺少的一部分。在網(wǎng)絡(luò)的快速發(fā)展下，網(wǎng)絡(luò)環(huán)境變得錯綜復雜，在正常的網(wǎng)絡(luò)交流中時常受到網(wǎng)絡(luò)黑客的惡意攻擊，網(wǎng)絡(luò)安全問題衍生出網(wǎng)絡(luò)信任危機，解決網(wǎng)絡(luò)安全問題迫在眉睫。交換機是網(wǎng)絡(luò)中重要的組成部分，解決網(wǎng)絡(luò)安全問題應從交換機方面探索，在此基礎(chǔ)上提出相關(guān)安全措施全面提高網(wǎng)絡(luò)的安全性能，本在著重探討基于交換機的網(wǎng)絡(luò)安全體系構(gòu)建的相關(guān)途徑。

關(guān)鍵詞：交換機技術(shù)；局域網(wǎng)；安全系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號：TP393.07

在網(wǎng)絡(luò)的快速發(fā)展下，網(wǎng)絡(luò)環(huán)境變得錯綜復雜，人們?nèi)粘５木W(wǎng)絡(luò)交流、資源傳輸共享中很容易受到網(wǎng)絡(luò)黑客的惡意的干擾或攻擊。而一般的防火墻技術(shù)只局限在對內(nèi)部網(wǎng)絡(luò)的保護上，一些網(wǎng)絡(luò)黑客使用Cain、Dsniff、Ettercap等系統(tǒng)技術(shù)對局域網(wǎng)的信息傳輸?shù)膼阂馄茐呐c攻擊，一時間網(wǎng)絡(luò)上產(chǎn)生了嚴重的信任危機。因此，人們對網(wǎng)絡(luò)安全更加重視，而交換機是網(wǎng)絡(luò)中核心的組成部分，在解決網(wǎng)絡(luò)安全這一問題上應從網(wǎng)絡(luò)交換機上下手，以尋求突破，從而提出關(guān)于整個網(wǎng)絡(luò)的安全措施。

1 交換機

交換機是一種電信信息轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，在通訊系統(tǒng)中收到廣泛的使用，在計算機網(wǎng)絡(luò)中交換機作為共享資源的發(fā)送工具發(fā)揮著傳輸資源的重要作用。網(wǎng)絡(luò)信息應將保密、完整、安全三方面的需求列為重點。因此，交換機應滿足一下三點：（1）制定用戶的權(quán)限，劃分網(wǎng)絡(luò)信息區(qū)域，保障網(wǎng)絡(luò)訪問的安全性；（2）最大限度的減少交換機在網(wǎng)絡(luò)數(shù)據(jù)裝法中受到干擾的可能，同時兼顧其安全性與高效性；（3）與其他網(wǎng)絡(luò)設(shè)備相輔助來提高交換機的自我保護與防止干擾的功能性。

2 基于交換機的網(wǎng)絡(luò)安全體系

2.1 劃分VLAN以提高網(wǎng)絡(luò)安全

VLAN（Virtual Local Area Network）就是虛擬局域網(wǎng)，相當于一組設(shè)備與用戶的關(guān)系，也可以說是一個廣播域，一般設(shè)置在OSI參考模型的第2和第3層，VLAN技術(shù)是一項高靈活性的技術(shù)。它不存在物理位置的限定，設(shè)備與用戶之間數(shù)據(jù)的流通好似在同一網(wǎng)段中進行，一般在路由器的第3層完成傳輸，可滿足一般應用的需求?，F(xiàn)行的網(wǎng)絡(luò)大多是以太網(wǎng)，它的安全系數(shù)不高，經(jīng)常出現(xiàn)一些廣播問題，相關(guān)研究人員為了提高以太網(wǎng)的安全性能，在以太網(wǎng)幀中規(guī)劃出VLAN，增加的VLAN，運用VLAN ID可將用戶排列成多個小數(shù)量的工作組每一個工作組就好比一個虛擬局域網(wǎng)，這也需要每個組間運用的用戶實行二層互訪限制以提高安全性。劃分成VLAN可現(xiàn)實對廣播范圍統(tǒng)一管理目的，在同一網(wǎng)段中VLAN內(nèi)部的廣播系統(tǒng)和單播流量在受到惡意攻擊時也不會像其他VLAN中轉(zhuǎn)發(fā)數(shù)據(jù)，這就是VLAN隔離廣播風暴的作用，VLAN號是沒有一樣的，因此在VLAN之間的數(shù)據(jù)傳輸也會被阻斷，通訊是需要路由器的參與才能實現(xiàn)。建立VLAN來構(gòu)成虛擬工作組來實現(xiàn)對網(wǎng)絡(luò)動態(tài)管理的目的以及對數(shù)據(jù)、設(shè)備的統(tǒng)一管理可全面提高網(wǎng)絡(luò)的安全性。

2.2 設(shè)置訪問控制列表

在整個網(wǎng)絡(luò)安全體系中，控制訪問是很關(guān)鍵的一部分，主要負責網(wǎng)絡(luò)資源管理，最大限度的避免非法用戶對資源訪問，網(wǎng)絡(luò)安全的技術(shù)人員應設(shè)置相符合的網(wǎng)絡(luò)控制列表，配合積極的訪問控制技術(shù)（例如：屬性控制、網(wǎng)絡(luò)權(quán)限控制等）輔助網(wǎng)絡(luò)防火墻增強網(wǎng)絡(luò)的安全系數(shù)。有了防火墻功能的加持，網(wǎng)絡(luò)安全管理人員可通過ACL來提高網(wǎng)絡(luò)安全的過濾功能、防范網(wǎng)絡(luò)病毒。比如，網(wǎng)絡(luò)安全管理人員可利用MAC地址、TCP/UDP端口等訪問限制來實施過濾，以制定相關(guān)的安全策略，通過列表ACL來提高網(wǎng)絡(luò)安全屏蔽功能。同時，ACL設(shè)置相對應的控制規(guī)范，管理一些特殊用戶和數(shù)據(jù)傳輸?shù)南拗苼硖岣呔W(wǎng)絡(luò)安全性能的作用。

2.3 通過NetFlow來提高網(wǎng)絡(luò)安全性

在局域網(wǎng)絡(luò)的運作中，很容易遭受大范圍拒絕服務(wù)器攻擊（例如：網(wǎng)絡(luò)異常、蠕蟲病毒攻擊等）從而影響網(wǎng)絡(luò)的正常運行，甚至是網(wǎng)絡(luò)的整體癱瘓。為了提高網(wǎng)絡(luò)安全性的目的，將NetFlow應用到集成多業(yè)務(wù)路由器或高端交換機上實現(xiàn)附加網(wǎng)絡(luò)拒絕服務(wù)攻擊的系統(tǒng)、對電腦病毒的探測等，由此來降低網(wǎng)絡(luò)運行中的危險性。其中包括三點，一是病毒探測器（監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的安全性），二是采集器（將探測器的數(shù)據(jù)收集）三是報告系統(tǒng)（將采集器中的數(shù)據(jù)轉(zhuǎn)化為報告），這是NetFlow系統(tǒng)中主要的三部分，在這三部分的影響下可展現(xiàn)出NetFlow強有力的功能性。網(wǎng)絡(luò)中密集的分布著許多的交換機，在交換機中采用NetFlow來提高安全性，流量監(jiān)管系統(tǒng)控制對網(wǎng)絡(luò)異常流量的處理、其中包括異常數(shù)據(jù)流量源頭、種類、大小、危害等方面的處理。因此，網(wǎng)絡(luò)后臺運行的工作人員可通過NetFlow中提供的信息及早的發(fā)現(xiàn)網(wǎng)絡(luò)異常現(xiàn)象，快速的解決這一問題來提高網(wǎng)絡(luò)安全系數(shù)。

2.4 利用IEEE 802.1x加強安全認證

網(wǎng)絡(luò)運行需要通過物理連接端口是傳統(tǒng)局域網(wǎng)的最大特點，但者也埋下了傳統(tǒng)局域網(wǎng)的安全隱患，未經(jīng)過授權(quán)的網(wǎng)絡(luò)設(shè)備、用戶等可由物理連接端口對傳統(tǒng)局域網(wǎng)進行連接，從而進入局域網(wǎng)進行破壞。為了提高局域網(wǎng)的環(huán)境安全性，利用IEEE 802.1x來消除局域網(wǎng)的安全隱患，IEEE 802.1x協(xié)議可和局域網(wǎng)可實現(xiàn)完美連接，在二層智能交換機中使用IEEE 802.1x，通過交換局域網(wǎng)架構(gòu)的屬性對用戶信息進行全面的安全審核，同時對局域網(wǎng)的端口完成安全認證。802.1x允許訪問網(wǎng)絡(luò)端口的動態(tài)配置，在安全策略中設(shè)置了端口級別，未得到權(quán)限的用戶不可訪問，由此來控制用戶訪問， 802.1xsupplicant如同網(wǎng)絡(luò)系統(tǒng)中請求認證服務(wù)的用戶和設(shè)備一樣，由網(wǎng)絡(luò)接入設(shè)備下個認證服務(wù)器發(fā)出請求。802.1x的局域網(wǎng)端口中，MAC被鎖定就納入了網(wǎng)絡(luò)動態(tài)管理范圍，網(wǎng)絡(luò)中的數(shù)據(jù)都是由獲得信任后的MAC地址發(fā)出，并且802.1x完成了邏輯網(wǎng)絡(luò)的整體覆蓋，以此來增強網(wǎng)絡(luò)安全性能。

2.5 加強交換機的端口安全

網(wǎng)絡(luò)端口的安全措施是保障網(wǎng)絡(luò)安全的重要途徑，其架構(gòu)是以MAC地址為基礎(chǔ)將網(wǎng)絡(luò)交換機端口與MAC地址綁定，來實現(xiàn)網(wǎng)絡(luò)虛擬端口流量的監(jiān)控與管理，從而提升網(wǎng)絡(luò)交換機端口的安全性能。交換機端口與MAC地址綁定后，在關(guān)聯(lián)式數(shù)據(jù)庫管理系統(tǒng)或Trunk狀態(tài)下來擬定端口模式和端口已指定的MAC地址。因此，在使用訪問的過程中，主機MAC地址與交換機中不相符合那么網(wǎng)絡(luò)交換機就會關(guān)閉相關(guān)的網(wǎng)絡(luò)端口來保障網(wǎng)絡(luò)安全。同時，MAC地址對端口流量控制制定為一個Trunk端口的MAC地址訪問數(shù)量不可超過100個，倘若超過則會都丟失主機中數(shù)據(jù)幀。

3 結(jié)束語

在現(xiàn)代的網(wǎng)絡(luò)信息環(huán)境中，人們對網(wǎng)絡(luò)的依賴度越來越高，而網(wǎng)絡(luò)安全問題也日益嚴峻。交換機在網(wǎng)絡(luò)安全運行中占有很大的比重，在交換機技術(shù)的基礎(chǔ)上提出相符合的安全策略從整體上提高網(wǎng)絡(luò)安全系數(shù)，本文通過劃分VLAN、設(shè)置訪問控制列表、NetFlow應用、IEEE 802.1x加強安全認證、加強交換機的端口安全五方面來研究提高網(wǎng)絡(luò)安全性能的策略。擁有安全保障的網(wǎng)絡(luò)環(huán)境才能得到人們對網(wǎng)絡(luò)的信任，使人們安心、安全的使用網(wǎng)絡(luò)，以促進新時代網(wǎng)絡(luò)社會的發(fā)展。

參考文獻：

[1]王春蓮.基于交換機的校園網(wǎng)絡(luò)安全防御技術(shù)[J].中國教育技術(shù)裝備，2011（14）：52.

[2]韓文智，傅得月.核心交換機在校園網(wǎng)絡(luò)安全中的作用[J].實驗科學與技術(shù)，2004，2（03）：106-107，97.

作者簡介：張嘉（1982-），女，河北衡水人，本科，電子工程類助理工程師。

作者單位：衡水市計劃節(jié)約用水管理辦公室，河北衡水 053000