基于交換機(jī)的網(wǎng)絡(luò)安全體系構(gòu)建

周曉彬+陳武

摘要：信息化時(shí)代背景下，網(wǎng)絡(luò)信息技術(shù)在各個(gè)領(lǐng)域的普及應(yīng)用更加廣泛，人類生活、生產(chǎn)都離不開網(wǎng)絡(luò)，然而在復(fù)雜多變的環(huán)境下，網(wǎng)絡(luò)在為人類帶來便利的同時(shí)，其網(wǎng)絡(luò)安全也備受考驗(yàn)。如何能夠更加有效的預(yù)防網(wǎng)絡(luò)交流中的黑客攻擊、網(wǎng)絡(luò)安全所衍生出來信任危機(jī)，成為當(dāng)前網(wǎng)絡(luò)管理的首要問題。作為網(wǎng)絡(luò)重要組成部分，交換機(jī)安全直接影響網(wǎng)絡(luò)安全，解決網(wǎng)絡(luò)安全問題，要從交換機(jī)方面開始探討，該文就以此為內(nèi)容，對(duì)基于交換機(jī)的網(wǎng)絡(luò)安全體系構(gòu)建進(jìn)行幾點(diǎn)分析。

關(guān)鍵詞：交換機(jī)技術(shù)；局域網(wǎng)；安全系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）01-0055-02

在網(wǎng)絡(luò)技術(shù)高度普及的今天，網(wǎng)絡(luò)環(huán)境也日漸復(fù)雜，日常網(wǎng)絡(luò)交流、信息傳輸共享過程中，被黑客攻擊和干擾的情況增多。在網(wǎng)絡(luò)技術(shù)日漸發(fā)達(dá)的過程中，黑客技術(shù)也在不斷發(fā)展，防火墻技術(shù)一般只是針對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)，而目前一些黑客會(huì)使用Cain，Dsniff等技術(shù)進(jìn)行局域網(wǎng)攻擊，并對(duì)網(wǎng)絡(luò)信息進(jìn)行惡意傳播，這大大威脅到了廣大人民群眾的利益。此時(shí)，交換機(jī)為核心的網(wǎng)絡(luò)安全體系構(gòu)建顯得更加緊迫。

1 交換機(jī)相關(guān)概述

在計(jì)算機(jī)網(wǎng)絡(luò)中，交換機(jī)占據(jù)核心地位，發(fā)揮著不可取代的作用，在當(dāng)前網(wǎng)絡(luò)環(huán)境日漸復(fù)雜的今天，病毒、黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生了巨大威脅，以交換機(jī)為核心的網(wǎng)絡(luò)安全問題也開始受到管多關(guān)注。提高交換機(jī)本身的安全性能，是網(wǎng)絡(luò)安全建設(shè)的重中之重。

將電信信息進(jìn)行轉(zhuǎn)發(fā)的主要網(wǎng)絡(luò)設(shè)備就是交換機(jī)，并且也在市場(chǎng)中得到了廣泛的推廣和運(yùn)用，并且也在計(jì)算機(jī)共享網(wǎng)絡(luò)資源和傳輸資源中具有非常重要的作用和意義。另外，網(wǎng)絡(luò)信息還應(yīng)該滿足保密和完整以及安全三個(gè)方面的需求。所以，在使用交換機(jī)的過程中，應(yīng)該滿足一下三個(gè)方面的要求：第一，要制定一套合理的用戶使用權(quán)限，將網(wǎng)絡(luò)信息的區(qū)域進(jìn)行有效劃分，從而保證網(wǎng)絡(luò)訪問的安全性；第二，要降低交換機(jī)在網(wǎng)絡(luò)數(shù)據(jù)中受到干擾問題的出現(xiàn)，并且還需要考慮其中的安全性和高效性；第三，要和其他的網(wǎng)絡(luò)設(shè)備進(jìn)行結(jié)合，從而提高在運(yùn)用交換機(jī)過程中的自我保護(hù)功能和防干擾的現(xiàn)象。

2 交換機(jī)安全問題研究

交換機(jī)在網(wǎng)絡(luò)中工作在數(shù)據(jù)鏈路層，屬于二層設(shè)備，提供了網(wǎng)絡(luò)互聯(lián)的等功能。它根據(jù)源MAC學(xué)習(xí)，根據(jù)新的MAC進(jìn)行轉(zhuǎn)發(fā)，按照每一個(gè)數(shù)據(jù)幀中的MAC地址決策信息轉(zhuǎn)發(fā)。交換機(jī)是網(wǎng)絡(luò)常用設(shè)備之一，也是網(wǎng)絡(luò)必備設(shè)備之一，作為網(wǎng)絡(luò)的基礎(chǔ)構(gòu)件，它的安全性著實(shí)成為許多工程師及網(wǎng)管人員的首要關(guān)注點(diǎn)。

交換機(jī)作為一種網(wǎng)絡(luò)互聯(lián)設(shè)備，它的默認(rèn)狀態(tài)旨在強(qiáng)化對(duì)內(nèi)保護(hù)和內(nèi)部開放通信的安全性。企業(yè)內(nèi)部的交換機(jī)用于提供通信、轉(zhuǎn)發(fā)游有用信息，這種提供通信的設(shè)備，往往安全性配置最低，這使得它們更容易遭到惡意攻擊。如果攻擊時(shí)在企業(yè)網(wǎng)內(nèi)部設(shè)備的二層上發(fā)起的，那么通常在為檢測(cè)到異常之前，網(wǎng)絡(luò)中的其他設(shè)備就馬上被攻陷了。同樣，非惡意用戶的一些行為也會(huì)導(dǎo)致網(wǎng)絡(luò)中斷，例如，用戶在誰端口連入交換機(jī)或集線器的行為，或者把自己的筆記本配置為DHCP服務(wù)器的行為，盡管不是惡意的，但仍可能導(dǎo)致網(wǎng)絡(luò)中斷。所以，網(wǎng)絡(luò)管理員必須采取安全保護(hù)行為，就跟ACL為上層提供安全保護(hù)一樣，建立一個(gè)策略，并配置適當(dāng)?shù)奶匦?，以便在維護(hù)日常網(wǎng)絡(luò)運(yùn)營的同時(shí)防范潛在的惡意威脅。

3 基于交換機(jī)的網(wǎng)絡(luò)安全體系

基于以上對(duì)交換機(jī)以及其安全問題的研究，對(duì)基于交換機(jī)的網(wǎng)絡(luò)安全體系構(gòu)建進(jìn)行具體分析：

3.1 劃分VLAN以提高網(wǎng)絡(luò)安全

VLAN就是虛擬局域網(wǎng)，就是一組設(shè)備和用戶之間的關(guān)系，也可以被稱之為廣播域，而一般都是在參考模型的第二個(gè)階段和第三個(gè)階段，并且VLAN技術(shù)也是一項(xiàng)非常靈活的技術(shù)。另外，他不會(huì)被物理位置的原因而受到限制，都是在同一個(gè)網(wǎng)絡(luò)之間將設(shè)備和用戶的數(shù)據(jù)進(jìn)行流通，這個(gè)過程大部分都是由路由器的第三個(gè)階段完成任務(wù)，從而滿足各方面應(yīng)用的需求。但是，我國現(xiàn)階段大部分運(yùn)用的都是以太網(wǎng)，并且自身的安全系數(shù)也非常低，在使用過程中經(jīng)常會(huì)出現(xiàn)一些問題，基于此為了提高以太網(wǎng)安全，可以將用戶組進(jìn)行分組，ING運(yùn)行網(wǎng)絡(luò)的賬戶與ID，同時(shí)利用增加的虛擬局域網(wǎng)，將用戶的每一個(gè)工作組都進(jìn)行排列。將虛擬局域網(wǎng)進(jìn)行合理的劃分，就可以實(shí)現(xiàn)對(duì)關(guān)閉范圍進(jìn)行統(tǒng)一管理的最終目標(biāo)，這就是將虛擬局域網(wǎng)和廣播風(fēng)暴進(jìn)行有效隔離的作用。但是虛擬局域網(wǎng)的賬號(hào)是沒有一樣的，這樣就會(huì)導(dǎo)致在虛擬局域網(wǎng)的情況下，會(huì)阻斷對(duì)數(shù)據(jù)的傳輸，這就需要加入路由器，才能實(shí)現(xiàn)正常的運(yùn)作。因此，建立一個(gè)合理的虛擬局域網(wǎng)環(huán)境，不僅能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)和設(shè)備的統(tǒng)一管理，還可以全方面地提高網(wǎng)絡(luò)運(yùn)作過程中的安全性。

3.2 設(shè)置訪問控制列表

控制訪問過程中，必然會(huì)涉及對(duì)于網(wǎng)絡(luò)的安全管理，可以說控制訪問具有關(guān)鍵作用，控制訪問過程能夠最大化避免用戶利用非法手段訪問，相關(guān)技術(shù)人員，可以設(shè)定符合網(wǎng)絡(luò)控制的列表，對(duì)于積極的訪問控制技術(shù)要權(quán)利配合，常見的控制有屬性控制與網(wǎng)絡(luò)權(quán)限控制，這樣一來，利用交換機(jī)，提高對(duì)于防火墻功能的輔助效果，加強(qiáng)對(duì)于安全數(shù)據(jù)的過濾功能，提高防范網(wǎng)絡(luò)病毒的效率，例如：常見的MAC地址以及TCP/UDP端口，通過利用這些項(xiàng)目，實(shí)施有效的訪問限制，不僅實(shí)現(xiàn)了過濾能力，同時(shí)也提高了網(wǎng)絡(luò)安全系數(shù)，利用列表ACL提高對(duì)于網(wǎng)絡(luò)安全的屏蔽，會(huì)大大實(shí)現(xiàn)數(shù)據(jù)的有效傳輸，會(huì)實(shí)現(xiàn)對(duì)于安全性能的有效限制。

3.3 通過NetFlow來提高網(wǎng)絡(luò)安全性

虛擬局域網(wǎng)在實(shí)際運(yùn)作的過程中，服務(wù)器經(jīng)常會(huì)受到多個(gè)方面的攻擊，會(huì)造成一定的影響，所以，常常會(huì)因這些導(dǎo)致網(wǎng)絡(luò)無法正常運(yùn)行，在嚴(yán)重的情況下，會(huì)對(duì)安全性造成很大影響，了此，相關(guān)工作的開展過程就可以合理的運(yùn)用NetFlow，并且在路由器和交換機(jī)中進(jìn)行合理的應(yīng)用，從而實(shí)現(xiàn)網(wǎng)絡(luò)可以避免對(duì)服務(wù)器系統(tǒng)和電腦病毒的侵犯等等，最終有效的降低網(wǎng)絡(luò)在運(yùn)行中的危險(xiǎn)性。在這個(gè)運(yùn)行的過程中，主要包括三個(gè)方面：第一，病毒探測(cè)器。第二，采集器。第三，報(bào)告系統(tǒng)。在NetFlow系統(tǒng)應(yīng)用的過程中，主要是由以上幾個(gè)方面組合而成的，并且還可以突出運(yùn)用NetFlow的功能性。另外，在網(wǎng)絡(luò)運(yùn)行的過程中不僅僅是單一一種交換機(jī)，交換機(jī)的數(shù)量問題也要考慮。而交換機(jī)就可以運(yùn)用NetFlow的同時(shí)，提高網(wǎng)絡(luò)運(yùn)行的安全性，而其中的流量監(jiān)管系統(tǒng)，還可以對(duì)一些異常的問題和情況進(jìn)行處理，主要包括對(duì)源頭和大小以及危害等各個(gè)方面進(jìn)行處理。所以，在網(wǎng)絡(luò)后臺(tái)運(yùn)行的工作人員，就可以合理的運(yùn)用NetFlow，從而能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的問題和現(xiàn)象，最終提高網(wǎng)絡(luò)安全的系數(shù)。endprint

3.4 加強(qiáng)安全認(rèn)證

通過物理連接端口支持網(wǎng)絡(luò)的正常運(yùn)行，也這是傳統(tǒng)局域網(wǎng)中一個(gè)非常顯著的特點(diǎn)，但是在這同時(shí)，也就加大了安全隱患。一些沒有經(jīng)過授權(quán)的網(wǎng)絡(luò)設(shè)備和用戶，就可以直接通過物理連接端口連接傳統(tǒng)局域網(wǎng)，這樣就會(huì)給局域網(wǎng)造成一定程度上的破壞和影響。所以，為了可以有效提高局域網(wǎng)的安全運(yùn)行，就需要合理的運(yùn)用IEEE 302.1x，從而有效避免局域網(wǎng)出現(xiàn)的安全隱患，還可以達(dá)到一個(gè)非常完美的連接和融合。另外，如果在第二個(gè)階段的智能交換機(jī)中運(yùn)用IEEE 302.1x，就可以對(duì)用戶的信息進(jìn)行全方面的審核，從而完成對(duì)局域網(wǎng)端口的安全認(rèn)證。IEEE 302.1x不僅可以允許每一個(gè)網(wǎng)絡(luò)端口的動(dòng)態(tài)配置訪問，還可以對(duì)風(fēng)險(xiǎn)進(jìn)行有效的控制，從而認(rèn)證下一個(gè)服務(wù)器的訪問請(qǐng)求。

3.5 加強(qiáng)交換機(jī)的端口安全

網(wǎng)絡(luò)端口中實(shí)施的安全措施，最重要的目的就是實(shí)現(xiàn)保證網(wǎng)絡(luò)運(yùn)行的安全，其中的主要結(jié)構(gòu)是由MAC地址和網(wǎng)絡(luò)交換機(jī)端口組合而成的，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)虛擬端口和流量的嚴(yán)格控制和管理，最終有效提高網(wǎng)絡(luò)交換機(jī)端口的安全性能。另外，將交換機(jī)端口與MAC地址綁定以后，就需要將數(shù)據(jù)庫的管理系統(tǒng)進(jìn)行有效的關(guān)聯(lián)。所以，在實(shí)際訪問的過程中，如果主機(jī)的MAC實(shí)際的地址與交換機(jī)的信息不符合，，那么網(wǎng)絡(luò)端口就會(huì)自動(dòng)關(guān)閉，從而保護(hù)網(wǎng)絡(luò)的安全。

4 結(jié)束語

信息化時(shí)代，人們生產(chǎn)與生活都離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)徹底顛覆了人們生活與生產(chǎn)方式，為人們提供了巨大便利，與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)完全問題也日漸嚴(yán)峻。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)環(huán)境也更加復(fù)雜，研究計(jì)算機(jī)網(wǎng)絡(luò)安全，構(gòu)建更加完善的網(wǎng)絡(luò)安全防護(hù)體系，顯得更為緊迫。交換機(jī)作為網(wǎng)絡(luò)系統(tǒng)的核心，其在網(wǎng)絡(luò)安全體系構(gòu)建中所占比重很大，做好交換機(jī)安全，能夠大大提高整個(gè)網(wǎng)絡(luò)安全系數(shù)。本文首先對(duì)交換機(jī)相關(guān)概念進(jìn)行分析，接著研究了交換機(jī)安全問題，最后，從VLAN、設(shè)置訪問控制列表、NetFlow應(yīng)用、加強(qiáng)安全認(rèn)證、加強(qiáng)交換機(jī)的端口安全等五個(gè)方面對(duì)基于交換機(jī)的網(wǎng)絡(luò)安全體系構(gòu)建策略展開探討，希望能夠更好地維護(hù)網(wǎng)絡(luò)建設(shè)發(fā)展，為人們創(chuàng)造更加和諧、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1] 鐘維琴.基于三層交換機(jī)的局域網(wǎng)構(gòu)建[J].機(jī)電工程技術(shù)，2017（1）.

[2] 陳鳴，陶小妹，胡超，等.基于網(wǎng)絡(luò)功能虛擬化的網(wǎng)絡(luò)試驗(yàn)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2017（2）.

[3] 張曉峰.交換機(jī)端口安全防護(hù)措施在內(nèi)網(wǎng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2017（5）.endprint