網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)的研究

顏宏偉

【摘要】交換機(jī)在網(wǎng)絡(luò)系統(tǒng)中是互聯(lián)網(wǎng)擴(kuò)展和連接的核心設(shè)備，作為數(shù)據(jù)交換的端口很容易受到外界攻擊和入侵，存在較多安全隱患。因此，需要重點(diǎn)解決網(wǎng)絡(luò)交換機(jī)的安全防護(hù)問題，通過訪問控制、VLAN劃分以及地址綁定的方式提升網(wǎng)絡(luò)交換機(jī)的安全系數(shù)。鑒于此，本文對(duì)網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)進(jìn)行深入研究，試圖為之提供行之有效的可行性建議。

【關(guān)鍵詞】網(wǎng)絡(luò);交換機(jī);安全;防護(hù)

中圖分類號(hào)：TN929? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.12..009

隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，不同領(lǐng)域以及業(yè)務(wù)之間的互動(dòng)越來越強(qiáng)，信息傳遞更加高效，這也使得人們對(duì)網(wǎng)絡(luò)的依賴程度越來越高，因此，網(wǎng)絡(luò)安全成為關(guān)系到廣大人民群眾切身利益的首要問題。不同網(wǎng)絡(luò)之間的相互連接和信息共享，成為現(xiàn)階段網(wǎng)絡(luò)發(fā)展的主要趨勢(shì)，在此過程中網(wǎng)絡(luò)交換機(jī)發(fā)揮著非常重要的作用，網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)擴(kuò)展的核心設(shè)備，可以為接入的局域網(wǎng)提供更多的獨(dú)立端口，實(shí)現(xiàn)全網(wǎng)互聯(lián)。隨著三網(wǎng)融合的逐步形成，全媒體時(shí)代已經(jīng)離人們生活越來越近，在全網(wǎng)互聯(lián)的時(shí)代，網(wǎng)絡(luò)交換機(jī)發(fā)揮著重要的作用。與此同時(shí)，也使之成為一些非法操作和入侵的重要對(duì)象，網(wǎng)絡(luò)安全性遭到嚴(yán)重威脅，由網(wǎng)絡(luò)交換機(jī)被入侵和破壞引發(fā)用戶數(shù)據(jù)泄露、數(shù)據(jù)被篡改等網(wǎng)絡(luò)安全事故，屢見不鮮。因此，為了避免網(wǎng)絡(luò)安全事故發(fā)生，需采用科學(xué)合理的措施構(gòu)建網(wǎng)絡(luò)交換機(jī)安全防護(hù)體系。

1. 網(wǎng)絡(luò)交換機(jī)技術(shù)評(píng)價(jià)

網(wǎng)絡(luò)交換機(jī)在互聯(lián)網(wǎng)中用于電信號(hào)的接收和轉(zhuǎn)發(fā)，可以為不同的局域網(wǎng)提供單獨(dú)的電信號(hào)，是全網(wǎng)互聯(lián)中不可或缺的一項(xiàng)環(huán)節(jié)。交換技術(shù)的核心是將通信兩端的數(shù)據(jù)信息，按照不同的標(biāo)準(zhǔn)要求傳輸?shù)綄?duì)應(yīng)的路由器上。網(wǎng)絡(luò)交換機(jī)擁有超高帶寬的數(shù)據(jù)總線和內(nèi)部交換矩陣，當(dāng)網(wǎng)絡(luò)交換機(jī)的端口接收到不同數(shù)據(jù)信息后，通過查找地址對(duì)照表，確定對(duì)應(yīng)的MAC和NIC端口，然后將對(duì)應(yīng)的數(shù)據(jù)信息準(zhǔn)確傳遞至目標(biāo)端口，從而實(shí)現(xiàn)數(shù)據(jù)交換功能。網(wǎng)絡(luò)交換機(jī)可以同時(shí)傳輸多個(gè)端口信息，每一個(gè)端口都可以提供獨(dú)立的電信號(hào)通路，外界網(wǎng)絡(luò)節(jié)點(diǎn)通過接入端口就可以進(jìn)行數(shù)據(jù)傳輸，并且可以享受全部的帶寬。網(wǎng)絡(luò)交換機(jī)利用共享的方式進(jìn)行數(shù)據(jù)傳輸，通過識(shí)別連接在端口上設(shè)備的MAC地址，在數(shù)據(jù)傳輸過程中依據(jù)對(duì)應(yīng)的MAC地址尋找專用數(shù)據(jù)傳輸通道，完成兩點(diǎn)之間的信息傳遞，有效的降低了外界干擾。在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，交換技術(shù)有效解決了局域網(wǎng)之間信息傳遞的瓶頸，通過網(wǎng)絡(luò)交換機(jī)將不同局域網(wǎng)連接在一起，實(shí)現(xiàn)資源共享。

2. 網(wǎng)絡(luò)交換機(jī)安全防護(hù)策略

網(wǎng)絡(luò)交換機(jī)是網(wǎng)絡(luò)轉(zhuǎn)換的重要設(shè)備，在互聯(lián)網(wǎng)系統(tǒng)中起到數(shù)據(jù)傳輸和轉(zhuǎn)換的作用，網(wǎng)絡(luò)交換機(jī)的端口可以和連接成一個(gè)新的局域網(wǎng)和工作站，是網(wǎng)絡(luò)擴(kuò)展中不可或缺的重要設(shè)備。隨著網(wǎng)絡(luò)交換機(jī)使用越來越廣泛，尤其是在廣電網(wǎng)絡(luò)當(dāng)中，對(duì)一些重要的系統(tǒng)和設(shè)備缺少必要的安全管理措施，數(shù)據(jù)管理、訪問控制以及全流程監(jiān)控工作不到位，導(dǎo)致網(wǎng)絡(luò)安全存在一定的風(fēng)險(xiǎn)，通過侵入網(wǎng)絡(luò)交換機(jī)獲取網(wǎng)絡(luò)數(shù)據(jù)信息嚴(yán)重干擾了網(wǎng)絡(luò)運(yùn)行的安全性。為了能夠有效提升網(wǎng)絡(luò)安全的防護(hù)功能，需要從網(wǎng)絡(luò)交換機(jī)入手，通過提升網(wǎng)絡(luò)交換機(jī)安全防護(hù)策略，來降低非法入侵的風(fēng)險(xiǎn)，提升網(wǎng)絡(luò)運(yùn)行的安全性和穩(wěn)定性。下面對(duì)網(wǎng)絡(luò)交換機(jī)的安全防護(hù)策略進(jìn)行分析：

2.1 MAC地址接入限制

廣電網(wǎng)絡(luò)具有非常龐大的內(nèi)部數(shù)據(jù)傳輸網(wǎng)，由于結(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)出口混亂，網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)之間如果安全防護(hù)措施不當(dāng)，會(huì)存在侵入風(fēng)險(xiǎn)。MAC地址是接入網(wǎng)絡(luò)設(shè)備中的ID信息，網(wǎng)絡(luò)交換機(jī)是基于MAC地址進(jìn)行數(shù)據(jù)轉(zhuǎn)換，通過識(shí)別設(shè)備ID，確保信息傳遞的準(zhǔn)確性。在數(shù)據(jù)傳遞過程中網(wǎng)絡(luò)交換機(jī)無法找到相關(guān)目的MAC對(duì)應(yīng)的條目，此數(shù)據(jù)幀將作為廣播幀進(jìn)行處理，而MAC地址對(duì)照表的容量有限，只能存儲(chǔ)少量的條目，一旦存儲(chǔ)量達(dá)上限后，新的條目將不會(huì)添加到MAC地址對(duì)照表中。非法者將會(huì)利用這一特點(diǎn)，在很短的時(shí)間內(nèi)不斷的變換出大量的MAC地址發(fā)向網(wǎng)絡(luò)交換機(jī)，引起MAC地址泛洪，當(dāng)有新的設(shè)備要發(fā)送數(shù)據(jù)時(shí)，無法進(jìn)行有效的數(shù)據(jù)轉(zhuǎn)換，通過非法入侵獲取數(shù)據(jù)信息。目前，采用的方式主要是對(duì)網(wǎng)絡(luò)交換機(jī)端口接入的源MAC地址接入的數(shù)量進(jìn)行限制，減少地址泛洪現(xiàn)象的發(fā)生。MAC地址來進(jìn)行接入認(rèn)證的主要原理就是使用用戶的MAC地址作為用戶的用戶名和密碼，當(dāng)用戶接入網(wǎng)絡(luò)的時(shí)候，會(huì)發(fā)送數(shù)據(jù)幀，而網(wǎng)絡(luò)設(shè)備通過獲取用戶的用戶名和密碼來進(jìn)行相應(yīng)的認(rèn)證，提高網(wǎng)絡(luò)運(yùn)行的安全性。

2.2 網(wǎng)絡(luò)數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是保護(hù)網(wǎng)絡(luò)安全的重要措施，尤其是在企業(yè)網(wǎng)絡(luò)中，大量的數(shù)據(jù)信息是企業(yè)經(jīng)營(yíng)決策的重要依據(jù)，對(duì)于網(wǎng)絡(luò)安全的防護(hù)越來越重要。終端網(wǎng)絡(luò)的接入點(diǎn)、路由器的連接點(diǎn)、核心網(wǎng)絡(luò)的連接途徑都與網(wǎng)絡(luò)交換機(jī)有關(guān)。通過采用網(wǎng)絡(luò)數(shù)據(jù)加密的方式也是提升網(wǎng)絡(luò)交換機(jī)安全防護(hù)性能的重要方式之一。企業(yè)的機(jī)密文件和重要的數(shù)據(jù)信息通過網(wǎng)絡(luò)交換機(jī)進(jìn)行轉(zhuǎn)換和傳輸，很容易遭受非法入侵，影響網(wǎng)絡(luò)安全性，通過采用更加安全的網(wǎng)絡(luò)密鑰，通訊時(shí)對(duì)用戶名及口令進(jìn)行加密，防止非法用戶對(duì)口令進(jìn)行竊取，為網(wǎng)絡(luò)管理員提供更加安全可靠的遠(yuǎn)程管理措施。

2.3 VLAN劃分安全防范措施

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）端口劃分安全防范措施，主要是將局域網(wǎng)內(nèi)的設(shè)備按照邏輯劃分成若干個(gè)網(wǎng)段，然后每個(gè)網(wǎng)段可以構(gòu)成一個(gè)虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬工作，也是目前最常用、最有效的安全防范措施之一。通過VLAN劃分的端口，只有在相同的網(wǎng)段中可以進(jìn)行數(shù)據(jù)流的傳輸，不同網(wǎng)段無法進(jìn)行數(shù)據(jù)傳輸，即使某一個(gè)網(wǎng)段遭受到非法入侵，其他網(wǎng)段也不會(huì)受到影響，有效地解決了網(wǎng)絡(luò)安全防護(hù)問題。

2.4 VTP防護(hù)技術(shù)

中繼協(xié)議（VLAN Trunking Protocol，VTP）是一種虛擬局域網(wǎng)干道協(xié)議。在企業(yè)網(wǎng)絡(luò)中，通過中繼協(xié)議可以對(duì)虛擬局域網(wǎng)進(jìn)行重新組建、刪除或者重命名等操作。在對(duì)中繼協(xié)議配置虛擬局域網(wǎng)時(shí)，需要將局域網(wǎng)信息傳遞給所有交換機(jī)，這些交換機(jī)接收到配置信息后，會(huì)調(diào)整配置信息確保VLAN配置的一致性。一個(gè)VTP通常是由一臺(tái)或者多臺(tái)網(wǎng)絡(luò)交換機(jī)組成，該系統(tǒng)中所有交換機(jī)可以進(jìn)行資源共享。VTP有三種工作模式包括VTP Server、VTP Client 和VTP Transparent。網(wǎng)絡(luò)交換機(jī)的初始默認(rèn)配置是VLAN1，即VTP模式為服務(wù)器。VTP Server維護(hù)該VTP域中所有VLAN的 信息列表，VTP Server可以建立、刪除或者修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步虛擬局域網(wǎng)配置，會(huì)把配置保存在NVRAM中。VTP Client雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學(xué)到的，VTP Client不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步虛擬局域網(wǎng)配置，不保存配置到隨機(jī)訪問存儲(chǔ)器中。不會(huì)同步更改VTP域內(nèi)所有交換機(jī)的VLAN版本信息，從而能有效防止非法攻擊和入侵。VTP防護(hù)技術(shù)如下圖1所示：

2.5 中繼鏈路防護(hù)技術(shù)

廣電網(wǎng)絡(luò)的建立實(shí)現(xiàn)了全網(wǎng)融合和資源的高度共享，全網(wǎng)融合提高了廣電網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)男剩瑫r(shí)也帶來了一些新的網(wǎng)絡(luò)安全隱患。在全網(wǎng)融合過程中，通常會(huì)有多臺(tái)交換機(jī)共同作用，在每臺(tái)交換機(jī)上都會(huì)根據(jù)部門劃分VLAN，為了讓處于不同交換機(jī)上的VLAN之間能夠通信，要引入中繼鏈路技術(shù)。中繼鏈路中有一個(gè)協(xié)議叫做動(dòng)態(tài)鏈路協(xié)議，不同交換機(jī)上相同ID的VLAN相互通信。一旦中繼鏈路遭到攻擊或者非法入侵，將會(huì)對(duì)數(shù)據(jù)信息造成嚴(yán)重破壞，攻擊者可以使用模擬網(wǎng)絡(luò)交換機(jī)軟件啟動(dòng)DTP協(xié)議，并與其他網(wǎng)絡(luò)交換機(jī)協(xié)商建立中繼鏈路，從而學(xué)習(xí)其它網(wǎng)絡(luò)交換機(jī)的所有VLAN，同任意一個(gè)VLAN進(jìn)行通信。為了確保涉密網(wǎng)絡(luò)中網(wǎng)絡(luò)交換機(jī)VLAN的安全，需要將網(wǎng)絡(luò)交換機(jī)上所有終極端口設(shè)置成只允許專用的VLAN通過，并邏輯關(guān)閉所有未使用端口，最大程度地減少攻擊者侵入中繼鏈路的途徑。

在互聯(lián)網(wǎng)時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為現(xiàn)階段人們關(guān)注的焦點(diǎn)問題，為了提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性，需要對(duì)網(wǎng)絡(luò)交換機(jī)等核心設(shè)備的安全防護(hù)技術(shù)進(jìn)行優(yōu)化升級(jí)。網(wǎng)絡(luò)交換機(jī)起到網(wǎng)絡(luò)擴(kuò)展作用，同時(shí)也存在巨大的安全隱患，容易受到非法入侵和破壞，因此，需要通過科學(xué)有效的技術(shù)提升網(wǎng)絡(luò)交換機(jī)的安全防護(hù)能力。本文從MAC地址接入限制、網(wǎng)絡(luò)數(shù)據(jù)加密、VLAN劃分安全防范措施、VTP防護(hù)技術(shù)四個(gè)方面分析了網(wǎng)絡(luò)交換機(jī)安全防護(hù)策略，通過強(qiáng)化網(wǎng)絡(luò)交換機(jī)的安全防護(hù)性能，來提升數(shù)據(jù)傳輸?shù)陌踩裕尵W(wǎng)絡(luò)運(yùn)行的更加安全、穩(wěn)定。廣電網(wǎng)絡(luò)是人們?nèi)粘Ｊ褂米顬轭l繁的網(wǎng)絡(luò)，安全要求級(jí)別高，對(duì)網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)有著更為嚴(yán)格的要求，嚴(yán)禁存在病毒侵入和攻擊。網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)是一件長(zhǎng)期的、復(fù)雜的工程，不僅需要在技術(shù)上持續(xù)更新，而且還必須在管理方面給予足夠的重視。通過對(duì)網(wǎng)絡(luò)交換機(jī)安全中存在的種種問題進(jìn)行深入剖析，及時(shí)并且有針對(duì)性的調(diào)整防范措施，同時(shí)添加相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品，才能有效的保護(hù)網(wǎng)絡(luò)環(huán)境，使之更好地服務(wù)于社會(huì)。

參考文獻(xiàn)：

[1]于夫.試論網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)[J].中國(guó)新通信.2019（10）

[2]唐麗麗.新時(shí)期互聯(lián)網(wǎng)云計(jì)算的防護(hù)體系探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2017（04）

[3]張志國(guó).關(guān)于網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系設(shè)計(jì)與實(shí)現(xiàn)分析[J].科技視界.2014（24）

[4]李小丹.網(wǎng)絡(luò)網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)研究[J].電腦編程技巧與維護(hù).2021（03）

[5]張軼瑄.虛擬網(wǎng)絡(luò)網(wǎng)絡(luò)交換機(jī)技術(shù)的應(yīng)用[J].科技風(fēng). 2016（23）