交换机技术在网络安全中的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇交换机技术在网络安全中的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:在互联网技术飞速发展,互联网信息广泛传输的时代,随着计算机病毒、网络欺骗技术等反面因素的出现,网络安全问题逐渐成了社会和企业关心的话题,网络安全的重要性也是愈发凸显,在OSI网络模型中,人们往往只关心位于网络分层上的诸如传输层、会话层、表示层和应用层的网络安全问题而忽视了最基本的物理层、数据链路层和网络层的网络安全问题,本文将从网络交换机的一些安全技术出发,阐述其与网络安全的关系。
关键词:交换机;网络安全
中图分类号:TP393.08
在OSI互联网模型中,网络被划分成七个层次,从底向上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。一般情况下,其中后四层都与计算机操作系统和各类应用软件相关,而前三层则与硬件网络设备有关,大部分企业都会注意软件方面的网络安全问题和防护手段而忽略硬件方面的防护,比如说防护墙技术、杀毒软件等技术在企业中应用非常广泛。而类似交换机的端口控制和路由器的路由控制等技术在一些中小企业里却应用很少。
1 交换机的安全技术
交换机是数据链路层设备,在交换机上进行安全配置,使其成为安全性加强的交换机,具有抗攻击性,比普通交换机(不进行任何设置)具有更高的智能型和安全保护功能。在系统安全方面,交换机在网络由核心到边缘的整体架构上实现了安全机制,即通过特定技术,如风暴控制、流控制、保护端口、VLAN、RMON等对网络管理信息进行传输控制。
1.1 基于端口的传输控制
一般地,交换机都具有基于端口的传输控制功能,能够实现风暴控制、端口保护和端口安全等。交换机的基于端口的传输控制主要表现在以下几个方面:
(1)风暴控制
当端口接收到大量的广播、单播或多播包时,就会发生广播风暴,并且转发这些数据包将导致网络速度变慢或超时。因此,借助于对端口的广播风暴控制,在某些数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常,从而有效地避免硬件损坏或链路故障导致的网络瘫痪。默认状态下,在交换机中,广播、多播和单播风暴控制是被禁用的,这就需要人为的去开启。
(2)流控制
在千兆端口启用流控制后,可以在拥塞期间暂停与其他终端的连接。也就是说,当端口处于拥塞状态,无法接收到数据流时,将通知其他端口暂停发送,直到恢复正常状态。例如,本地一台交换机发现任何终端拥塞时,它将发送一个暂停帧,以通知其连接伙伴或远端拥塞设备。当这些设备收到暂停帧后,将停止发送数据包,以防止在拥塞期内丢失。但流控制只适用于交换机的1000Base-T、1000Base-SX和GBIC端口。
(3)保护端口和端口阻塞
保护端口可以确保同一交换机上的端口之间不进行通信。因为保护端口不向其他保护端口转发任何单播、多播和广播包传输,要实现保护端口间的传输,都必须通过第三层设备转发。然而,保护端口与非保护端口间的传输不受任何影响。
在交换机的默认操作中,未知目标MAC地址的广播数据包将被允许从端口向外传输,但如果未知的单播和多播通信被转发到保护端口,将导致安全问题。此时,可以采用阻塞端口的方式,防止未知的单播和多播通信在端口间转发。
(4)端口安全
借助端口安全设置,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
(5)传输速率限制
网络传输速率变慢主要由于某些用户对网络流量的滥用。当使用MRTG等流量监控软件检测到流量来源于某个端口时,可以在核心交换机,汇聚交换机,甚至接入交换机上,对相应的端口做必要的处理,限制其传输带宽,从而限制每个用户所允许的最大流量,以便使其他网络用户能够恢复正常的网络应用服务。
(6)MAC地址更新与绑定IP
影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于IP的,比如流量统计,账号控制等都将IP地址作为标识用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,那么网络上传输的数据就可能被破坏,甚至盗用,造成无法弥补的损失。
针对目前ARP病毒肆虐,利用ARP进行欺骗的网络问题也日渐严重。在防范过程中除了可以通过划分VLAN来抑制问题的扩散外,还可以将IP地址与MAC地址进行绑定以达到最佳的防范效果。
1.2 VLAN
VLAN(Virtual Local Area Network)的意思是“虚拟局域网”。是一种将局域网设备从逻辑上划分为一个个网段,从而实现虚拟工作组的新兴数据交换技术,是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形象虚拟工作组,动态管理网络,根据VLAN技术在交换机上的实现方法,可以大致划分为4类。
(1)基于端口的VLAN
利用交换机的端口来划分VLAN,使被设定的端口都在同一个广播域中,这样划分的VLAN也称为静态VLAN技术(因为端口划分VLAN将交换机的端口与VLAN进行了相应的绑定。)
基于端口的VLAN划分是最简单、有效地VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。
(2)基于MAC地址的VLAN
根据MAC地址所划分的VLAN,称为动态VLAN技术。这种划分VLAN的方法是根据每个计算机的MAC地址来划分,即对每个MAC地址的计算机都配置它属于哪个VLAN。
利用这种划分VLAN方法的最大优点是当用户物理位置移动时,即从一个交换机到其他交换机时,VLAN不用重新配置,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置非常烦恼。并且这种划分的方法也导致交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。
(3)基于IP组播的VLAN
组播作为一点对多点的通信,是节省网络带宽的有效方法之一。它能够使一个或多个发送者数据帧发送给一个组地址,而不是单台计算机。一个VLAN就是一个逻辑的组播域,即IP组播实际上也是一种VLAN的定义。
基于组播的VLAN技术,是动态地把那些需要同时通信的端口定义到一个VLAN中,并在VLAN中用广播的方法解决点对多点通信的问题,扩大了广播网。从实际意义上讲,具有更大的灵活性,而且也很容易通过路由器进行扩展,但因为效率较低,所以这种方法不适合局域网。
(4)基于策略的VLAN
基于策略的VLAN技术也称为基于规则的VLAN技术。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连在一起。网络管理员只需在网管软件中规定好划分VLAN的规则,那么当一个站点加入到网络中时,将会遵循该规则,并被自动地加入到正确的VLAN中。
使用这种划分VLAN的方法,整个网络可以非常方便地通过路由扩展网络的规模。有的产品还支持一个端口分别加入到不同的VLAN中,在交换机与HUB共存的环境中显得很重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射的其他VLAN。
1.3 配置RMON
RMON是IETF(Internet Engineering Task Force,互联网工程任务组)标准的监控规范,该规范能够以网络管理者身份交换对网络的监控数据。用户可以配置并使用交换机上的RMON功能,来监控所有相连接网络中交换机间数据流的流动情况,从而更好地保护设备及网络的安全。
RMON(Remote Network Monitoring)远端网络监控,最初的设计师用来解决从一个中心点管理各局域分网和远程站点的问题。RMON规范是由SNMP(Simple Network Management Protocol,简单网络管理协议)中的MIB(Management Information Base 管理信息库)扩展而来。RMON中,网络监视数据包含了一组统计数据和性能指标,它们在不同的监视器和控制台系统之间相互交换。结果数据可用来监控网络利用率,以用于网络规划,性能优化和协助网络错误诊断。
RMON监控系统由探测器(或监视器)和管理站两部分构成。RMON在RMON MIB中存储网络信息,它们被直接植入网络设备,也可以是计算机上运行的一个程序。只能看到流经它们的流量,所以在每个被监控的LAN段或WAN链接点都要设置RMON,网络工作站用SNMP获取RMON数据信息。
一般情况下,交换机支持RMON中的第1、2、3、9组(统计组、历史组、警报组、事件组)的内容。
(1)统计组
统计组是RMON中的第1组,用于统计被监控的每个子网的基本统计信息。
(2)历史组
历史组是RMON中的第2组,它定期地收集统计网络值的记录并为日后的处理把统计存储起来。
(3)警报组
警报组是RMON中的第3组,以指定的时间间隔监控一个特定的MIB对象,当这个MIB对象的值超过一个设定的上限值或低于一个设定的下限值时,就会触发一个警报。
(4)事件组
事件组是RMON中的第9组,决定当由于警报而产生事件时,处理行为将产生一个日志记录表项或一个SNMP Trap。
2 结束语
合理的配置、选择合适的交换机所具备的端口传输控制、VLAN和RMON等网络安全技术能够有效地增加计算机网络的安全性能。所以我们一定要做到统筹兼顾,不仅要重视操作系统以及应用软件层面的安全技术手段,也要合理使用网络设备的安全技术,这样才能更全面、更全方位的切实维护计算机网络安全。
参考文献:
[1]平,李旎,刘青风.网络安全[M].清华大学出版社,2012,2.
[2]贾铁军,常艳.网络安全实用技术[M].清华大学出版社,2011,8.
作者简介:樊占军(1985.04-),男,工学学士,助理工程师,主要研究方向:网络及网络安全技术。
作者单位:91336部队,河北秦皇岛 066000