基于交换机技术的网络安全策略探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于交换机技术的网络安全策略探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:在当前的网络信息社会环境中,人们对网络的使用依赖性越来越大。但由于网络环境越来越纷乱复杂,人们在正常的网络交流与信息资源传输过程中往往容易遭受以黑客为组织的恶意干扰及攻击,因此网络安全备受人们的重视。交换机是整个网络中的核心部分,所以解决网络安全问题需要着重从交换机方面寻找突破,进而提出相关策略以提高网络的安全性。在此,本文将基于交换机技术探讨网络安全的相关策略。
关键词:交换机技术;局域网;网络安全
中图分类号:TP393.1
近些年,网络环境越来越纷乱复杂,人们在正常的网络交流与信息资源传输过程中往往容易遭受以黑客为组织的恶意干扰及攻击。同时,由于传统防火墙的网络安全技术只局限于保障内部网络免受外网计算机的恶意攻击,而无法阻止黑客使用Cain、Dsniff等系统技术或工具对局域网流量传送的恶意破坏与攻击,所以网络上一度产生了严重的信任危机。为此,人们对网络安全提出了更高的要求,因交换机是整个网络中的核心部分,所以解决网络安全问题需要着重从交换机方面寻找突破,进而提出相关策略以提高网络的安全性。
1 交换机
交换机作为一种设备其具有信息交换的功能,在通信系统中广泛使用。而在计算机网络系统中引用交换机,其是对共享工作模式的升级,发挥着转发数据的重要作用。因此,在考虑网络安全性、保密性、完整性的时候,交换机需要满足三大点:(1)设置用户的权限控制及网络信息区分,以达到访问与存取的安全性;(2)减少交换机在转发数据过程中的干扰性,并确保安全与高效速率;(3)结合其他网络安全设备,以提高交换机在监控与阻止方面的功能性。
2.1 划分VLAN以提高网络安全
VLAN,即虚拟局域网,是一种较为新型的技术,相当于一组逻辑上的设备与用户,或是一个广播域,常常被设置在OSI参考模型的第2层和第3层,VLAN技术具有更高灵活性的特点。因其不存在物理位置的局限,所以设备与用户之间的通信仿佛在同一个网段中进行,通常在第3层路由器中完成,相关的功能与应用都能得到满足。通常的网络大多是以太网,其安全性不高,且常出现广播问题,所以为了提高网络的安全性,在以太网帧的基础上划分虚拟局域网(VLAN),增加VLAN头,将用户划分成小数量的工作组(通过使用VLAN ID来实现),每个工作组就相当于一个虚拟局域网,但需要对不同工作组间的用户实行二层互访限制。划分VLAN,就能够对广播范围进行限制,在相同网段中VLAN内部的广播与单播流量不会因受到恶意攻击而向其他VLAN转发,这是因为VLAN隔离了广播风暴,由于没有相同的VLAN号,所以不同VLAN之间的通讯也被隔离,需要通过路由来实现通讯。在此基础上,通过构成虚拟工作组以实现对网络的动态管理,并达到流量及设备投资的控制,网络安全性也相应提高。
2.2 利用NetFlow来增强网络安全性
在局域网的运作中,其会因遭受大范围的分布式拒绝服务攻击(网络中的异常与可疑行为,如传播中的蠕虫病毒攻击)而影响正常运作,或是发生网络瘫痪。为了增强网络的安全性,将NetFlow引用到Cisco路由器以及某些高端交换机上,以实现对网络上拒绝服务攻击、蠕虫病毒等的探测,从而降低网络使用过程中的危险性。其中,探测器(监听网络数据)、采集器(收集探测器的传输数据)、报告系统(对采集器中的数据进行易读报告转换)是构成Netflow系统的三大元素,在这三个部分的共同作用下NetFlow具有强大的功能性。由于网络中的交换机分布密集,因而在交换机上使用NetFlow,并结合其他流量监控管理软件,以实现对异常流量的监控,包括监控异常流量的种类、大小、源头、流向(目的地址)、端口、危害等。如此,网络后台技术人员就可以借助NetFlow提供的信息来发现异常现象,进而快速解决异常问题,以增强网络安全性。
2.3 利用IEEE 802.1x加强安全认证
使用物理连接端口是传统局域网的特点,但这一特点也是潜在安全隐患的所在,未经授权的网络设备或用户可以通过物理连接端口实现对局域网的连接,从而进入局域网络进行恶意破坏或攻击。因此,为了加强局域网环境中的安全认证,可以利用IEEE 802.1x来解决局域网内的潜在安全隐患,由于802.1x协议可以和局域网实现无缝融合,所以在二层智能交换机中集成使用802.1x,根据交换局域网架构的物理属性对用户进行接入安全审核,并实现对局域网端口的设备认证。802.1x允许访问端口的动态配置,同时设置了相同的安全策略在端口级别中,并提供多级别的用户访问控制,802.1Xsupplicant(恳请者)相当于网络系统中请求认证服务的用户与设备,其利用网络接入设备向认证服务器申请认证请求。在802.1x的局域网端口中,设置了MAC锁定,以保障网络中的数据都由可信任的MAC地址所发送,同时802.1x实现了逻辑网络的全面覆盖,所以网络环境中的整体风险相对减少。
2.4 设置访问控制列表
在网络安全体系中,访问控制是其中的一个重要部分,其主要负责保护网络资源,避免非法用户对资源的使用及访问,因此网络安全技术人员需要设置相应的网络访问控制列表,积极使用访问控制技术(如网络权限控制、属性控制、入网访问控制等)来辅助防火墙,以提高网络的安全功能性。结合防火墙的安全功能,网络安全技术人员可以利用访问控制列表ACL来加强网络的安全过滤功能、安全防范功能。如网络安全技术人员可以采用源/目标VLAN、MAC地址、TCP/UDP端口、源/目标交换槽、源/目标IP等访问控制过滤方法,以及制定相应的网络安全策略,通过访问控制列表ACL来加强网络的安全屏蔽。同时,利用ACL设置相应的控制规范,对特殊的用户或数据进行限制,进而保障网络的安全。
2.5 加强交换机的端口安全
网络的端口安全措施也是保障内网安全的一个途径,其原理是以MAC地址为凭证,将交换机端口与MAC地址进行绑定,进而实现对端口网络流量的控制与管理,以达到加强交换机端口安全的目的。绑定交换机端口与MAC地址之后,在access或者Trunk状态下确定端口模式以及端口指定的MAC地址,所以在网络使用与访问过程中一旦主机的MAC地址不同于交换机上的已定地址不符时,那么交换机就会down掉有关的端口,以保障网络的安全。此外,利用MAC地址对端口流量进行控制,一个TRUNK口通过的MAC地址不能超过一百个,超过就会丢失主机中的数据帧。
3 结语
在当前的网络信息社会环境中,人们对网络的使用依赖性越来越大,所以网络安全备受人们的重视。由于交换机在网络中占据着重要的份量,因而基于交换机技术来提出相应的网络安全策略,通过划分VLAN、利用NetFlow与IEEE 802.1x、设置访问控制列表、加强交换机的端口安全等策略来提高网络的安全性。如此,以树立人们对网络安全的信任,让人们放心、安全的使用网络。
参考文献:
[1]王东洋.基于虚拟设备的虚拟交换机设计[J].软件,2012(1):42-45.
[2]赵江涛.浅析计算机网络安全防范措施[J].科技风,2011(8):56-58.
[3]耿永利.浅谈如何构筑计算机网络安全防御体系[J].北京电力高等专科学校学报(自然科学版),2012,29(3):70-75.
作者单位:新余学院数学与计算机科学学院,江西新余 338000