摘 要：在當前的網(wǎng)絡(luò)信息社會環(huán)境中，人們對網(wǎng)絡(luò)的使用依賴性越來越大。但由于網(wǎng)絡(luò)環(huán)境越來越紛亂復(fù)雜，人們在正常的網(wǎng)絡(luò)交流與信息資源傳輸過程中往往容易遭受以黑客為組織的惡意干擾及攻擊，因此網(wǎng)絡(luò)安全備受人們的重視。交換機是整個網(wǎng)絡(luò)中的核心部分，所以解決網(wǎng)絡(luò)安全問題需要著重從交換機方面尋找突破，進而提出相關(guān)策略以提高網(wǎng)絡(luò)的安全性。在此，本文將基于交換機技術(shù)探討網(wǎng)絡(luò)安全的相關(guān)策略。

關(guān)鍵詞：交換機技術(shù)；局域網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393.1

近些年，網(wǎng)絡(luò)環(huán)境越來越紛亂復(fù)雜，人們在正常的網(wǎng)絡(luò)交流與信息資源傳輸過程中往往容易遭受以黑客為組織的惡意干擾及攻擊。同時，由于傳統(tǒng)防火墻的網(wǎng)絡(luò)安全技術(shù)只局限于保障內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)計算機的惡意攻擊，而無法阻止黑客使用Cain、Dsniff等系統(tǒng)技術(shù)或工具對局域網(wǎng)流量傳送的惡意破壞與攻擊，所以網(wǎng)絡(luò)上一度產(chǎn)生了嚴重的信任危機。為此，人們對網(wǎng)絡(luò)安全提出了更高的要求，因交換機是整個網(wǎng)絡(luò)中的核心部分，所以解決網(wǎng)絡(luò)安全問題需要著重從交換機方面尋找突破，進而提出相關(guān)策略以提高網(wǎng)絡(luò)的安全性。

1 交換機

交換機作為一種設(shè)備其具有信息交換的功能，在通信系統(tǒng)中廣泛使用。而在計算機網(wǎng)絡(luò)系統(tǒng)中引用交換機，其是對共享工作模式的升級，發(fā)揮著轉(zhuǎn)發(fā)數(shù)據(jù)的重要作用。因此，在考慮網(wǎng)絡(luò)安全性、保密性、完整性的時候，交換機需要滿足三大點：（1）設(shè)置用戶的權(quán)限控制及網(wǎng)絡(luò)信息區(qū)分，以達到訪問與存取的安全性；（2）減少交換機在轉(zhuǎn)發(fā)數(shù)據(jù)過程中的干擾性，并確保安全與高效速率；（3）結(jié)合其他網(wǎng)絡(luò)安全設(shè)備，以提高交換機在監(jiān)控與阻止方面的功能性。

2 基于交換機技術(shù)的網(wǎng)絡(luò)安全策略

2.1 劃分VLAN以提高網(wǎng)絡(luò)安全

VLAN，即虛擬局域網(wǎng)，是一種較為新型的技術(shù)，相當于一組邏輯上的設(shè)備與用戶，或是一個廣播域，常常被設(shè)置在OSI參考模型的第2層和第3層，VLAN技術(shù)具有更高靈活性的特點。因其不存在物理位置的局限，所以設(shè)備與用戶之間的通信仿佛在同一個網(wǎng)段中進行，通常在第3層路由器中完成，相關(guān)的功能與應(yīng)用都能得到滿足。通常的網(wǎng)絡(luò)大多是以太網(wǎng)，其安全性不高，且常出現(xiàn)廣播問題，所以為了提高網(wǎng)絡(luò)的安全性，在以太網(wǎng)幀的基礎(chǔ)上劃分虛擬局域網(wǎng)（VLAN），增加VLAN頭，將用戶劃分成小數(shù)量的工作組（通過使用VLAN ID來實現(xiàn)），每個工作組就相當于一個虛擬局域網(wǎng)，但需要對不同工作組間的用戶實行二層互訪限制。劃分VLAN，就能夠?qū)V播范圍進行限制，在相同網(wǎng)段中VLAN內(nèi)部的廣播與單播流量不會因受到惡意攻擊而向其他VLAN轉(zhuǎn)發(fā)，這是因為VLAN隔離了廣播風(fēng)暴，由于沒有相同的VLAN號，所以不同VLAN之間的通訊也被隔離，需要通過路由來實現(xiàn)通訊。在此基礎(chǔ)上，通過構(gòu)成虛擬工作組以實現(xiàn)對網(wǎng)絡(luò)的動態(tài)管理，并達到流量及設(shè)備投資的控制，網(wǎng)絡(luò)安全性也相應(yīng)提高。

2.2 利用NetFlow來增強網(wǎng)絡(luò)安全性

在局域網(wǎng)的運作中，其會因遭受大范圍的分布式拒絕服務(wù)攻擊（網(wǎng)絡(luò)中的異常與可疑行為，如傳播中的蠕蟲病毒攻擊）而影響正常運作，或是發(fā)生網(wǎng)絡(luò)癱瘓。為了增強網(wǎng)絡(luò)的安全性，將NetFlow引用到Cisco路由器以及某些高端交換機上，以實現(xiàn)對網(wǎng)絡(luò)上拒絕服務(wù)攻擊、蠕蟲病毒等的探測，從而降低網(wǎng)絡(luò)使用過程中的危險性。其中，探測器（監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)）、采集器（收集探測器的傳輸數(shù)據(jù)）、報告系統(tǒng)（對采集器中的數(shù)據(jù)進行易讀報告轉(zhuǎn)換）是構(gòu)成Netflow系統(tǒng)的三大元素，在這三個部分的共同作用下NetFlow具有強大的功能性。由于網(wǎng)絡(luò)中的交換機分布密集，因而在交換機上使用NetFlow，并結(jié)合其他流量監(jiān)控管理軟件，以實現(xiàn)對異常流量的監(jiān)控，包括監(jiān)控異常流量的種類、大小、源頭、流向（目的地址）、端口、危害等。如此，網(wǎng)絡(luò)后臺技術(shù)人員就可以借助NetFlow提供的信息來發(fā)現(xiàn)異常現(xiàn)象，進而快速解決異常問題，以增強網(wǎng)絡(luò)安全性。

2.3 利用IEEE 802.1x加強安全認證

使用物理連接端口是傳統(tǒng)局域網(wǎng)的特點，但這一特點也是潛在安全隱患的所在，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶可以通過物理連接端口實現(xiàn)對局域網(wǎng)的連接，從而進入局域網(wǎng)絡(luò)進行惡意破壞或攻擊。因此，為了加強局域網(wǎng)環(huán)境中的安全認證，可以利用IEEE 802.1x來解決局域網(wǎng)內(nèi)的潛在安全隱患，由于802.1x協(xié)議可以和局域網(wǎng)實現(xiàn)無縫融合，所以在二層智能交換機中集成使用802.1x，根據(jù)交換局域網(wǎng)架構(gòu)的物理屬性對用戶進行接入安全審核，并實現(xiàn)對局域網(wǎng)端口的設(shè)備認證。802.1x允許訪問端口的動態(tài)配置，同時設(shè)置了相同的安全策略在端口級別中，并提供多級別的用戶訪問控制，802.1Xsupplicant（懇請者）相當于網(wǎng)絡(luò)系統(tǒng)中請求認證服務(wù)的用戶與設(shè)備，其利用網(wǎng)絡(luò)接入設(shè)備向認證服務(wù)器申請認證請求。在802.1x的局域網(wǎng)端口中，設(shè)置了MAC鎖定，以保障網(wǎng)絡(luò)中的數(shù)據(jù)都由可信任的MAC地址所發(fā)送，同時802.1x實現(xiàn)了邏輯網(wǎng)絡(luò)的全面覆蓋，所以網(wǎng)絡(luò)環(huán)境中的整體風(fēng)險相對減少。

2.4 設(shè)置訪問控制列表

在網(wǎng)絡(luò)安全體系中，訪問控制是其中的一個重要部分，其主要負責保護網(wǎng)絡(luò)資源，避免非法用戶對資源的使用及訪問，因此網(wǎng)絡(luò)安全技術(shù)人員需要設(shè)置相應(yīng)的網(wǎng)絡(luò)訪問控制列表，積極使用訪問控制技術(shù)（如網(wǎng)絡(luò)權(quán)限控制、屬性控制、入網(wǎng)訪問控制等）來輔助防火墻，以提高網(wǎng)絡(luò)的安全功能性。結(jié)合防火墻的安全功能，網(wǎng)絡(luò)安全技術(shù)人員可以利用訪問控制列表ACL來加強網(wǎng)絡(luò)的安全過濾功能、安全防范功能。如網(wǎng)絡(luò)安全技術(shù)人員可以采用源/目標VLAN、MAC地址、TCP/UDP端口、源/目標交換槽、源/目標IP等訪問控制過濾方法，以及制定相應(yīng)的網(wǎng)絡(luò)安全策略，通過訪問控制列表ACL來加強網(wǎng)絡(luò)的安全屏蔽。同時，利用ACL設(shè)置相應(yīng)的控制規(guī)范，對特殊的用戶或數(shù)據(jù)進行限制，進而保障網(wǎng)絡(luò)的安全。

2.5 加強交換機的端口安全

網(wǎng)絡(luò)的端口安全措施也是保障內(nèi)網(wǎng)安全的一個途徑，其原理是以MAC地址為憑證，將交換機端口與MAC地址進行綁定，進而實現(xiàn)對端口網(wǎng)絡(luò)流量的控制與管理，以達到加強交換機端口安全的目的。綁定交換機端口與MAC地址之后，在access或者Trunk狀態(tài)下確定端口模式以及端口指定的MAC地址，所以在網(wǎng)絡(luò)使用與訪問過程中一旦主機的MAC地址不同于交換機上的已定地址不符時，那么交換機就會down掉有關(guān)的端口，以保障網(wǎng)絡(luò)的安全。此外，利用MAC地址對端口流量進行控制，一個TRUNK口通過的MAC地址不能超過一百個，超過就會丟失主機中的數(shù)據(jù)幀。

3 結(jié)語

在當前的網(wǎng)絡(luò)信息社會環(huán)境中，人們對網(wǎng)絡(luò)的使用依賴性越來越大，所以網(wǎng)絡(luò)安全備受人們的重視。由于交換機在網(wǎng)絡(luò)中占據(jù)著重要的份量，因而基于交換機技術(shù)來提出相應(yīng)的網(wǎng)絡(luò)安全策略，通過劃分VLAN、利用NetFlow與IEEE 802.1x、設(shè)置訪問控制列表、加強交換機的端口安全等策略來提高網(wǎng)絡(luò)的安全性。如此，以樹立人們對網(wǎng)絡(luò)安全的信任，讓人們放心、安全的使用網(wǎng)絡(luò)。

參考文獻：

[1]王東洋.基于虛擬設(shè)備的虛擬交換機設(shè)計[J].軟件，2012（1）：42-45.

[2]趙江濤.淺析計算機網(wǎng)絡(luò)安全防范措施[J].科技風(fēng)，2011（8）：56-58.

[3]耿永利.淺談如何構(gòu)筑計算機網(wǎng)絡(luò)安全防御體系[J].北京電力高等?？茖W(xué)校學(xué)報（自然科學(xué)版），2012，29（3）：70-75.

作者單位：新余學(xué)院數(shù)學(xué)與計算機科學(xué)學(xué)院，江西新余 338000