摘 要：涉密網(wǎng)絡(luò)是與互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)中所傳輸?shù)奈募蛿?shù)據(jù)可能會涉及到某個領(lǐng)域的核心機(jī)密。因此涉密網(wǎng)絡(luò)的安全管理作為首要問題來解決。交換機(jī)作為涉密網(wǎng)絡(luò)中重要的硬件設(shè)備，與網(wǎng)絡(luò)的整體安全性有著直接密切的聯(lián)系，是攻擊者入侵和病毒肆虐的重點(diǎn)對象。本文重點(diǎn)分析歸納了涉密網(wǎng)交換機(jī)基本安全管理、VLAN劃分、MAC地址綁定、訪問控制列表等安全防護(hù)技術(shù)，以提高涉密網(wǎng)絡(luò)交換機(jī)的安全系數(shù)。

關(guān)鍵詞：涉密網(wǎng)絡(luò)；VLAN劃分；MAC地址綁定；訪問控制列表

中圖分類號：TN915.08

隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，網(wǎng)絡(luò)的安全性越來越受到人們的關(guān)注。特別是政府、軍工等涉密單位網(wǎng)絡(luò)的安全管理已成為首要問題來解決。交換機(jī)作為網(wǎng)絡(luò)中的核心設(shè)備，其自身的安全性與網(wǎng)絡(luò)的整體安全性有著直接密切的聯(lián)系。為了盡可能抑制攻擊帶來的影響，使涉密網(wǎng)絡(luò)穩(wěn)定運(yùn)行，通過應(yīng)用一些交換機(jī)的安全技術(shù)和策略，可以增強(qiáng)涉密網(wǎng)絡(luò)的安全性和穩(wěn)定性。以下將重點(diǎn)分析歸納幾種涉密網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)。

1 交換機(jī)管理防范技術(shù)

1.1 采用口令加密策略

交換機(jī)都使用密碼來驗(yàn)證登錄用戶的權(quán)限和合法性，密碼在交換機(jī)上有兩種保存方式，即明文加密和密文加密兩種。明文密碼可以通過查看配置文件直接看到，密文密碼不能通過查看配置文件而直接識別出來。為了確保涉密網(wǎng)的安全，可以使用enable secret命令設(shè)置進(jìn)入特權(quán)模式的密碼。在設(shè)置密碼時盡可能使用高強(qiáng)度的密碼策略，即混合用大小寫、數(shù)字和符號。為了使所有的密碼更為安全可靠，可以使用Service password-encryption命令對全部密碼進(jìn)行加密。

1.2 采用安全的遠(yuǎn)程管理方式

大多數(shù)網(wǎng)絡(luò)管理員都會使用Telnet命令來遠(yuǎn)程管理交換機(jī)。但是，Telnet服務(wù)有一個致命的弱點(diǎn)，即以明文的方式傳輸用戶名及口令。很容易被攻擊者竊取口令，從而導(dǎo)致網(wǎng)絡(luò)遭受攻擊。為此可以采用更加安全的SSH協(xié)議，其通訊時對用戶名及口令均進(jìn)行了加密，有效防止了非法用戶對口令的竊聽，為網(wǎng)絡(luò)管理員提供了更加安全可靠的遠(yuǎn)程管理方式。

2 VLAN劃分安全防范技術(shù)

2.1 基于端口的VLAN劃分

VLAN（虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。因其具有高度的靈活性且不受物理位置限制，所以用戶和設(shè)備之間通信就如在同一網(wǎng)絡(luò)中進(jìn)行。基于端口的VLAN劃分是最常用、最有效的一種VLAN劃分方法。它是將交換機(jī)上的物理端口劃分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)。

VLAN劃分可以限制廣播的范圍。在相同網(wǎng)段中，VLAN的內(nèi)部廣播和單播流量在受到惡意攻擊時也不會向其它VLAN轉(zhuǎn)發(fā)，這是因?yàn)閂LAN將廣播風(fēng)暴隔離開來，不同VLAN之間無法通訊，需要借助路由來實(shí)現(xiàn)。因此，在涉密網(wǎng)絡(luò)中可將交換機(jī)端口按照應(yīng)用類型和訪問特權(quán)劃分不同的VLAN，從而實(shí)現(xiàn)對涉密網(wǎng)絡(luò)的安全保密。

2.2 VTP防護(hù)技術(shù)

VTP（VLAN中繼協(xié)議）是一種消息協(xié)議，它使用第2層的中繼幀來管理網(wǎng)絡(luò)中VLAN的添加、刪除和重命名，以維持整個網(wǎng)絡(luò)VLAN配置的一致性。一個VTP域由一臺或多臺交換機(jī)組成，同一個VTP域中的所有交換機(jī)彼此共享之間的VLAN信息。

交換機(jī)在VTP域中有3種工作模式，即服務(wù)器模式、客戶模式和透明模式。默認(rèn)為服務(wù)器模式，但只有當(dāng)一個VTP域名被指定或獲知后，其VLAN信息才會被通告到整個VTP域。通常每隔5分鐘或當(dāng)VLAN配置發(fā)生改變時，都會產(chǎn)生VTP通告，它包含了VLAN配置版本號，高版本號表明所通告的VLAN信息比原來儲存的信息更新。

攻擊者可向VTP域中服務(wù)器模式的交換機(jī)發(fā)送配置版本號更高的VTP通告，使所有交換機(jī)的VLAN版本信息都與攻擊者的計(jì)算機(jī)進(jìn)行VLAN版本信息同步。這樣，攻擊者就能把所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中移除，使其能同其他用戶處于同一VLAN中。

為了保證VTP域的安全，VTP域必須設(shè)置密碼。域中的所有交換機(jī)必須配置同樣的密碼后，VTP才能正常工作。此外，涉密網(wǎng)絡(luò)VTP域中的所有交換機(jī)可設(shè)置成透明模式，該模式的交換機(jī)不會通告它的VLAN配置，也不會基于收到的通告去同步它的VLAN配置，從而能有效防止攻擊者通過發(fā)送高配置版本號對涉密網(wǎng)絡(luò)交換機(jī)進(jìn)行VTP入侵攻擊。

2.3 交換機(jī)中繼鏈路防護(hù)技術(shù)

如果一個VLAN跨越多臺交換機(jī)，則需要使用中繼鏈路（Trunk Link）方式進(jìn)行互連。中繼鏈路有一個協(xié)議叫做動態(tài)鏈路協(xié)議（Dynamic Trunk Protocol）。如果使用不當(dāng)，也會成為攻擊者的目標(biāo)。攻擊者可以使用模擬交換機(jī)軟件啟動DTP協(xié)議，并與其它交換機(jī)協(xié)商建立中繼鏈路，從而學(xué)習(xí)其他交換機(jī)的所有VLAN，同任意一個VLAN進(jìn)行通信。

為了確保涉密網(wǎng)絡(luò)中交換機(jī)VLAN的安全，須將交換機(jī)上所有中繼端口設(shè)置成只允許專用VLAN通過，并邏輯關(guān)閉所有未使用的端口。同時，所有的用戶端口都要設(shè)置成非鏈路模式并關(guān)閉DTP協(xié)議，防止攻擊者利用中繼鏈路非法入侵涉密網(wǎng)絡(luò)。

3 基于交換機(jī)端口的MAC地址綁定

基于交換機(jī)端口的MAC地址綁定技術(shù)是保障涉密網(wǎng)絡(luò)內(nèi)部安全的有效途徑，它的原理就是將交換機(jī)的端口與允許通過該端口訪問網(wǎng)絡(luò)的MAC地址相互綁定，從而對端口的網(wǎng)絡(luò)流量進(jìn)行管理和限制。當(dāng)在網(wǎng)絡(luò)訪問過程中出現(xiàn)MAC地址與交換機(jī)端口綁定的MAC地址不一致，交換機(jī)將強(qiáng)行關(guān)閉該端口，只有網(wǎng)絡(luò)管理員可以重新激活該端口，這樣能阻止非法用戶企圖通過使用其他用戶活動的網(wǎng)絡(luò)端口接入自己機(jī)器來獲取涉密網(wǎng)絡(luò)的訪問權(quán)限。

4 設(shè)置訪問控制列表

訪問控制列表（ACL）是應(yīng)用到交換機(jī)接口上的指令列表。這些列表告訴交換機(jī)接受哪些類型的分組，拒絕哪些類型的分組。接受和拒絕都基于某些規(guī)范，比如源地址、目標(biāo)地址和TCP/UDP端口號等。

訪問控制列表分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表只能根據(jù)分組中的源地址匹配拒絕或允許操作。而擴(kuò)展訪問控制列表可根據(jù)協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接和IP優(yōu)先級等匹配拒絕或允許操作。因此，網(wǎng)絡(luò)管理員可利用訪問控制列表設(shè)置控制規(guī)范，對特殊用戶或特殊數(shù)據(jù)進(jìn)行有效限制，以保證涉密網(wǎng)絡(luò)的安全運(yùn)行。

5 結(jié)束語

總之，涉密網(wǎng)絡(luò)信息安全問題是一項(xiàng)長期、艱巨、重要的綜合性研究課題，交換機(jī)作為涉密網(wǎng)絡(luò)的核心設(shè)備，在涉密網(wǎng)絡(luò)中的地位日趨重要，安全隱患也是很大的。若不對其加強(qiáng)安全防范，則交換機(jī)很可能成為攻擊者用來攻擊涉密網(wǎng)絡(luò)的可利用工具。所以，應(yīng)盡量為交換機(jī)采取一些安全防護(hù)措施，以保障整個涉密網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1]秦鳴昕，陳娟，楊繼文.基于交換機(jī)技術(shù)的網(wǎng)絡(luò)安全策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（05）：108.

[2]汪松鶴，汪永益.網(wǎng)絡(luò)交換機(jī)的安全威脅與防范[J].網(wǎng)絡(luò)安全，2009（01）：16-17.

[3]譚呈祥.局域網(wǎng)交換機(jī)安全管理研究[J].信息安全與技術(shù)，2011（10）：90-92.

[4]麥奎里，李祥瑞，張明.Cisco網(wǎng)絡(luò)設(shè)備互連：第2版[M].北京：人民郵電出版社，2010.

作者簡介：倪?。?983-），男，上海南匯人，工程師，碩士，研究方向：網(wǎng)絡(luò)與信息安全。

作者單位：上海無線電設(shè)備研究所，上海 200090