侯麗娟
摘 要 隨著信息網(wǎng)絡(luò)的不斷發(fā)展及延伸應(yīng)用,信息網(wǎng)絡(luò)安全日趨重要,而網(wǎng)絡(luò)中的主要組成部分網(wǎng)絡(luò)交換機(jī)的安全性能要求也越來越高。本文針對信息網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)交換機(jī)面臨的安全威脅,提出幾種網(wǎng)絡(luò)交換機(jī)的安全加固措施,有效提升信息網(wǎng)絡(luò)安全。
關(guān)鍵詞 網(wǎng)絡(luò)交換機(jī);安全威脅;加固措施
中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708(2017)201-0117-02
一般而言,信息網(wǎng)絡(luò)的組網(wǎng)離不開網(wǎng)絡(luò)交換機(jī),網(wǎng)絡(luò)交換機(jī)可以說是信息網(wǎng)絡(luò)的主要部分,分別部署于從接入層到核心層,當(dāng)網(wǎng)絡(luò)交換機(jī)存在安全風(fēng)險時,網(wǎng)絡(luò)攻擊者就會通過系統(tǒng)漏洞,對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊,就會直接影響到信息網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行,這也是本文研究的現(xiàn)實意義所在,從網(wǎng)絡(luò)交換機(jī)自身的安全性能著手,提高網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?,有效地防止病毒和黑客的惡意入侵?/p>
1 網(wǎng)絡(luò)交換機(jī)簡介
從概念定義上來看,網(wǎng)絡(luò)交換機(jī)可以被看作是一種能夠擴(kuò)大網(wǎng)絡(luò)覆蓋范圍的器材,可以為子網(wǎng)絡(luò)提供出更多的連接端口,從而方便連接上更多的計算機(jī)。伴隨著信息化技術(shù)在企業(yè)的不斷深入應(yīng)用,交換機(jī)以其性價比高、活動靈活,操作簡單,還有易于實現(xiàn)等一系列優(yōu)點(diǎn),已成為了局域網(wǎng)組網(wǎng)技術(shù)中非常重要的組成部分,從接入層、匯聚層、甚至核心層,并且發(fā)揮著相當(dāng)重要的作用。網(wǎng)絡(luò)交換機(jī)除了發(fā)揮其數(shù)據(jù)轉(zhuǎn)發(fā)功能外,在黑客攻擊和病毒侵?jǐn)_下,仍能繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率,不受到攻擊的干擾,顯得尤為重要[ 1 ]。
2 網(wǎng)絡(luò)交換機(jī)面臨的安全威脅
在長期的工作實際中以及現(xiàn)存的網(wǎng)絡(luò)安全事件報道中,根據(jù)交換機(jī)的工作原理,可以看出,目前網(wǎng)絡(luò)交換機(jī)面前的主要安全威脅有MAC地址泛洪攻擊、DOS攻擊、ARP攻擊等安全威脅。
MAC地址泛洪攻擊,攻擊者利用交換機(jī)的工作原理即MAC地址學(xué)習(xí)機(jī)制,偽造的大量的MAC地址數(shù)據(jù)包,導(dǎo)致CAM被大量非法用戶的數(shù)據(jù)信息填滿,而正常用戶的MAC地址條目將無法寫入CAM表,使網(wǎng)絡(luò)交換機(jī)選擇廣播的方式傳輸數(shù)據(jù),從而獲取其他人的報文信息。
DOS攻擊即拒絕服務(wù)攻擊,DOS攻擊主要是分布式攻擊,在攻擊時,會充分運(yùn)用一些互聯(lián)網(wǎng)帶寬工具,集中力量對主機(jī)進(jìn)行攻擊,使得局域網(wǎng)系統(tǒng)所有可用網(wǎng)絡(luò)資源都被消耗殆盡,最后導(dǎo)致合法的用戶請求無法通過。
ARP攻擊是一種專門針對以太網(wǎng)地址協(xié)議解析的攻擊技術(shù),攻擊者能夠通過網(wǎng)絡(luò)去修改數(shù)據(jù)的封裝包,進(jìn)而導(dǎo)致用戶的計算機(jī)系統(tǒng)不能夠正常地進(jìn)行連接工作,具體的攻擊行為是ARP泛洪攻擊和ARP欺騙。
3 網(wǎng)絡(luò)交換機(jī)安全加固措施的實現(xiàn)
3.1 加強(qiáng)硬件安全及版本升級
信息網(wǎng)絡(luò)是信息化深化應(yīng)用的基礎(chǔ),在信息化深化應(yīng)用的今天,信息安全問題日趨重要,信息系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)安全也不可小覷,因此針對網(wǎng)絡(luò)交換機(jī)的安全風(fēng)險進(jìn)行防范,避免一些漏洞問題而引發(fā)整個信息網(wǎng)絡(luò)核心數(shù)據(jù)的失密和失控,首先我們需要確保交換機(jī)軟件IOS版本的及時更新,版本較低會帶來安全性和穩(wěn)定性方面的隱患,因此要求在設(shè)備的FLASH容量允許的情況下升級到較新的版本,對于一些高端的核心交換機(jī)尤其重要,必要情況下可升級設(shè)備的FLASH容量,以便于IOS更新版本的下載使用。同時確保信息網(wǎng)絡(luò)的安全及穩(wěn)定性,對一些重要節(jié)點(diǎn)重要部件,配置為雙機(jī)或配置一些常用的板卡等等,避免當(dāng)網(wǎng)絡(luò)交換機(jī)出現(xiàn)故障的時候,網(wǎng)絡(luò)系統(tǒng)連接的設(shè)備及端口都可以正常運(yùn)行,從而有效地提升信息網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性。
3.2 訪問控制設(shè)置并啟用日志功能
在網(wǎng)絡(luò)交換機(jī)的日常運(yùn)維中,較為安全的是采用本地維護(hù),但是當(dāng)必須開啟遠(yuǎn)程運(yùn)維時,如何確保交換機(jī)自身訪問控制的安全性,不給不法分子留下漏洞,就需要對登錄方式及訪問控制上進(jìn)行安全加固。首先,確保所有訪問控制的線路,不管是Console口還是Vty口登錄,確保密碼的復(fù)雜度需要符合安全性要求,且使用MD5加密方法對其加密。
其次,盡可能少的使用遠(yuǎn)程管理,假如是需要遠(yuǎn)程管理的話,禁用telnet訪問,選擇SSH遠(yuǎn)程管理方式,及采用訪問控制的方式(即只允許某臺客戶端對其進(jìn)行遠(yuǎn)程管理)以及配置不同權(quán)限的用戶對訪問權(quán)限進(jìn)行限制,且配置相應(yīng)的嘗試登錄次數(shù)及時間限制,超過配置的參數(shù)后,鎖定該用戶登錄。
再次,啟用日志功能。若交換機(jī)沒有足夠的空間,為所管理的網(wǎng)絡(luò)交換機(jī)指定統(tǒng)一的日志服務(wù)器,在日志文件中能統(tǒng)一的記錄登錄過該設(shè)備的用戶名、時間和所作的命令操作等詳細(xì)信息,為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)。這樣一旦出現(xiàn)了網(wǎng)絡(luò)運(yùn)行故障的話,可以方便操作人員準(zhǔn)確調(diào)取交換機(jī)設(shè)備的故障信息,便于故障的分析以及預(yù)控。
3.3 端口、服務(wù)最小化開放原則
為了避免給攻擊者留下漏洞可攻,在交換機(jī)的配置上,我們一般采取端口、服務(wù)最小化開放原則,即不需要開放的端口,不給予開放,不需要的服務(wù),嚴(yán)格關(guān)閉,僅保留所需要的端口及承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。例如在實際工作中,為了防止MAC地址泛洪攻擊,對于接入交換機(jī)層限定接入端口的數(shù)量,即每一接入端口一般情況下僅允許一臺客戶機(jī)接入,假如有多用戶接入的需求,也將嚴(yán)格設(shè)置接入數(shù)量,不需要使用的端口采用關(guān)閉措施。
3.4 網(wǎng)絡(luò)準(zhǔn)入控制實現(xiàn)
網(wǎng)絡(luò)準(zhǔn)入控制的目的主要是為了能夠有效控制App攻擊,防止非法用戶的惡意入侵,解決訪問地址沖突的問題,從而提高網(wǎng)絡(luò)交換機(jī)的安全性,具體可以通過802.1x網(wǎng)絡(luò)準(zhǔn)入控制、IP-MAC綁定技術(shù)、以及在交換機(jī)上配置DHCP Snooping檢測來實現(xiàn)對網(wǎng)絡(luò)的準(zhǔn)入控制。一般可以根據(jù)公司的實際情況,采取不同的準(zhǔn)入控制措施,也可以結(jié)合起來應(yīng)用。在實際工作中,一般可以采用IP-MAC地址綁定結(jié)合交換機(jī)上配置動態(tài)ARP檢測,對于IP-MAC地址綁定工作可以通過DHCP服務(wù)器來實現(xiàn)綁定功能,在配置上操作上來說也稍微簡單,因此該方法配置及維護(hù)相對而言較易實現(xiàn)。
3.5 ACL配置
為了確保交換機(jī)穩(wěn)定安全的運(yùn)行,在三層網(wǎng)絡(luò)交換機(jī)配置上,通常采用配置相應(yīng)的ACL,對蠕蟲端口進(jìn)行屏蔽,關(guān)閉不安全的服務(wù)避免被入侵者利用。同時為了安全起見,可以根據(jù)每個網(wǎng)段的業(yè)務(wù)訪問情況,精確配置ACL,進(jìn)一步減少安全風(fēng)險。
4 結(jié)論
綜上所述,在信息技術(shù)深入應(yīng)用的今天,信息安全問題已成重要的安全問題,因此作為信息技術(shù)的基礎(chǔ),網(wǎng)絡(luò)安全也日趨重要,維護(hù)好基礎(chǔ)設(shè)備即網(wǎng)絡(luò)交換機(jī)的信息安全,不僅需要相關(guān)技術(shù)人員的高度重視,對于已知的網(wǎng)絡(luò)風(fēng)險,在網(wǎng)絡(luò)源頭即交換機(jī)的安全配置上,狠下功夫,確保安全,同時也需要繼續(xù)深入研究,積極發(fā)現(xiàn)一些潛在的安全風(fēng)險,積極采取有效的安全加固措施,確保信息網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
[1]范靜,陳睿.基于網(wǎng)絡(luò)交換機(jī)安全措施的研究和實現(xiàn)[J].華東電力,2014,42(5):1048-1049.endprint