侯麗娟

摘 要 隨著信息網(wǎng)絡(luò)的不斷發(fā)展及延伸應(yīng)用，信息網(wǎng)絡(luò)安全日趨重要，而網(wǎng)絡(luò)中的主要組成部分網(wǎng)絡(luò)交換機(jī)的安全性能要求也越來越高。本文針對信息網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)交換機(jī)面臨的安全威脅，提出幾種網(wǎng)絡(luò)交換機(jī)的安全加固措施，有效提升信息網(wǎng)絡(luò)安全。

關(guān)鍵詞 網(wǎng)絡(luò)交換機(jī)；安全威脅；加固措施

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2017）201-0117-02

一般而言，信息網(wǎng)絡(luò)的組網(wǎng)離不開網(wǎng)絡(luò)交換機(jī)，網(wǎng)絡(luò)交換機(jī)可以說是信息網(wǎng)絡(luò)的主要部分，分別部署于從接入層到核心層，當(dāng)網(wǎng)絡(luò)交換機(jī)存在安全風(fēng)險時，網(wǎng)絡(luò)攻擊者就會通過系統(tǒng)漏洞，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，就會直接影響到信息網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，這也是本文研究的現(xiàn)實意義所在，從網(wǎng)絡(luò)交換機(jī)自身的安全性能著手，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?，有效地防止病毒和黑客的惡意入侵?/p>

1 網(wǎng)絡(luò)交換機(jī)簡介

從概念定義上來看，網(wǎng)絡(luò)交換機(jī)可以被看作是一種能夠擴(kuò)大網(wǎng)絡(luò)覆蓋范圍的器材，可以為子網(wǎng)絡(luò)提供出更多的連接端口，從而方便連接上更多的計算機(jī)。伴隨著信息化技術(shù)在企業(yè)的不斷深入應(yīng)用，交換機(jī)以其性價比高、活動靈活，操作簡單，還有易于實現(xiàn)等一系列優(yōu)點(diǎn)，已成為了局域網(wǎng)組網(wǎng)技術(shù)中非常重要的組成部分，從接入層、匯聚層、甚至核心層，并且發(fā)揮著相當(dāng)重要的作用。網(wǎng)絡(luò)交換機(jī)除了發(fā)揮其數(shù)據(jù)轉(zhuǎn)發(fā)功能外，在黑客攻擊和病毒侵?jǐn)_下，仍能繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，顯得尤為重要[ 1 ]。

2 網(wǎng)絡(luò)交換機(jī)面臨的安全威脅

在長期的工作實際中以及現(xiàn)存的網(wǎng)絡(luò)安全事件報道中，根據(jù)交換機(jī)的工作原理，可以看出，目前網(wǎng)絡(luò)交換機(jī)面前的主要安全威脅有MAC地址泛洪攻擊、DOS攻擊、ARP攻擊等安全威脅。

MAC地址泛洪攻擊，攻擊者利用交換機(jī)的工作原理即MAC地址學(xué)習(xí)機(jī)制，偽造的大量的MAC地址數(shù)據(jù)包，導(dǎo)致CAM被大量非法用戶的數(shù)據(jù)信息填滿，而正常用戶的MAC地址條目將無法寫入CAM表，使網(wǎng)絡(luò)交換機(jī)選擇廣播的方式傳輸數(shù)據(jù)，從而獲取其他人的報文信息。

DOS攻擊即拒絕服務(wù)攻擊，DOS攻擊主要是分布式攻擊，在攻擊時，會充分運(yùn)用一些互聯(lián)網(wǎng)帶寬工具，集中力量對主機(jī)進(jìn)行攻擊，使得局域網(wǎng)系統(tǒng)所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。

ARP攻擊是一種專門針對以太網(wǎng)地址協(xié)議解析的攻擊技術(shù)，攻擊者能夠通過網(wǎng)絡(luò)去修改數(shù)據(jù)的封裝包，進(jìn)而導(dǎo)致用戶的計算機(jī)系統(tǒng)不能夠正常地進(jìn)行連接工作，具體的攻擊行為是ARP泛洪攻擊和ARP欺騙。

3 網(wǎng)絡(luò)交換機(jī)安全加固措施的實現(xiàn)

3.1 加強(qiáng)硬件安全及版本升級

信息網(wǎng)絡(luò)是信息化深化應(yīng)用的基礎(chǔ)，在信息化深化應(yīng)用的今天，信息安全問題日趨重要，信息系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)安全也不可小覷，因此針對網(wǎng)絡(luò)交換機(jī)的安全風(fēng)險進(jìn)行防范，避免一些漏洞問題而引發(fā)整個信息網(wǎng)絡(luò)核心數(shù)據(jù)的失密和失控，首先我們需要確保交換機(jī)軟件IOS版本的及時更新，版本較低會帶來安全性和穩(wěn)定性方面的隱患，因此要求在設(shè)備的FLASH容量允許的情況下升級到較新的版本，對于一些高端的核心交換機(jī)尤其重要，必要情況下可升級設(shè)備的FLASH容量，以便于IOS更新版本的下載使用。同時確保信息網(wǎng)絡(luò)的安全及穩(wěn)定性，對一些重要節(jié)點(diǎn)重要部件，配置為雙機(jī)或配置一些常用的板卡等等，避免當(dāng)網(wǎng)絡(luò)交換機(jī)出現(xiàn)故障的時候，網(wǎng)絡(luò)系統(tǒng)連接的設(shè)備及端口都可以正常運(yùn)行，從而有效地提升信息網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性。

3.2 訪問控制設(shè)置并啟用日志功能

在網(wǎng)絡(luò)交換機(jī)的日常運(yùn)維中，較為安全的是采用本地維護(hù)，但是當(dāng)必須開啟遠(yuǎn)程運(yùn)維時，如何確保交換機(jī)自身訪問控制的安全性，不給不法分子留下漏洞，就需要對登錄方式及訪問控制上進(jìn)行安全加固。首先，確保所有訪問控制的線路，不管是Console口還是Vty口登錄，確保密碼的復(fù)雜度需要符合安全性要求，且使用MD5加密方法對其加密。

其次，盡可能少的使用遠(yuǎn)程管理，假如是需要遠(yuǎn)程管理的話，禁用telnet訪問，選擇SSH遠(yuǎn)程管理方式，及采用訪問控制的方式（即只允許某臺客戶端對其進(jìn)行遠(yuǎn)程管理）以及配置不同權(quán)限的用戶對訪問權(quán)限進(jìn)行限制，且配置相應(yīng)的嘗試登錄次數(shù)及時間限制，超過配置的參數(shù)后，鎖定該用戶登錄。

再次，啟用日志功能。若交換機(jī)沒有足夠的空間，為所管理的網(wǎng)絡(luò)交換機(jī)指定統(tǒng)一的日志服務(wù)器，在日志文件中能統(tǒng)一的記錄登錄過該設(shè)備的用戶名、時間和所作的命令操作等詳細(xì)信息，為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)。這樣一旦出現(xiàn)了網(wǎng)絡(luò)運(yùn)行故障的話，可以方便操作人員準(zhǔn)確調(diào)取交換機(jī)設(shè)備的故障信息，便于故障的分析以及預(yù)控。

3.3 端口、服務(wù)最小化開放原則

為了避免給攻擊者留下漏洞可攻，在交換機(jī)的配置上，我們一般采取端口、服務(wù)最小化開放原則，即不需要開放的端口，不給予開放，不需要的服務(wù)，嚴(yán)格關(guān)閉，僅保留所需要的端口及承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。例如在實際工作中，為了防止MAC地址泛洪攻擊，對于接入交換機(jī)層限定接入端口的數(shù)量，即每一接入端口一般情況下僅允許一臺客戶機(jī)接入，假如有多用戶接入的需求，也將嚴(yán)格設(shè)置接入數(shù)量，不需要使用的端口采用關(guān)閉措施。

3.4 網(wǎng)絡(luò)準(zhǔn)入控制實現(xiàn)

網(wǎng)絡(luò)準(zhǔn)入控制的目的主要是為了能夠有效控制App攻擊，防止非法用戶的惡意入侵，解決訪問地址沖突的問題，從而提高網(wǎng)絡(luò)交換機(jī)的安全性，具體可以通過802.1x網(wǎng)絡(luò)準(zhǔn)入控制、IP-MAC綁定技術(shù)、以及在交換機(jī)上配置DHCP Snooping檢測來實現(xiàn)對網(wǎng)絡(luò)的準(zhǔn)入控制。一般可以根據(jù)公司的實際情況，采取不同的準(zhǔn)入控制措施，也可以結(jié)合起來應(yīng)用。在實際工作中，一般可以采用IP-MAC地址綁定結(jié)合交換機(jī)上配置動態(tài)ARP檢測，對于IP-MAC地址綁定工作可以通過DHCP服務(wù)器來實現(xiàn)綁定功能，在配置上操作上來說也稍微簡單，因此該方法配置及維護(hù)相對而言較易實現(xiàn)。

3.5 ACL配置

為了確保交換機(jī)穩(wěn)定安全的運(yùn)行，在三層網(wǎng)絡(luò)交換機(jī)配置上，通常采用配置相應(yīng)的ACL，對蠕蟲端口進(jìn)行屏蔽，關(guān)閉不安全的服務(wù)避免被入侵者利用。同時為了安全起見，可以根據(jù)每個網(wǎng)段的業(yè)務(wù)訪問情況，精確配置ACL，進(jìn)一步減少安全風(fēng)險。

4 結(jié)論

綜上所述，在信息技術(shù)深入應(yīng)用的今天，信息安全問題已成重要的安全問題，因此作為信息技術(shù)的基礎(chǔ)，網(wǎng)絡(luò)安全也日趨重要，維護(hù)好基礎(chǔ)設(shè)備即網(wǎng)絡(luò)交換機(jī)的信息安全，不僅需要相關(guān)技術(shù)人員的高度重視，對于已知的網(wǎng)絡(luò)風(fēng)險，在網(wǎng)絡(luò)源頭即交換機(jī)的安全配置上，狠下功夫，確保安全，同時也需要繼續(xù)深入研究，積極發(fā)現(xiàn)一些潛在的安全風(fēng)險，積極采取有效的安全加固措施，確保信息網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1]范靜，陳睿.基于網(wǎng)絡(luò)交換機(jī)安全措施的研究和實現(xiàn)[J].華東電力，2014，42（5）：1048-1049.endprint