曾大勇

（民航華北空管局，北京 100621）

1 出現(xiàn)漏洞的多種原因

1.1 人為因素導致網(wǎng)絡設備破壞

有些漏洞可以修復，有些漏洞是不可以的。占據(jù)路由和交換市場最多份額的是思科公司。思科Security Advisories、Response和Notices網(wǎng)站為方便人們生活建立了一個新的數(shù)據(jù)庫，思科產(chǎn)品的各種安全問題讓思科各個用戶明白和了解。思科會毫無保留的揭示紕漏，也會及時發(fā)布修復方法，因為思科投資了很大一筆資金來研究分析產(chǎn)品的安全。

1.2 BGP的重定向引起風險

數(shù)據(jù)丟失，是網(wǎng)絡設備潛在的危險之一，雖然攻擊方式多種多樣，BGP即邊界網(wǎng)關協(xié)議的攻擊方式越來越困難繁瑣。BGP一直是互聯(lián)網(wǎng)的核心協(xié)議，邊界網(wǎng)關協(xié)議是用于TCP上的一種自治系統(tǒng)的路由協(xié)議，也是唯一一個運用于處理類似于因特網(wǎng)這樣的網(wǎng)絡協(xié)議。BGP構(gòu)建于EGP的經(jīng)驗之上，它的自治系統(tǒng)號碼是ASN。網(wǎng)關可以檢查數(shù)據(jù)包創(chuàng)ISP時的ASN，來識別單個數(shù)據(jù)包從哪個ISP來。

1.3 超過防火墻

如果不小心讓其他人甚至于攻擊者獲得防火墻的管理訪問權限，造成的后果不堪設想。對于各大企業(yè)的網(wǎng)絡設備來說，防火墻是最重要的防御措施，只要破壞者或者攻擊者獲取了防火墻的訪問權限，那么他的操控將來去自如，不被局限和控制，想要盜取任何企業(yè)信息或個人資料都信手拈來，如果越來越多的攻擊者出現(xiàn)，那么對網(wǎng)絡的自由操控引發(fā)的后果將是毀滅性的[1]。

2 防御漏洞的出現(xiàn)采取一系列措施

2.1 路由器安全防護措施

路由器對于網(wǎng)絡而言，相當于過渡工具，路由器有好壞之分，每個路由器至少有2個端口和2個網(wǎng)絡相互連接，好的路由器采用嚴格的安全機制保護自己也保護網(wǎng)絡，網(wǎng)絡管理者及路由器安裝者也應對其進行安全保護，做好安全防護措施。路由器里一般都有一個“路由表”，記載著相鄰或不相鄰的路徑信息，跟蹤紀錄路由器的地址信息，盡量滿足人們對網(wǎng)速的需求，實現(xiàn)以最短的路徑和最少的花銷傳送數(shù)據(jù)包。路由器的穩(wěn)定保證網(wǎng)絡運用的暢通無阻，方便網(wǎng)絡帶來的一切活動，一旦出現(xiàn)網(wǎng)絡連接失敗等問題，網(wǎng)絡運行速度瞬間下降。

2.2 交換機安全防護措施

為了維護網(wǎng)絡安全，在特殊情況下，要采用MAC的地址對交換機以太網(wǎng)的端口進行鎖定，這樣只有通過MAC指定的地址才能訪問該端口的網(wǎng)絡。除了這個方法，還可以采用虛擬局域網(wǎng)來保證網(wǎng)絡的安全，每一個虛擬局域網(wǎng)通過劃分，形成一個單獨的廣播域，將不同的網(wǎng)絡分類成不同的廣播組，虛擬局域網(wǎng)之間互相分離，形成單獨的個體，禁止一切未經(jīng)允許想要訪問虛擬區(qū)域網(wǎng)的應用軟件，保護了一些重要的數(shù)據(jù)。

（1）流量控制

防止流量使用量過多導致交換機的異常負荷，因此要控制流量的使用，確保網(wǎng)絡運行的穩(wěn)定。

（2）層過濾

不規(guī)則的方式無法滿足各種過濾需求，所以要建立規(guī)則的方式，要求附加到對應的接收或傳送端口，過濾后再決定丟棄或轉(zhuǎn)發(fā)。

（3）Syslog和Watchdog

交換機中可以把各種各樣的信息傳送給日志服務器的是Syslog日志功能，網(wǎng)絡管理人員可以根據(jù)設備的運行情況，更好地保證網(wǎng)絡穩(wěn)定安全的運行。Watchdog擁有一個計時器，它的作用是可以在交換機出現(xiàn)緊急故障或者遇到某種意外狀況時自動重啟，強大的智能性確保網(wǎng)絡的正常運行。

2.3 防火墻安全防護措施

防火墻技術雖然是在信息安全和通信網(wǎng)技術領域上建立的應用性安全技術，也在各種網(wǎng)絡領域的網(wǎng)絡大環(huán)境下被人們廣泛運用，但是在安全問題上很容易出現(xiàn)漏洞。隨著社會不斷發(fā)展，網(wǎng)絡安全要求越來越高，防火墻技術除了滿足不斷提高的網(wǎng)速，還要提供更多的網(wǎng)絡功能，在解決安全問題的同時，也要具備網(wǎng)絡地址轉(zhuǎn)換功能。防火墻包括包過濾型防火墻、代理型防火墻、監(jiān)測型防火墻。其實，防火墻的功能比較完整，在安全性和實用性上還是很統(tǒng)一的，它具備報警功能，并且擁有足夠的空間進行日志存儲。即使這樣，也依舊存在著許多缺點：攻擊者的惡意攻擊沒有經(jīng)過防火墻時，防火墻幾乎沒有任何作用，無法進行防御。

3 結(jié)束語

本文總結(jié)出可以想到的涉及相關知識的措施，網(wǎng)絡安全工作者必須合理配置路由器和交換機，避免防火墻遭受攻擊，完善路由器、交換機以及防火墻的安全機制，確保嚴格的控制管理，保障原有功能不受任何影響的基礎上，擴大它的功能，發(fā)揮更多的作用。希望所有人都可以謹慎重視這個問題，如果忽視的話，現(xiàn)在是幸存者，以后有可能就是受害者。

[1]柳文波.路由器和交換機的安全策略[J].華南金融電腦，2003（12）.