曹亞 郭麗娟

?

基于交換機(jī)技術(shù)增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全策略研究

曹亞1郭麗娟2

1.中國(guó)船舶重工集團(tuán)公司第七二三研究所，江蘇 揚(yáng)州 225001 2.揚(yáng)州市海星技貿(mào)有限公司，江蘇 揚(yáng)州 225001

隨著我國(guó)信息技術(shù)的發(fā)展，信息資源數(shù)據(jù)的完善及整個(gè)數(shù)據(jù)的傳輸?shù)劝踩孕枰鰪?qiáng)相應(yīng)的技術(shù)。傳統(tǒng)的信息數(shù)據(jù)主要利用計(jì)算機(jī)防火墻系統(tǒng)進(jìn)行相應(yīng)的信息攔截，但無法確保信息的安全性。因此對(duì)于交換機(jī)來說，需要利用有效的網(wǎng)絡(luò)安全技術(shù)增強(qiáng)其安全性。以交換機(jī)技術(shù)為研究對(duì)象，分析其在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用策略，為提高局域網(wǎng)的網(wǎng)絡(luò)安全性和有效性提供更好的應(yīng)用層面的價(jià)值。

交換機(jī)技術(shù)；局域網(wǎng)；網(wǎng)絡(luò)安全

引言

信息技術(shù)的不斷發(fā)展，相應(yīng)帶來的是黑客技術(shù)風(fēng)起云涌，網(wǎng)絡(luò)病毒數(shù)據(jù)蔓延，肆意攻破一個(gè)個(gè)網(wǎng)絡(luò)難題。黑客使用具有流量侵略性的病毒，影響著計(jì)算機(jī)信息數(shù)據(jù)的安全性，破壞個(gè)人計(jì)算機(jī)內(nèi)部的相關(guān)數(shù)據(jù)信息，造成信息的安全性及保密性的相關(guān)威脅。因此，如何阻止計(jì)算機(jī)遭受類似黑客類攻擊，成為當(dāng)前局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)安全性的關(guān)鍵內(nèi)容。交換機(jī)作為整個(gè)計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)交換的核心，其不僅在數(shù)據(jù)交換的過程中承擔(dān)著重要作用，而且在增強(qiáng)網(wǎng)絡(luò)安全性，構(gòu)建和諧穩(wěn)定的網(wǎng)絡(luò)環(huán)境方面具有重要作用。

1 交換機(jī)技術(shù)的作用分析

在交換機(jī)技術(shù)的眾多作用中，數(shù)據(jù)轉(zhuǎn)發(fā)是其最主要的作用。為了保證數(shù)據(jù)傳輸?shù)挠行?，通過有效的數(shù)據(jù)傳輸，能夠?qū)⒏咝У臄?shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)用戶，實(shí)現(xiàn)在黑客或者病毒侵?jǐn)_下，保持信息數(shù)據(jù)的高效傳送，保證整個(gè)數(shù)據(jù)信息的安全。

另外，交換機(jī)作為整個(gè)信息數(shù)據(jù)的集成，能夠保證訪問地址、網(wǎng)絡(luò)信息的存儲(chǔ)等安全功能的需求，如圖1所示。

對(duì)網(wǎng)絡(luò)數(shù)據(jù)的安全性進(jìn)行訪問和存儲(chǔ)，形成較為廣泛的網(wǎng)絡(luò)信息數(shù)據(jù)的相關(guān)區(qū)分和控制。從另一個(gè)層面進(jìn)行分析，在相應(yīng)的網(wǎng)絡(luò)安全設(shè)備使用過程中，應(yīng)將交換機(jī)的安全性配合使用，對(duì)信息數(shù)據(jù)交換過程中的網(wǎng)絡(luò)攻擊及相應(yīng)的監(jiān)控信息進(jìn)行阻止。

圖1 虛擬局域網(wǎng)連接示意圖

2 交換機(jī)技術(shù)增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全的相關(guān)策略分析

2.1 虛擬局域網(wǎng)（VLAN）劃分

2.1.1 虛擬局域網(wǎng)（VLAN）概念分析

虛擬局域網(wǎng)是在一定的物理空間基礎(chǔ)上，將設(shè)備及用戶信息利用邏輯的思維集合在一起，不受物理環(huán)境因素的影響，是根據(jù)數(shù)據(jù)的相應(yīng)功能及實(shí)際使用的部門等因素集合而成的，有效地將功能及數(shù)據(jù)信息集成在一起，形成網(wǎng)段結(jié)構(gòu)中的通信信息功能的安全數(shù)據(jù)的合成，由此得名虛擬局域網(wǎng)（VLAN）。

從虛擬局域網(wǎng)發(fā)展簡(jiǎn)史分析，其是在技術(shù)創(chuàng)新基礎(chǔ)上完善而成的，將相應(yīng)的數(shù)據(jù)分成若干參考模型，并利用參考模型的相關(guān)數(shù)據(jù)結(jié)構(gòu)和路由器等設(shè)備硬件實(shí)現(xiàn)整個(gè)虛擬局域網(wǎng)信息的有效性，并將傳統(tǒng)的局域網(wǎng)信息技術(shù)應(yīng)用到相應(yīng)的數(shù)據(jù)傳輸中，進(jìn)而實(shí)現(xiàn)虛擬局域網(wǎng)技術(shù)應(yīng)用的靈活性[1]。

2.1.2 虛擬局域網(wǎng)（VLAN）的有效劃分

虛擬局域網(wǎng)（VLAN）在劃分時(shí)可以根據(jù)不同的原則，對(duì)劃分的方法進(jìn)行分類，具體可劃分為3大類。

（1）端口劃分

利用對(duì)應(yīng)的交換機(jī)端口對(duì)虛擬交換機(jī)（VLAN）進(jìn)行有效劃分，將獨(dú)立設(shè)定的相關(guān)局域網(wǎng)信息放在同一個(gè)數(shù)據(jù)廣播源中，形成以交換機(jī)為主線的整個(gè)廣播域內(nèi)局域網(wǎng)信息的有效傳遞。此種劃分方法簡(jiǎn)單明了，更能夠清晰地了解整個(gè)數(shù)據(jù)源的配置過程，從而簡(jiǎn)化整個(gè)數(shù)據(jù)的配置過程，形成現(xiàn)階段利用較為廣泛的信息數(shù)據(jù)原則的劃分。

（2）MAC地址劃分

MAC地址劃分方法主要是根據(jù)每個(gè)主機(jī)的MAC位置進(jìn)行劃分的，具有一定的有效性，其對(duì)每一個(gè)分組的相關(guān)內(nèi)容都進(jìn)行整合，形成基于主機(jī)的MAC地址劃分原則。此種劃分的主要優(yōu)勢(shì)是，根據(jù)當(dāng)?shù)赜脩舻奈锢砦恢眠M(jìn)行移動(dòng)，實(shí)現(xiàn)整個(gè)交換機(jī)的主要形式及集合進(jìn)行配置，從而實(shí)現(xiàn)交換機(jī)之間數(shù)據(jù)交換機(jī)配置的有效性。

（3）基于網(wǎng)絡(luò)內(nèi)容的劃分

根據(jù)網(wǎng)絡(luò)層的網(wǎng)絡(luò)協(xié)議及相應(yīng)的網(wǎng)絡(luò)地址的不同，在網(wǎng)絡(luò)劃分的過程中，利用網(wǎng)絡(luò)劃分的方法和方式，結(jié)合相應(yīng)的IP地址信息，從以路由器等硬件為基礎(chǔ)的網(wǎng)絡(luò)協(xié)議的生成到與整個(gè)網(wǎng)絡(luò)協(xié)議層的相關(guān)性無關(guān)，整個(gè)過程劃分明確，使用功能性較強(qiáng)。

（4）基于應(yīng)用的虛擬網(wǎng)絡(luò)劃分

根據(jù)網(wǎng)絡(luò)使用的寬帶類型及相應(yīng)的QoS等進(jìn)行定義，實(shí)現(xiàn)了基于應(yīng)用的虛擬局域網(wǎng)絡(luò)的定義，其應(yīng)用相對(duì)較少。

2.1.3 虛擬局域網(wǎng)的作用分析

VLAN是在劃分邏輯網(wǎng)絡(luò)的基礎(chǔ)上，為體現(xiàn)整個(gè)網(wǎng)絡(luò)技術(shù)的合理性及安全性，根據(jù)實(shí)際的虛擬局域網(wǎng)內(nèi)容對(duì)整個(gè)層次進(jìn)行劃分，從而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的端口不會(huì)受到相應(yīng)物理環(huán)境及位置的影響和限制。因?yàn)閂LAN有著不同于其他網(wǎng)絡(luò)環(huán)境和空間的相關(guān)網(wǎng)絡(luò)屬性，所以對(duì)單播、廣播和多播的相關(guān)VLAN傳輸進(jìn)行規(guī)范，從而形成有效的用戶信息數(shù)據(jù)的集成單元。

另外，為了限制不同領(lǐng)域內(nèi)的工作組在用戶層次劃分上的互訪區(qū)別外，其網(wǎng)絡(luò)技術(shù)基礎(chǔ)及相應(yīng)的工作組間的用戶使用互訪性制約著虛擬局域網(wǎng)的限制，體現(xiàn)著廣播范圍與實(shí)際虛擬工作狀態(tài)的分析。對(duì)于不同工作組之間的數(shù)據(jù)能夠根據(jù)相應(yīng)的用戶信息進(jìn)行互訪，并將整個(gè)虛擬局域網(wǎng)的使用類型及相應(yīng)的使用層次進(jìn)行分析，形成一定動(dòng)態(tài)管理網(wǎng)絡(luò)的虛擬工作狀態(tài)，并能實(shí)現(xiàn)動(dòng)態(tài)的工作類型。對(duì)于VLAN來說，其是根據(jù)相關(guān)數(shù)據(jù)的廣播流量、相應(yīng)的數(shù)據(jù)轉(zhuǎn)化，形成以控制信息流量為主的整個(gè)網(wǎng)絡(luò)管理技術(shù)的合理化應(yīng)用。其網(wǎng)絡(luò)的安全性及主要的使用功能需要結(jié)合虛擬局域網(wǎng)的整體使用功能進(jìn)行合理化分析。

2.2 802.1安全認(rèn)證

局域網(wǎng)的潛在威脅主要是由于局域網(wǎng)絡(luò)環(huán)境中相應(yīng)的網(wǎng)絡(luò)連接端口中具有物理連接端口，但是對(duì)于未經(jīng)過信息驗(yàn)證的網(wǎng)絡(luò)端口是不會(huì)通過局域網(wǎng)端口進(jìn)行連接的，因此會(huì)造成局域網(wǎng)內(nèi)在的潛在威脅，影響整個(gè)局域網(wǎng)數(shù)據(jù)的安全性。從目前的網(wǎng)絡(luò)安全認(rèn)證狀態(tài)分析，IEEE 802.1x可以根據(jù)其使用功能解決此問題，集成整個(gè)智能交換機(jī)的相關(guān)信息數(shù)據(jù)，形成具有穩(wěn)定功能的用戶接入安全信息，并進(jìn)行相應(yīng)的審核。

LAN與相對(duì)應(yīng)的802.1x在交換的過程中是無縫融合的，其主要的架構(gòu)實(shí)現(xiàn)了相應(yīng)的物理特性，且整個(gè)LAN端口的相關(guān)內(nèi)容及使用需要相應(yīng)設(shè)備的認(rèn)證，并能夠通過實(shí)際的認(rèn)證過程，實(shí)現(xiàn)整個(gè)LAN 端口的接入[2]。

802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過程中，LAN端口要么充當(dāng)認(rèn)證者，要么扮演請(qǐng)求者。在作為認(rèn)證者時(shí)，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進(jìn)行認(rèn)證，如若認(rèn)證失敗則不允許接入；在作為請(qǐng)求者時(shí)，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請(qǐng)。

2.3 利用有效的NetFlow應(yīng)用程序?qū)崿F(xiàn)網(wǎng)絡(luò)空間的安全性

局域網(wǎng)大規(guī)模的數(shù)據(jù)接收及利用，能夠根據(jù)服務(wù)的相關(guān)信息進(jìn)行相應(yīng)的集成處理，并在經(jīng)歷相應(yīng)的大規(guī)模的網(wǎng)絡(luò)安全檢驗(yàn)后，對(duì)更多的網(wǎng)絡(luò)結(jié)構(gòu)及內(nèi)容進(jìn)行規(guī)范化的管理，給企業(yè)帶來了一定的損失，嚴(yán)重的情況下，容易引起整個(gè)信息數(shù)據(jù)及相關(guān)網(wǎng)絡(luò)環(huán)境的癱瘓。對(duì)整個(gè)數(shù)據(jù)結(jié)構(gòu)及內(nèi)容的分析，實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)癱瘓的變化性，因此在網(wǎng)絡(luò)環(huán)境的檢測(cè)中，需要根據(jù)相應(yīng)的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)的相關(guān)癱瘓問題進(jìn)行相應(yīng)分析，實(shí)現(xiàn)對(duì)蠕蟲及DoS的攻擊。交換機(jī)需要在相應(yīng)的網(wǎng)絡(luò)環(huán)境中進(jìn)行密集的分布，并分析整個(gè)網(wǎng)絡(luò)服務(wù)的有效性，實(shí)現(xiàn)對(duì)于相關(guān)網(wǎng)絡(luò)黑客及蠕蟲攻擊病毒的威脅，從而形成具有一定攻擊能力的交換機(jī)網(wǎng)絡(luò)系統(tǒng)[3]。

NetFlow系統(tǒng)是在整個(gè)網(wǎng)絡(luò)數(shù)據(jù)信息有效性的基礎(chǔ)上建立起來的，其將信息數(shù)據(jù)系統(tǒng)的相關(guān)功能進(jìn)行集成，分別對(duì)網(wǎng)絡(luò)探測(cè)器、采集器和相應(yīng)的網(wǎng)絡(luò)報(bào)告系統(tǒng)進(jìn)行分析，實(shí)現(xiàn)了整個(gè)數(shù)據(jù)采集系統(tǒng)中相應(yīng)的探測(cè)設(shè)備的數(shù)據(jù)傳遞。采集器的使用及相應(yīng)的功能系統(tǒng)對(duì)整個(gè)數(shù)據(jù)結(jié)構(gòu)及相應(yīng)的收集探測(cè)系統(tǒng)進(jìn)行規(guī)范化分析，形成數(shù)據(jù)采集裝置。

2.4 訪問控制列表在網(wǎng)絡(luò)安全保障中的作用

對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來說，合理控制訪問內(nèi)容及訪問控制，能夠?qū)φ麄€(gè)網(wǎng)絡(luò)的信息資源進(jìn)行規(guī)范化分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的防范及相應(yīng)的保護(hù)，在保證網(wǎng)絡(luò)安全重要性的關(guān)系中，利用相應(yīng)的訪問控制涉及的相關(guān)技術(shù)內(nèi)容，并對(duì)相應(yīng)的技術(shù)特征進(jìn)行分析，形成具有一定理論性質(zhì)的網(wǎng)絡(luò)安全信息技術(shù)的使用。其中訪問控制列表在保障網(wǎng)絡(luò)信息安全的環(huán)節(jié)中屬于最有效的措施，其技術(shù)涉及范圍廣，主要涉及入網(wǎng)訪問控制、網(wǎng)絡(luò)的相關(guān)權(quán)限控制及相應(yīng)的目錄控制等，其是采用相應(yīng)的訪問控制策略，對(duì)防火墻的過濾及實(shí)際的安全防范能力進(jìn)行有層次的發(fā)揮，實(shí)現(xiàn)了訪問控制過濾措施的相關(guān)性，從端口、目標(biāo)性及相應(yīng)的MAC地址進(jìn)行了相應(yīng)的實(shí)現(xiàn)[4]。

3 結(jié)束語

交換機(jī)的使用功能更加明顯，在信息技術(shù)不斷創(chuàng)新的現(xiàn)代社會(huì)，其體現(xiàn)了整個(gè)交換機(jī)使用過程中的優(yōu)越性，從實(shí)際應(yīng)用的角度分析，在不同型號(hào)的交換機(jī)使用過程中，對(duì)整個(gè)交換機(jī)在計(jì)算機(jī)系統(tǒng)中的相應(yīng)功能進(jìn)行規(guī)范化，最后將相應(yīng)的網(wǎng)絡(luò)安全根據(jù)單位的具體運(yùn)營(yíng)情況進(jìn)行分析，形成具有網(wǎng)絡(luò)局域網(wǎng)安全性的探究，實(shí)現(xiàn)對(duì)整個(gè)交換機(jī)在局域網(wǎng)中安全性分析，同時(shí)還應(yīng)結(jié)合相應(yīng)的網(wǎng)絡(luò)設(shè)備硬件及軟件進(jìn)行配合使用。

[1]孟莉. 基于交換機(jī)技術(shù)構(gòu)建局域網(wǎng)的安全策略[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（6）：21-22.

[2]維恩克，培根. 局域網(wǎng)交換機(jī)安全[M]. 孫余強(qiáng)，孫劍，譯. 北京：人民郵電出版社，2011.

[3]巴正喜. 基于交換機(jī)技術(shù)及防病毒系統(tǒng)的局域網(wǎng)安全策略[J]. 福建電腦，2011（6）：90-91.

[4]吳江，陳萬，楊明，等. 淺析黑客對(duì)局域網(wǎng)攻防策略[J]. 電腦知識(shí)與技術(shù)，2011，7（6）：1313-1315.

Research on Strengthening LAN Network Security Strategy Based on Switch Technology

Cao Ya1Guo Lijuan2

1. The 723 Research Institute of China State Shipbuilding Corporation Limited, Jiangsu Yangzhou 225001 2. Yangzhou Haixing Technology & Trade Co., Ltd., Jiangsu Yangzhou 225001

With the development of information technology in China, the security of information resource data and the transmission of the entire data need to enhance the corresponding technology. The traditional information data mainly uses the computer firewall system to perform corresponding information interception, but the information security cannot be ensured. Therefore, for switches, it is necessary to enhance their security by using effective network security technologies. Taking switch technology as the research object, it analyzes its application strategy in LAN network security, and provides better application-level value for improving the network security and effectiveness of LAN.

switch technology; local area network; network security

TP393.08

A

曹亞（1988—），男，江蘇泰州人，本科學(xué)歷，畢業(yè)于沈陽(yáng)航空航天大學(xué)，研究方向?yàn)樾畔⒒ㄔO(shè)。