亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        涉密網(wǎng)絡(luò)交換機(jī)安全防護(hù)技術(shù)研究

        2021-11-26 20:02:25王陸然
        魅力中國 2021年43期
        關(guān)鍵詞:用戶

        王陸然

        (航空工業(yè)空氣動力研究院,遼寧 沈陽 110000)

        引言

        隨著我國社會經(jīng)濟(jì)的發(fā)展,計算機(jī)網(wǎng)絡(luò)已經(jīng)在我國人民生活中進(jìn)行普及,并且人們對于網(wǎng)路中的安全也越來越重視。特別是政府以及軍區(qū)等涉及到涉密文件的單位,對于這些單位來說,網(wǎng)絡(luò)安全已經(jīng)成為重要問題。交換機(jī)是網(wǎng)絡(luò)中的主要核心設(shè)備,并且交換機(jī)自身的安全性與網(wǎng)絡(luò)整體的安全性有著直接的關(guān)系。所以,為了有效避免因?yàn)榫W(wǎng)絡(luò)關(guān)系所帶來的影響,并有效的幫助涉密網(wǎng)絡(luò)穩(wěn)定使用,需要通過一定的方式來對交換機(jī)的安全技術(shù)以及策略進(jìn)行有效研究,這樣可以有效的增加涉密網(wǎng)絡(luò)的安全性以及穩(wěn)定性。

        一、交換機(jī)管理防范技術(shù)

        (一)采用口令加密策略

        在交換機(jī)進(jìn)行使用中往往是通過密碼以及驗(yàn)證來進(jìn)行登錄,這樣可以確保使用的權(quán)限以及合法性,并且密碼在交換機(jī)中擁有兩種保存方式,主要分為明文加密以及密文加密方式[1]。明文密碼在進(jìn)行輸入中可以通過查看的配置文件來明確的看出,而不同的是密文密碼是不能通過查看配置文件來進(jìn)行識別的。為了更加有效的保證涉密網(wǎng)絡(luò)的安全性,可以通過對enablesecret 命令的設(shè)置來進(jìn)行特權(quán)模式的密碼設(shè)置。并且在進(jìn)行密碼設(shè)置時需要采用高強(qiáng)度的密碼來進(jìn)行設(shè)置,可以采用字母和數(shù)字混合密碼,或者是設(shè)置大小寫以及符號的方式來進(jìn)行密碼的設(shè)置。為了更安全的進(jìn)行密碼的使用,也可以通過Servicepassword-encryption命令來對全部的密碼進(jìn)行保密,這樣可以有效的提高密碼的安全性。

        (二)采用安全的遠(yuǎn)程管理方式

        在網(wǎng)絡(luò)中的多數(shù)管理人員都會采用Telnet 命令來對交換機(jī)進(jìn)行遠(yuǎn)程管理。但是,在進(jìn)行Telnet 命令的使用中存在一個非常危險的問題,主要是以明文的方式來進(jìn)行用戶名以及口令的輸入[2]。這樣很容易被攻擊者盜取口令,從而導(dǎo)致網(wǎng)絡(luò)受到嚴(yán)重的攻擊。所以,為了更加好全的使用對其進(jìn)行了SSH 協(xié)議,并在進(jìn)行通訊時對用戶名以及口令設(shè)置了保密情況,這樣可以更加有效的提高了對非法用戶竊取口令的控制,從而為網(wǎng)絡(luò)管理人員提供了更加有效的遠(yuǎn)程管理方式。并且采用遠(yuǎn)程管理方式可以有效的發(fā)現(xiàn)危險,并且對于出現(xiàn)的問題可以及時有效的進(jìn)行處理,這樣可以更好的避免出現(xiàn)不必要的損失,同時還可以有效的確保管理人員在進(jìn)行控制中不會出現(xiàn)突發(fā)情況,并且通過明文的方式可以有效的對口令進(jìn)行保護(hù),這樣可以將損失降到最小。

        二、VLAN 劃分安全防范技術(shù)

        (一)基于端口的VLAN 劃分

        虛擬局域網(wǎng)被稱為VLAN,VLAN主要是一種通過將區(qū)域網(wǎng)內(nèi)的設(shè)備邏輯進(jìn)行一個網(wǎng)段的劃分,從而更加有效的實(shí)現(xiàn)了虛擬工作組的新興技術(shù)。因?yàn)閂LAN 具有一定的高強(qiáng)度的靈活性并且不會受到物理位置的控制,所以用戶和設(shè)備的主要通信是在同一種網(wǎng)絡(luò)中進(jìn)行的。并且在端口中進(jìn)行VLAN 的劃分是作為常見和最有效的VLAN 劃分方法。同時它是由交換機(jī)中的物理端口進(jìn)行區(qū)分為若干個組,并且每組都構(gòu)成了一個虛擬網(wǎng)絡(luò)。

        VLAN 在進(jìn)行劃分中可以對廣播的范圍進(jìn)行限制。在相同網(wǎng)段中,VLAN 的內(nèi)部廣播與單播流量在被惡意攻擊時并不會向其他VLAN 進(jìn)行轉(zhuǎn)發(fā),這主要是因?yàn)閺V播風(fēng)暴被VLAN 隔開了,并且不相同的VLAN 之間無法進(jìn)行相互的聯(lián)系,如果想要進(jìn)行聯(lián)系需要借助路由器來進(jìn)行聯(lián)系。所以,在涉密網(wǎng)絡(luò)中可以將交換機(jī)不同端口根據(jù)應(yīng)用類型來進(jìn)行訪問特權(quán)的限制,分進(jìn)行VLAN 的分類,這樣可以有效的實(shí)現(xiàn)涉密網(wǎng)絡(luò)的安全保障[3]。

        (二)VTP 防護(hù)技術(shù)

        VLAN 中繼協(xié)議簡稱為VTP,VTP 是一種消息協(xié)議,主要是在第2 層的中繼幀來進(jìn)行網(wǎng)絡(luò)中VLAN 管理,并對VLAN 的添加以及刪除和重命名進(jìn)行有效管理,同時還需要維持整個網(wǎng)絡(luò)VLAN 設(shè)置的相同性。往往一個VTP 域是有多臺交換機(jī)進(jìn)行組成,并且在同一個VTP 域中所有的交換機(jī)可以共享VLAN 信息。交換機(jī)在VTP 域中有三種進(jìn)行工作的方式,被稱為服務(wù)器模式和客戶模式以及透明模式。默認(rèn)服務(wù)模式只有一個被當(dāng)作VTP 域名被指定或者是在獲知后,所具有的VLAN 信息才能被傳遞到整個VTP域當(dāng)中。并且在傳遞中往往是間隔5 分鐘或者是因?yàn)閂LAN 配置出現(xiàn)一定變化時,就會產(chǎn)生VTP 通告,并且在VTP 中包含了VLAN 配置版本,在高版本當(dāng)中所出現(xiàn)的通告VLAN 信息會比原本具備的信息進(jìn)行更新。攻擊人在向VTP 域中的服務(wù)器模式交換機(jī)發(fā)送配置版本較高的VTP 通告,從而致使所有的交換機(jī)的VLAN 版本所具有的信息都會與攻擊人的電腦中存在的VLAN 版本信息進(jìn)行同步。這樣攻擊者在進(jìn)行攻擊時就會把所有鄙視默認(rèn)VLAN 從VLAN 數(shù)據(jù)中進(jìn)行轉(zhuǎn)移,從而使其他用戶在相同的VLAN 當(dāng)中。為了更加有效的保障VTP 域的安全性,VTP 域在使用之前必須制定密碼[4]。

        (三)交換機(jī)中繼鏈路防護(hù)技術(shù)

        如果在一個VLAN 中連接多個交換機(jī),則必須需要使用繼鏈路(Trunk Link)的方式來進(jìn)行連接。如果中繼鏈路中出現(xiàn)一個協(xié)議叫作動態(tài)鏈路協(xié)議(Dynamic Trunk Protocol)。但是如果在使用中出現(xiàn)不當(dāng)使用時,會成為攻擊者的目標(biāo)。攻擊者可以采用模擬交換機(jī)軟件來對DTP 協(xié)議進(jìn)行啟動,同時還會與其他交換機(jī)協(xié)商中建立中繼鏈路,從而在其他交換機(jī)的所有VLAN,并與其中任意一個進(jìn)行聯(lián)系。為了更加有效的保證涉密網(wǎng)絡(luò)中交換機(jī)VLAN 的安全保證,需要將交換機(jī)中所有的中繼段口設(shè)置成只能同過專門的VLAN 進(jìn)行使用,比對沒有使用的端口進(jìn)行關(guān)閉。同時,所有的用戶端口都需要設(shè)置成非鏈路模式并對DTP 協(xié)議進(jìn)行關(guān)閉,這樣可以有效的避免攻擊者利用中繼鏈路進(jìn)行非法的使用。

        (四)NS 的安全功能

        NS 中最主要的安全功能就是訪問控制。我們可以從兩個方面來理解訪問控制的內(nèi)涵。一方面是指對用戶端的資源進(jìn)行保護(hù)。目前,這種保護(hù)主要是由防火墻來實(shí)現(xiàn)的。這種防火墻保護(hù)通常會位于比較靠近資源的部分,和服務(wù)實(shí)體所提供的訪問控制相比,不是特別精細(xì)。另一方面就是通過限制用戶使用的方式來保護(hù)通信資源。這種措施會位于比較靠近用戶的部位。就目前計算機(jī)網(wǎng)絡(luò)使用的實(shí)際情況來看,還無法實(shí)現(xiàn)這一。功能,其中最主要的原因就是計算機(jī)網(wǎng)絡(luò)具有無連接的特點(diǎn),所以無法對用戶濫用信息進(jìn)行有效控制。NS 中的網(wǎng)絡(luò)公共信息服務(wù)是由一類比較特殊的ES 所提供的,和用戶最終的ES 的安全需求具有很大程度的一致性。因?yàn)镋S 提供的信息具有公開性的特點(diǎn),所以只需要保證數(shù)據(jù)能夠被完整傳輸即可,不需要考慮數(shù)據(jù)保密的要求。除了提供安全服務(wù)以外,網(wǎng)絡(luò)實(shí)體也和ES具有同樣的系統(tǒng)完整性需求,確保該實(shí)體的功能和所依賴的數(shù)據(jù)不被非法篡改。網(wǎng)絡(luò)實(shí)體間的對等實(shí)體認(rèn)證也是非常重要的,這些實(shí)體間交換的控制信息的安全對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的正常運(yùn)行至關(guān)重要。與端系統(tǒng)相似,網(wǎng)絡(luò)訪問控制決策、網(wǎng)絡(luò)活動的審計、認(rèn)證、加解密、數(shù)據(jù)完整性所需的密鑰由網(wǎng)絡(luò)中的管理實(shí)體完成。

        三、基于交換機(jī)端口的MAC 地址綁定

        在對交換機(jī)端口的MAC 地址綁定技術(shù)與保障涉密網(wǎng)絡(luò)內(nèi)部安全的主要保障條件,MAC 的主要原理是將交換機(jī)的端口與允許通過的端口訪問網(wǎng)絡(luò)與MAC 地址相互進(jìn)行綁定,這樣才能對端口的網(wǎng)絡(luò)流量進(jìn)行有效控制與管理。并且在進(jìn)行網(wǎng)路訪問中需要將MAC 地址與交換機(jī)端口綁定的MAC 地址不同,出現(xiàn)這種情況之后交換機(jī)將會強(qiáng)制關(guān)閉此端口,只有網(wǎng)絡(luò)管理人員對該端口進(jìn)行重新激活之后才能正常使用。這樣可以更加有效的阻止不良用戶試圖通過其他用戶活動的網(wǎng)絡(luò)端口來進(jìn)行自己機(jī)器的連接,從而獲得涉密網(wǎng)絡(luò)的使用權(quán)限。

        四、設(shè)置訪問控制列表

        訪問控制列表簡稱為ACL,ACL主要是在交換機(jī)接口上的指令列表。并且這些列表可以幫助交換機(jī)接受哪一種類的分組,或者是不能進(jìn)行哪一種類的分組。接受和拒絕都是屬于常規(guī)的規(guī)范,例如原地址、目標(biāo)地址以及TCP/UDP 端口號等等。訪問控制列表主要可以分為標(biāo)準(zhǔn)訪問控制以及擴(kuò)展訪問控制[5]。標(biāo)準(zhǔn)訪問控制主要是根據(jù)分組中的原地址匹配以及拒絕和允許使用。擴(kuò)展訪問控制主要是根據(jù)協(xié)議類型和原地址以及目的地址以及源端口、目的端口,所建立連接等拒絕操作或者是允許操作。所以,網(wǎng)絡(luò)管理人員可以通過對網(wǎng)絡(luò)進(jìn)行訪問控制列表進(jìn)行控制規(guī)范,對特殊使用人員以及特殊數(shù)據(jù)來進(jìn)行檢測,這樣可以更加有效的保證涉密網(wǎng)絡(luò)的安全使用。

        五、健全涉密網(wǎng)絡(luò)的安全保密制度

        按傳統(tǒng)話來說,沒有規(guī)矩不成方圓。不管是做什么事都要在一定法律條件下進(jìn)行規(guī)范,所以有效保證健全的涉密網(wǎng)絡(luò)保密措施是非常重要的。只要建立有效的安全保密系統(tǒng),這樣才能更好的保證涉密網(wǎng)絡(luò)交換機(jī)的安全,同時對一些非法侵入保密信息的人員進(jìn)行嚴(yán)厲的懲罰,從而對不法侵入人員給予一定警告。建立涉密網(wǎng)絡(luò)的安全保密制度,需要從一定的法律角度入手,這樣可以有效的對保密工作進(jìn)行有效的管理和分配,并且可以明確不同部門的工作內(nèi)容,可以更加有效的保證涉密網(wǎng)絡(luò)交換機(jī)的安全防護(hù)。同時還需要對涉密網(wǎng)絡(luò)安全保密制度進(jìn)行不斷的完善,如在完善中發(fā)現(xiàn)一定的問題,需要及時的進(jìn)行挽救,這樣可以將損失進(jìn)行減少。同時在進(jìn)行涉密網(wǎng)絡(luò)交換機(jī)安全防護(hù)中還需要提高工作人員對新知識的知識儲備,這樣才能更好的保證工作人員對涉密網(wǎng)絡(luò)交換機(jī)進(jìn)行有效的管理,并且在管理中對于工作不專業(yè)的人員需要進(jìn)行一定的懲罰,這樣才能更加高效的保證涉密網(wǎng)絡(luò)交換機(jī)的安全。

        六、結(jié)語

        總而言之,涉密網(wǎng)絡(luò)的安全是短時間不可能有效完成的研究課堂,同時還是一項(xiàng)較為困難的內(nèi)容,交換機(jī)作為涉密網(wǎng)絡(luò)的主要核心部分,在涉密網(wǎng)絡(luò)中存在較為重要的地位,相同的來存在較多的安全隱患。如果沒有有效對交換機(jī)的安全進(jìn)行防范,交換機(jī)可以會成為攻擊者主要攻擊涉密網(wǎng)絡(luò)的工具。所以,需要對交換機(jī)進(jìn)行一定的安全控制,從而更加有效的保障整個的涉密網(wǎng)絡(luò)安全?,F(xiàn)如今,涉密網(wǎng)絡(luò)的安全已經(jīng)成為信息時代人人關(guān)注的問題,為了更加有效的保證涉密網(wǎng)絡(luò)的安全,主要可以從多方面進(jìn)行入手,本文主要為其他研究人員提供一定的研究依據(jù),從而更好的幫助其進(jìn)行發(fā)展。

        猜你喜歡
        用戶
        雅閣國內(nèi)用戶交付突破300萬輛
        車主之友(2022年4期)2022-08-27 00:58:26
        您撥打的用戶已戀愛,請稍后再哭
        關(guān)注用戶
        商用汽車(2016年11期)2016-12-19 01:20:16
        關(guān)注用戶
        商用汽車(2016年5期)2016-11-28 09:55:15
        兩新黨建新媒體用戶與全網(wǎng)新媒體用戶之間有何差別
        關(guān)注用戶
        商用汽車(2016年6期)2016-06-29 09:18:54
        關(guān)注用戶
        商用汽車(2016年4期)2016-05-09 01:23:12
        挖掘用戶需求尖端科技應(yīng)用
        Camera360:拍出5億用戶
        100萬用戶
        色婷婷日日躁夜夜躁| 桃红色精品国产亚洲av| 免费国产成人肉肉视频大全| 疯狂做受xxxx高潮欧美日本| 中文无码日韩欧免费视频| 天堂影院久久精品国产午夜18禁| 亚洲av高清一区二区三| 老师粉嫩小泬喷水视频90| 国产欧美va欧美va香蕉在线观| 亚洲av色在线观看网站| 亚洲中文字幕在线综合| 午夜福利试看120秒体验区| 欧美日韩亚洲色图| 国产精品亚洲一区二区三区妖精| 亚洲美女av一区二区在线| 黑人巨大跨种族video| 乱子伦av无码中文字幕| 亚洲av日韩av天堂久久不卡| 天堂8在线新版官网| 亚洲av永久无码天堂网手机版| 男人阁久久| 一区二区三区乱码专区| 人妻少妇久久久久久97人妻| 日韩精品无码久久久久久| 厕所极品偷拍一区二区三区视频| 国产熟女一区二区三区不卡| 亚洲人午夜射精精品日韩| 波霸影院一区二区| 手机在线播放成人av| 偷拍激情视频一区二区三区| 欧美在线视频免费观看| 一本久久a久久精品综合| 亚洲av熟女少妇久久| 又污又爽又黄的网站| 亚洲伦理一区二区三区| 日本九州不卡久久精品一区 | 久久久久久久98亚洲精品| 北岛玲亚洲一区二区三区| 一边摸一边抽搐一进一出口述| 藏春阁福利视频| 日本女优在线观看一区二区三区|