摘要：大眾生活與工作逐漸與信息網(wǎng)絡(luò)建立了密切的關(guān)聯(lián)，現(xiàn)如今，信息網(wǎng)絡(luò)充斥在人們的生活視野中，其安全性受到廣大關(guān)注，比如以網(wǎng)絡(luò)交換機為例，安全性能日益重要。下文將圍繞網(wǎng)絡(luò)交換機展開論述，探討其遭遇的安全威脅，然后分析幾項安全加固措施，使得網(wǎng)絡(luò)交換機能夠運行順利，提高信息網(wǎng)絡(luò)的安全性。

關(guān)鍵詞： 網(wǎng)絡(luò)交換機;安全加固;策略

引言：受網(wǎng)絡(luò)交換機的影響，信息網(wǎng)絡(luò)能夠重組，因此針對信息網(wǎng)絡(luò)來說，網(wǎng)絡(luò)交換機是非常重要的，存在于接入層到核心層。[1]，如果網(wǎng)絡(luò)交換機安全性能受到威脅，存在安全風(fēng)險就會產(chǎn)生系統(tǒng)漏洞，從而為網(wǎng)絡(luò)攻擊者創(chuàng)造了侵犯條件，進而開始攻擊網(wǎng)絡(luò)，致使信息網(wǎng)絡(luò)難以穩(wěn)定運行，這是本文主要研究的方向。以網(wǎng)絡(luò)交換機為例，將其安全性能為切入點，可以為網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性創(chuàng)造有利的條件，從而避免被黑客和病毒入侵。

一、網(wǎng)絡(luò)交換機簡介

站在概念定義的角度，網(wǎng)絡(luò)交換機是一種能夠令網(wǎng)絡(luò)覆蓋范圍得以擴大的設(shè)備，可以使子網(wǎng)絡(luò)獲得更多的連接端口，這樣可以輕松連接計算機。[2]截至目前，企業(yè)開始廣泛應(yīng)用信息化技術(shù)，交換機的優(yōu)點非常多，不僅操作簡單，而且活動靈活，且性價比高，最為主要的是易于實現(xiàn)，是局域網(wǎng)組網(wǎng)技術(shù)關(guān)鍵部分，不論是接入層，還是匯聚層，亦或是核心層，其作用是非常重要的。網(wǎng)絡(luò)交換機不僅具有數(shù)據(jù)轉(zhuǎn)發(fā)功能，即使受到黑客攻擊，也不會降低數(shù)據(jù)轉(zhuǎn)發(fā)速率，而且不會干擾，這一點顯得彌足珍貴。

二、網(wǎng)絡(luò)交換機面臨的安全威脅

通過一些現(xiàn)有的網(wǎng)絡(luò)安全事件中，結(jié)合交換機工作原理，我們可以發(fā)現(xiàn)最大的安全威脅來自于ARP、DOS攻擊以及MAC地址泛洪攻擊，對于網(wǎng)絡(luò)攻擊者而言， MAC地址學(xué)習(xí)機制為他們提供了可乘之機，這相當于交換機的工作原理，使得攻擊者能夠偽造很多MAC地址數(shù)據(jù)，這就使得CAM被不法數(shù)據(jù)信息填滿， MAC正常用戶難以在CAM表中錄入地址條目，廣播成了網(wǎng)絡(luò)交換機傳輸數(shù)據(jù)主要方式，還能獲得他人的報文信息。以DOS攻擊為例，這是一種分布式攻擊，也是拒絕服務(wù)攻擊，在攻擊的過程中，會借助互聯(lián)網(wǎng)帶寬工具，大肆攻擊主機，令局域網(wǎng)系統(tǒng)一切現(xiàn)存的網(wǎng)絡(luò)資源被消耗，這樣合法用戶很難請求通過。以ARP攻擊為例，主要對以太網(wǎng)地址協(xié)議解析進行干擾，在網(wǎng)絡(luò)的作用下，攻擊者能夠更改數(shù)據(jù)封裝包，致使用戶計算機系統(tǒng)難以實施連接工作，主要攻擊行為是ARP欺騙、ARP泛洪攻擊。

三、網(wǎng)絡(luò)交換機安全加固措施的實現(xiàn)

（一）加強硬件安全及版本升級

如果想深度應(yīng)用信息化，應(yīng)以信息網(wǎng)絡(luò)為主，時至今日，信息化深化應(yīng)用相比以往逐漸加深，信息安全問題重要性到達一個新高度，和信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全問題也被提上征程。[3]這就意味著我們應(yīng)防范網(wǎng)絡(luò)交換機的安全風(fēng)險，最大限度減小由于漏洞問題而造成核心數(shù)據(jù)的失控，及時更新交換機IOS版本，如果版本過低，會存在不穩(wěn)定性。

比如在設(shè)備FLASH容量允許時，可以在原版本基礎(chǔ)上進行升級，尤其是高端核心交換機，這是不可缺少的步驟，在特殊情況下，將設(shè)備的FLASH進行升級，以便下載IOS版本。與此同時，也是為了提高信息網(wǎng)絡(luò)的穩(wěn)定性。針對于比較重要的部件，配置是雙機or常用板卡時，為了不影響網(wǎng)絡(luò)交換機的正常運行，減少其發(fā)生故障的幾率，使得網(wǎng)絡(luò)系統(tǒng)連接端口可以繼續(xù)運行，這樣便提高了信息網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

（二）訪問控制設(shè)置并啟用日志功能

在維護網(wǎng)絡(luò)交換機運行的過程中，通常采取本地維護的方式，如果需要開啟遠程運維，需要考慮交換機訪問控制是否足夠安全，是否不會讓不法分子鉆空子，這就應(yīng)對訪問控制和登錄方式采取高端的加固措施。[4]無論是Vty口登陸，還是Console口登陸，設(shè)置密碼時，要具有足夠的安全性，可以通過MD5方法進行加密。

比如除了特殊情況，應(yīng)減少遠程管理的使用次數(shù)，針對于遠程管理而言，拒絕使用telnet訪問，可以選擇訪問控制的方式、SSH遠程管理方式，也可以選擇訪問控制方式，再或者由配置不同權(quán)限的用戶限制訪問權(quán)限，應(yīng)配置合理的時間限制，在此基礎(chǔ)上還要配置相應(yīng)的登陸次數(shù)等，達到一定配置參數(shù)后，將該用戶登錄進行鎖定。除此之外還可以使用日志功能。如果交換機空間不夠充分，網(wǎng)絡(luò)交換機有必要配備日志服務(wù)器，如此一來，憑借搜尋日志文件就能或之登錄過該設(shè)備的用戶名，還可以查詢登錄時間，并且可以查詢登錄該設(shè)備后用戶的一系列命令和操作等，但可以獲得充足的依據(jù)去發(fā)現(xiàn)潛在的攻擊者。如此一來，如果出現(xiàn)網(wǎng)絡(luò)運行故障，操作人員可以第一時間調(diào)取設(shè)備故障數(shù)據(jù)，依據(jù)這些信息進行分析和預(yù)控。

（三）端口、服務(wù)最小化開放原則

為了避免出現(xiàn)漏洞，使得攻擊者有可乘之機，如果端口不需要開發(fā)，則不對其進行開發(fā)，對于一些不必要的服務(wù)，采取不打開的原則，只保留需要開放的端口。

比如在開展日常工作的過程中，為了避免MAC地址被泛洪攻擊，每個接入端口只接入一臺客戶機，如果存在多用戶接入的情況，需要合理設(shè)置接入數(shù)量，對于沒有必要應(yīng)用的端口，可以進行關(guān)閉處理。

（四）ACL配置

為了提高交換機運行的穩(wěn)定性，避免入侵者利用不安全的服務(wù)，在三層網(wǎng)絡(luò)交換機配置上，應(yīng)屏蔽蠕蟲端口，這就需要選擇配置相應(yīng)的ACL。與此同時，為了進一步提高安全性，應(yīng)結(jié)合每個網(wǎng)段業(yè)務(wù)訪問狀況，科學(xué)的配置ACL，這樣能夠減少安全風(fēng)險。

結(jié)語：現(xiàn)如今，信息技術(shù)被廣泛應(yīng)用，信息安全問題逐漸被大眾所重視，對于信息技術(shù)而言，網(wǎng)絡(luò)安全是其基礎(chǔ)，其重要性與日俱增，要想令網(wǎng)絡(luò)交換機的信息安全得到保障，技術(shù)人員對此要引起足夠的重視，避免潛在的網(wǎng)絡(luò)風(fēng)險“興風(fēng)作浪”，做好交換機安全配置的工作，提高其安全性能，還需要繼續(xù)研究，深入挖掘潛在的風(fēng)險，然后選擇科學(xué)的措施，提高信息網(wǎng)絡(luò)的安全性。

參考文獻

[1]范靜，陳睿.基于網(wǎng)絡(luò)交換機安全措施的研究和實現(xiàn)[J].華東電力，2014（5）：1048-1049.

[2]侯麗娟，網(wǎng)絡(luò)交換機安全加固措施的實現(xiàn)[J].科技傳播，2017（24）：117-118.

[3]高彥，陳曉燕.基于局城網(wǎng)的安全加固策略研究[J].電子測試，2018（10）：123.

作者簡介：

鄭桐賀（1983-），男，漢族，遼寧鐵嶺，學(xué)士，講師，主要研究方向：網(wǎng)絡(luò)設(shè)備管理，云計算等。