唐中海

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)科學(xué)技術(shù)的發(fā)展和應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境越來(lái)越糟糕，網(wǎng)絡(luò)病毒、黑客攻擊和軟件漏洞越來(lái)越瘋狂，每年因此造成企業(yè)和個(gè)人大量經(jīng)濟(jì)損失。針對(duì)這種情況，部署安全交換機(jī)就顯得尤為重要。下面就安全交換機(jī)技術(shù)做簡(jiǎn)單的介紹。

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全交換機(jī)；發(fā)展前景

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）02-0035-02

Technology of Security Switch

TANG Zhong-hai

（Wanbo Institute of Science and Technology， Hefei 230031， China）

Abstract： With the development and application of science and technology of computer network， the environments of computer network security are getting worse. There are more and more network virus， hacker attacks and software vulnerabilities in network， which have caused huge economic losses to enterprises and individuals each year. In view of this situation， it is particularly important to install security switches. The following will give a brief introduction on technology of security switch.

Key words： network security； security switch； development prospect

IT技術(shù)的發(fā)展推動(dòng)著網(wǎng)絡(luò)技術(shù)的發(fā)展，針對(duì)網(wǎng)絡(luò)安全的應(yīng)用需求也越來(lái)越迫切。目前，來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)和病毒傳染超過(guò)80%以上，比如辦公自動(dòng)化、ERP管理、多媒體教學(xué)、FTP服務(wù)器、Email服務(wù)器、WWW服務(wù)等各種網(wǎng)絡(luò)應(yīng)用是主要被傳染和攻擊的對(duì)象，要從根本上杜絕內(nèi)部攻擊和非授權(quán)訪問(wèn)，必須加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范技術(shù)與安全管理，而承擔(dān)安全管理與安全防范技術(shù)的核心設(shè)備就是交換機(jī)。因此，交換機(jī)的功能不再局限于數(shù)據(jù)存儲(chǔ)與轉(zhuǎn)發(fā)、服務(wù)質(zhì)量QoS等，更多的是需要在交換機(jī)中集成增加虛擬局域網(wǎng)、入侵檢測(cè)、DHCP監(jiān)聽(tīng)、訪問(wèn)控制列表ACL（Access Control List）等功能，做到整體網(wǎng)絡(luò)安全防護(hù)。

1 安全交換機(jī)功能

作為網(wǎng)絡(luò)數(shù)據(jù)交換的核心設(shè)備，數(shù)據(jù)存儲(chǔ)轉(zhuǎn)發(fā)是交換機(jī)最主要的作用，交換機(jī)在數(shù)據(jù)傳輸異?；蛘哂龅胶诳凸魰r(shí)，容易造成負(fù)載過(guò)重，嚴(yán)重的情況下，甚至宕機(jī)現(xiàn)象，為了防止病毒或黑客攻擊造成的影響，降低交換機(jī)的負(fù)荷，保障網(wǎng)絡(luò)的穩(wěn)定安全，必須在交換機(jī)上增加安全防范措施。交換機(jī)作為普遍使用的網(wǎng)絡(luò)互連設(shè)備，就必須針對(duì)訪問(wèn)網(wǎng)絡(luò)數(shù)據(jù)的用戶進(jìn)行權(quán)限審核。同時(shí)，交換機(jī)還需要配合路由器、防火墻、或者入侵檢測(cè)系統(tǒng)，對(duì)非授權(quán)訪問(wèn)、網(wǎng)絡(luò)攻擊等行為進(jìn)行監(jiān)控和阻止。

1.1 具有802.1x安全認(rèn)證技術(shù)

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，如果網(wǎng)絡(luò)交換機(jī)很容易被非授權(quán)用戶連接，從而進(jìn)入網(wǎng)絡(luò)內(nèi)部，就容易造成非授權(quán)用戶嚴(yán)重侵害合法用戶的權(quán)利，所以驗(yàn)證用戶的合法接入非常重要。IEEE 802.1x 協(xié)議可以集成到二層智能交換機(jī)中，能夠提供對(duì)連接到局域網(wǎng)的用戶進(jìn)行身份驗(yàn)證、授權(quán)的手段，保障授權(quán)用戶接入。

基于端口的訪問(wèn)控制協(xié)議802.1x在局域網(wǎng)中得到廣泛應(yīng)用。例如思科3750交換機(jī)和華為Said900等系列交換機(jī)。在支持802.1x 的本地用戶數(shù)據(jù)庫(kù)、遠(yuǎn)程服務(wù)器認(rèn)證方式的同時(shí)，還支持802.1x 的動(dòng)態(tài)虛擬局域網(wǎng)連接技術(shù)。擁有某用戶賬號(hào)的用戶無(wú)論在內(nèi)部網(wǎng)絡(luò)的何處連接網(wǎng)絡(luò)，在802.1x和虛擬局域網(wǎng)的雙重控制基礎(chǔ)上，都會(huì)有基于端口配置的虛擬局域網(wǎng)的限制，從而保障始終連接此賬號(hào)在指定的虛擬局域網(wǎng)內(nèi)，不僅方便移動(dòng)用戶對(duì)資源的操作，并保障了資源應(yīng)用的安全性。

1.2具有入侵檢測(cè)系統(tǒng)（IDS ）

入侵檢測(cè)技術(shù)是為了保證計(jì)算機(jī)系統(tǒng)安全面而設(shè)置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中未被授權(quán)或行為異常的技術(shù)，是一種檢測(cè)違反安全策略行為的技術(shù)。

入侵檢測(cè)系統(tǒng)被視為防火墻之后的第二道安全門，主要用來(lái)監(jiān)視和分析用戶和系統(tǒng)的活動(dòng)，能夠反映已知的攻擊模式并報(bào)警，同時(shí)監(jiān)控系統(tǒng)的異常模式，對(duì)于行為異常模式，IDS采用報(bào)表的方式進(jìn)行統(tǒng)計(jì)分析，通過(guò)對(duì)入侵行為的過(guò)程和特征的研究，與已知惡意軟件的特征進(jìn)行對(duì)比，在檢測(cè)出安全隱患的同時(shí)，向預(yù)警系統(tǒng)報(bào)警，發(fā)送到交換機(jī)上，并進(jìn)行準(zhǔn)確的斷開(kāi)端口操作。

1.3 具備分布式拒絕服務(wù)（DDoS）攻擊技術(shù)

分布式拒絕服務(wù)（Distributed Denial of Service）攻擊是指借助Client/Server技術(shù)，聯(lián)合多臺(tái)計(jì)算機(jī)作為攻擊平臺(tái)，向目標(biāo)服務(wù)器發(fā)動(dòng)拒絕服務(wù)的攻擊方式。 “可用性”、“完整性”、“保密性”是網(wǎng)絡(luò)信息安全的三要素，拒絕服務(wù)攻擊針對(duì)的攻擊形式就是攻擊網(wǎng)絡(luò)服務(wù)器的“可用性”，讓目標(biāo)服務(wù)器系統(tǒng)不能正常提供用戶訪問(wèn)服務(wù)，從而造成網(wǎng)絡(luò)服務(wù)癱瘓。安全交換機(jī)聯(lián)合入侵檢測(cè)技術(shù)，在不影響其他用戶正常訪問(wèn)服務(wù)器鏈接的情況下，智能檢測(cè)并阻止非法惡意流量，防止網(wǎng)絡(luò)受到分布式拒絕服務(wù)攻擊的威脅，從而保障網(wǎng)絡(luò)服務(wù)器的正常使用。

1.4具有劃分虛擬局域網(wǎng)技術(shù)（VLAN）

虛擬局域網(wǎng)（Virtual Local Area Network），是在交換式局域網(wǎng)基礎(chǔ)上，通過(guò)軟件的方式，構(gòu)建可跨越不同物理網(wǎng)段的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許不同地理位置的網(wǎng)絡(luò)用戶加入到同一個(gè)邏輯子網(wǎng)中。

VLAN技術(shù)提供了一種安全管理手段，實(shí)現(xiàn)了控制終端之間的互通。VLAN是安全交換機(jī)的核心功能，可以通過(guò)綁定IP/MAC地址功能限制用戶的非授權(quán)網(wǎng)絡(luò)連接，而且可以跨越一個(gè)或多個(gè)與物理位置無(wú)關(guān)的交換機(jī)。虛擬局域網(wǎng)（VLAN）可以通過(guò)如交換機(jī)端口、終端設(shè)備MAC地址、IP地址等多種方式劃分，技術(shù)成熟，容易實(shí)現(xiàn)。

1.5服務(wù)質(zhì)量（QoS）

QoS可以對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)幀進(jìn)行分類、標(biāo)記、控制和調(diào)度，可以最大限度地減少Dos攻擊，通過(guò)分類和控制限制流量?？梢灶A(yù)防因?yàn)閺V播、組播以及單播的數(shù)據(jù)流量過(guò)大，從而造成的交換機(jī)帶寬負(fù)載異常，避免交換機(jī)的帶寬被無(wú)限制濫用從而保障網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

1.6具有訪問(wèn)控制列表技術(shù)（ACL）

在網(wǎng)絡(luò)中，防火墻將保護(hù)區(qū)和非保護(hù)區(qū)隔離，阻止非授權(quán)用戶對(duì)受保護(hù)網(wǎng)絡(luò)的資源進(jìn)行訪問(wèn)?；谠L問(wèn)控制列表（ACL）技術(shù)是提供防火墻技術(shù)的一個(gè)典型手段。

訪問(wèn)控制列表（ACL）主要用于緩解網(wǎng)絡(luò)攻擊和控制網(wǎng)絡(luò)流量，網(wǎng)絡(luò)管理員可以使用ACL在交換機(jī)上基于各種不同的參數(shù)定義和控制不同種類的流量，制定網(wǎng)絡(luò)訪問(wèn)策略，針對(duì)用戶或數(shù)據(jù)流進(jìn)行限制操作，將交換機(jī)端口附加通信規(guī)則，根據(jù)過(guò)濾規(guī)則來(lái)過(guò)濾數(shù)據(jù)包，決定轉(zhuǎn)發(fā)或丟棄。這樣不僅能夠保障交換機(jī)的有效使用，還能進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

1.7 具有DHCP監(jiān)聽(tīng)能力

DHCP監(jiān)聽(tīng)能夠過(guò)濾從網(wǎng)絡(luò)主機(jī)或其他網(wǎng)絡(luò)互連設(shè)備的非DHCP報(bào)文，交換機(jī)通過(guò)這種特性控制用戶端口只發(fā)送DHCP請(qǐng)求，并將來(lái)自用戶終端的其他DHCP報(bào)文丟棄。DHCP監(jiān)聽(tīng)信任端口是連接到已知DHCP服務(wù)器或者分布層交換機(jī)之間的上行鏈路端口。交換機(jī)在這種方式中，只允許受信任的DHCP服務(wù)器通過(guò)DHCP申請(qǐng)來(lái)分配IP地址，這就避免用戶通過(guò)建立私人DHCP服務(wù)器來(lái)分配非授權(quán)的IP地址。

2 配置安全交換機(jī)

安全交換機(jī)工作在數(shù)據(jù)鏈路層，一般處于網(wǎng)絡(luò)拓?fù)涞膮R聚層，功能強(qiáng)大的也作為核心層設(shè)備使用，比如思科交換機(jī)Catalyst 6500系列，就是將安全功能放在核心來(lái)實(shí)現(xiàn)的。在核心層交換機(jī)上可以集中控制管理并配置安全策略，方便網(wǎng)絡(luò)管理員的管理與控制。

根據(jù)安全交換機(jī)在網(wǎng)絡(luò)拓?fù)渲械奈恢貌煌?，需要設(shè)計(jì)并嵌入不一樣的安全技術(shù)和策略，從核心層到匯聚層再到訪問(wèn)層，要求每層交換機(jī)配置安全控制機(jī)制和防范策略，保障非授權(quán)用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)，同時(shí)控制授權(quán)用戶，做到規(guī)范使用網(wǎng)絡(luò)資源，避免授權(quán)用戶攻擊網(wǎng)絡(luò)，占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，不能正常使用的現(xiàn)象。

3 安全交換機(jī)的發(fā)展

在網(wǎng)絡(luò)安全環(huán)境越來(lái)越不穩(wěn)定的今天，建立一個(gè)安全穩(wěn)定、可靠運(yùn)行的網(wǎng)絡(luò)尤為重要，通過(guò)安全交換機(jī)部署，可以提高網(wǎng)絡(luò)安全性、可靠性和可用性具有重要的作用。所以說(shuō)，安全交換機(jī)已經(jīng)成為網(wǎng)絡(luò)互連必不可少的網(wǎng)絡(luò)互連設(shè)備之一。

綜上所述，安全交換機(jī)將會(huì)大范圍的應(yīng)用在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，它們將保障網(wǎng)絡(luò)安全可靠地運(yùn)行，通過(guò)對(duì)網(wǎng)絡(luò)用戶行為的控制和限制，保證網(wǎng)絡(luò)資源的安全有效地得到共享。

參考文獻(xiàn)：

[1] 邵波，王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].電子工業(yè)出版社，2005，

[2] 羅森林，高平.信息系統(tǒng)安全與對(duì)抗技術(shù)實(shí)驗(yàn)教程[M].北京理工大學(xué)出版社，2007.

[3] 李偉.網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程[M].清華大學(xué)出版社，2010.

[4] 潘瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].科學(xué)出版社，2011.

[5] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].電子工業(yè)出版社，2013.