張曉峰

摘 要隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，我國(guó)的科學(xué)技術(shù)發(fā)展迅猛，社會(huì)網(wǎng)絡(luò)化、信息化程度不斷加深，人們?cè)谏詈凸ぷ髦幸苍絹?lái)越依賴網(wǎng)絡(luò)技術(shù)，同時(shí)對(duì)網(wǎng)絡(luò)安全也提出了更高的要求。全網(wǎng)安全的核心為內(nèi)網(wǎng)，在整體網(wǎng)絡(luò)安全中，內(nèi)網(wǎng)安全始終都是出發(fā)點(diǎn)和基石，其中在內(nèi)網(wǎng)安全中，最關(guān)鍵的則是交換機(jī)，因此可以說(shuō)交換機(jī)在一定程度上決定著內(nèi)網(wǎng)安全體系。本文主要是從劃分VLAN、交換機(jī)端口與主機(jī)IP以及MAC地址三方綁定、端口控制流量、三層交換機(jī)上配置ACL、關(guān)閉不用的端口五個(gè)方面詳細(xì)的分析和研究了交換機(jī)端口安全防護(hù)措施在內(nèi)網(wǎng)中的應(yīng)用。

【關(guān)鍵詞】交換機(jī) 端口綁定 安全防護(hù)措施 內(nèi)網(wǎng) 應(yīng)用

在內(nèi)網(wǎng)連接中，交換機(jī)作為重要的設(shè)備，具有樞紐作用，同時(shí)在內(nèi)網(wǎng)安全體系構(gòu)造中，還具有一定的決定性作用。無(wú)論交換機(jī)的質(zhì)量、性能如何，如果在使用過(guò)程中沒(méi)有妥善維護(hù)和管理的話，那么都會(huì)對(duì)其工作狀態(tài)產(chǎn)生直接的影響。雖然科學(xué)技術(shù)的進(jìn)一步發(fā)展，目前交換機(jī)的安全功能都比較豐富，并且在網(wǎng)絡(luò)構(gòu)建過(guò)程中，如果能夠充分的利用交換機(jī)的安全性能，并在此基礎(chǔ)上加強(qiáng)安全設(shè)置，就能夠建立起強(qiáng)健、安全的網(wǎng)絡(luò)系統(tǒng)，保證用戶信息安全。

1 劃分VLAN

目前在各個(gè)領(lǐng)域和行業(yè)中都已經(jīng)廣泛的應(yīng)用VLAN技術(shù)，使用者能夠把一個(gè)物理LAN按照邏輯劃分成多個(gè)廣播域，其中需要注意的是，劃分VLAN的標(biāo)準(zhǔn)是邏輯，而不是物理，因此各個(gè)工作站能夠分布在不同的物理空間內(nèi)。內(nèi)網(wǎng)劃分VLAN能夠?qū)μ摂M工作組進(jìn)行靈活組建，網(wǎng)絡(luò)安全大大增強(qiáng)。通常情況下，兩個(gè)或若干個(gè)VLAN相互之間是不能實(shí)現(xiàn)直接通信的，如果想實(shí)現(xiàn)通信的話，則還需要設(shè)置三層路由器或交換機(jī)。對(duì)VLAN進(jìn)行劃分，就能夠?qū)邮招畔⒌墓ぷ髡緮?shù)進(jìn)行有效限制，避免網(wǎng)絡(luò)由于廣播風(fēng)暴而產(chǎn)生網(wǎng)絡(luò)堵塞。劃分VLAN的常見(jiàn)方式主要有三種，即根據(jù)網(wǎng)絡(luò)層定義劃分、根據(jù)MAC地址劃分、根據(jù)交換機(jī)端口劃分。圖1為VLAN劃分示意圖。

2 交換機(jī)端口與主機(jī)IP以及MAC地址三方綁定

一般在內(nèi)網(wǎng)中常用的防護(hù)措施就是雙方綁定MAC地址和IP地址，這樣主機(jī)與內(nèi)網(wǎng)連接的任何一個(gè)端口都能夠正常使用網(wǎng)絡(luò)。但隨著網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，可以直接利用工具軟件修改MAC地址和IP地址。一旦IP地址被盜用的權(quán)限比較高，就會(huì)大大增加網(wǎng)絡(luò)安全隱患，甚至對(duì)用戶造成嚴(yán)重的經(jīng)濟(jì)損失，因此雙方綁定的安全性已經(jīng)不能滿足用戶需求了。利用交換機(jī)端口與MAC地址和IP地址進(jìn)行三方綁定，一旦計(jì)算機(jī)連接網(wǎng)絡(luò)之后，交換機(jī)中的安全監(jiān)控系統(tǒng)就會(huì)對(duì)計(jì)算機(jī)中的MAC地址、IP地址以及端口信息進(jìn)行匹配，如果是未授權(quán)的或外來(lái)的計(jì)算機(jī)，就會(huì)直接禁止計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)資源或自動(dòng)關(guān)閉端口。因此在這種防護(hù)措施中，雖然網(wǎng)絡(luò)管理的工作量會(huì)有所增加，但網(wǎng)絡(luò)防護(hù)安全更高。

3 端口控制流量

當(dāng)前人們已經(jīng)廣泛使用P2P工具，但是如果在辦公區(qū)應(yīng)用這種軟件的話，會(huì)大大增加網(wǎng)絡(luò)管理員的工作難度。這主要是由于P2P的軟件種類比較多，全方位的限制是不切實(shí)際的，如果有若干個(gè)人同時(shí)使用該軟件的話，就會(huì)在很大程度上直接影響到其他人的網(wǎng)絡(luò)應(yīng)用效果。通過(guò)控制交換機(jī)上網(wǎng)端口，限制數(shù)據(jù)傳輸速度，避免用戶消耗過(guò)多的寬帶資源，就能夠有效的避免整個(gè)網(wǎng)絡(luò)以及交換機(jī)受到大容量數(shù)據(jù)信息的沖擊。對(duì)上網(wǎng)流量大小產(chǎn)生限制的方法比較多，但在交換機(jī)中由于具備網(wǎng)絡(luò)管理功能，能夠與端口直接連接，進(jìn)而有效控制上網(wǎng)流量，如果端口性質(zhì)較為特殊的話，還能夠根據(jù)實(shí)際情況調(diào)整控制程度。

4 三層交換機(jī)上配置ACL

網(wǎng)絡(luò)資源通過(guò)受到ACL訪問(wèn)輸入、輸出的限制，能夠有效避免網(wǎng)絡(luò)設(shè)備被當(dāng)做攻擊跳板或非法訪問(wèn)。一般ACL主要是在路由器中應(yīng)用，但是在大型企業(yè)中，三層交換機(jī)由于具有路由器功能，因此被得到廣泛應(yīng)用。在三層交換機(jī)上配置的ACL，通常被稱為IP ACL。交換機(jī)能夠按照ACL中的規(guī)則表順序執(zhí)行，并對(duì)所有從端口進(jìn)入的數(shù)據(jù)包進(jìn)行有效處理，進(jìn)而能夠?qū)崿F(xiàn)允許或拒絕某范圍中的IP、某個(gè)IP進(jìn)行通信。

5 關(guān)閉不用的端口

一般在默認(rèn)狀態(tài)下，交換機(jī)的端口都是呈開(kāi)放狀態(tài)的，其中接入的設(shè)備只要配置了正確IP就能夠正常訪問(wèn)網(wǎng)絡(luò)。交換機(jī)接口接入設(shè)備，并成功綁定MAC地址和IP地址后，局域網(wǎng)中及時(shí)接入了未授權(quán)設(shè)備，也不能正常訪問(wèn)網(wǎng)絡(luò)；如果端口沒(méi)有綁定，未授權(quán)設(shè)備則有可能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)，這樣不僅僅會(huì)沖突網(wǎng)絡(luò)IP地址，甚至?xí)诰钟蚓W(wǎng)內(nèi)部代入相應(yīng)的網(wǎng)絡(luò)病毒，造成內(nèi)網(wǎng)出現(xiàn)癱瘓現(xiàn)象。

6 結(jié)語(yǔ)

綜上所述，在內(nèi)網(wǎng)中應(yīng)用交換機(jī)端口安全防護(hù)措施，能夠顯著的提高內(nèi)網(wǎng)的安全性。在網(wǎng)絡(luò)IP地址劃分中，VALM技術(shù)也具有重要的作用，通過(guò)應(yīng)用VALM技術(shù)來(lái)劃分復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，也能夠大大的節(jié)省地址空間，同時(shí)增強(qiáng)網(wǎng)絡(luò)劃分的合理性和靈活性。

參考文獻(xiàn)

[1]周小麗.Zxj10程控交換機(jī)129服務(wù)器的安全防護(hù)措施[J].電腦迷，2016（06）：43.

[2]安學(xué)民，楊尉薇，郝金花.企業(yè)局域網(wǎng)IP地址和物理地址及交換機(jī)端口自動(dòng)綁定的方法[J].山西電力，2015（06）：44-47.

[3]張晉華，沙琳娜，孫洋，唐紅，蘇麗娟.基于交換機(jī)端口安全與QOS技術(shù)的網(wǎng)絡(luò)管理體系[J].電腦知識(shí)與技術(shù)，2015，11（04）：43-47.

[4]梁彪.基于網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)安全防護(hù)方案探討[J].廣西電力，2014，37（06）：59-62.

[5]莫洪林.淺析交換機(jī)端口隔離在校園網(wǎng)防范ARP攻擊中的應(yīng)用[J].信息安全與技術(shù)，2011（06）：49-50+53.

作者單位

中移鐵通有限公司邯鄲分公司 河北省邯鄲市 056009endprint