周曉彬+陳武

摘要：信息化時代背景下，網(wǎng)絡(luò)信息技術(shù)在各個領(lǐng)域的普及應(yīng)用更加廣泛，人類生活、生產(chǎn)都離不開網(wǎng)絡(luò)，然而在復(fù)雜多變的環(huán)境下，網(wǎng)絡(luò)在為人類帶來便利的同時，其網(wǎng)絡(luò)安全也備受考驗。如何能夠更加有效的預(yù)防網(wǎng)絡(luò)交流中的黑客攻擊、網(wǎng)絡(luò)安全所衍生出來信任危機，成為當前網(wǎng)絡(luò)管理的首要問題。作為網(wǎng)絡(luò)重要組成部分，交換機安全直接影響網(wǎng)絡(luò)安全，解決網(wǎng)絡(luò)安全問題，要從交換機方面開始探討，該文就以此為內(nèi)容，對基于交換機的網(wǎng)絡(luò)安全體系構(gòu)建進行幾點分析。

關(guān)鍵詞：交換機技術(shù)；局域網(wǎng)；安全系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）01-0055-02

在網(wǎng)絡(luò)技術(shù)高度普及的今天，網(wǎng)絡(luò)環(huán)境也日漸復(fù)雜，日常網(wǎng)絡(luò)交流、信息傳輸共享過程中，被黑客攻擊和干擾的情況增多。在網(wǎng)絡(luò)技術(shù)日漸發(fā)達的過程中，黑客技術(shù)也在不斷發(fā)展，防火墻技術(shù)一般只是針對內(nèi)部網(wǎng)絡(luò)進行保護，而目前一些黑客會使用Cain，Dsniff等技術(shù)進行局域網(wǎng)攻擊，并對網(wǎng)絡(luò)信息進行惡意傳播，這大大威脅到了廣大人民群眾的利益。此時，交換機為核心的網(wǎng)絡(luò)安全體系構(gòu)建顯得更加緊迫。

1 交換機相關(guān)概述

在計算機網(wǎng)絡(luò)中，交換機占據(jù)核心地位，發(fā)揮著不可取代的作用，在當前網(wǎng)絡(luò)環(huán)境日漸復(fù)雜的今天，病毒、黑客對計算機網(wǎng)絡(luò)產(chǎn)生了巨大威脅，以交換機為核心的網(wǎng)絡(luò)安全問題也開始受到管多關(guān)注。提高交換機本身的安全性能，是網(wǎng)絡(luò)安全建設(shè)的重中之重。

將電信信息進行轉(zhuǎn)發(fā)的主要網(wǎng)絡(luò)設(shè)備就是交換機，并且也在市場中得到了廣泛的推廣和運用，并且也在計算機共享網(wǎng)絡(luò)資源和傳輸資源中具有非常重要的作用和意義。另外，網(wǎng)絡(luò)信息還應(yīng)該滿足保密和完整以及安全三個方面的需求。所以，在使用交換機的過程中，應(yīng)該滿足一下三個方面的要求：第一，要制定一套合理的用戶使用權(quán)限，將網(wǎng)絡(luò)信息的區(qū)域進行有效劃分，從而保證網(wǎng)絡(luò)訪問的安全性；第二，要降低交換機在網(wǎng)絡(luò)數(shù)據(jù)中受到干擾問題的出現(xiàn)，并且還需要考慮其中的安全性和高效性；第三，要和其他的網(wǎng)絡(luò)設(shè)備進行結(jié)合，從而提高在運用交換機過程中的自我保護功能和防干擾的現(xiàn)象。

2 交換機安全問題研究

交換機在網(wǎng)絡(luò)中工作在數(shù)據(jù)鏈路層，屬于二層設(shè)備，提供了網(wǎng)絡(luò)互聯(lián)的等功能。它根據(jù)源MAC學(xué)習(xí)，根據(jù)新的MAC進行轉(zhuǎn)發(fā)，按照每一個數(shù)據(jù)幀中的MAC地址決策信息轉(zhuǎn)發(fā)。交換機是網(wǎng)絡(luò)常用設(shè)備之一，也是網(wǎng)絡(luò)必備設(shè)備之一，作為網(wǎng)絡(luò)的基礎(chǔ)構(gòu)件，它的安全性著實成為許多工程師及網(wǎng)管人員的首要關(guān)注點。

交換機作為一種網(wǎng)絡(luò)互聯(lián)設(shè)備，它的默認狀態(tài)旨在強化對內(nèi)保護和內(nèi)部開放通信的安全性。企業(yè)內(nèi)部的交換機用于提供通信、轉(zhuǎn)發(fā)游有用信息，這種提供通信的設(shè)備，往往安全性配置最低，這使得它們更容易遭到惡意攻擊。如果攻擊時在企業(yè)網(wǎng)內(nèi)部設(shè)備的二層上發(fā)起的，那么通常在為檢測到異常之前，網(wǎng)絡(luò)中的其他設(shè)備就馬上被攻陷了。同樣，非惡意用戶的一些行為也會導(dǎo)致網(wǎng)絡(luò)中斷，例如，用戶在誰端口連入交換機或集線器的行為，或者把自己的筆記本配置為DHCP服務(wù)器的行為，盡管不是惡意的，但仍可能導(dǎo)致網(wǎng)絡(luò)中斷。所以，網(wǎng)絡(luò)管理員必須采取安全保護行為，就跟ACL為上層提供安全保護一樣，建立一個策略，并配置適當?shù)奶匦?，以便在維護日常網(wǎng)絡(luò)運營的同時防范潛在的惡意威脅。

3 基于交換機的網(wǎng)絡(luò)安全體系

基于以上對交換機以及其安全問題的研究，對基于交換機的網(wǎng)絡(luò)安全體系構(gòu)建進行具體分析：

3.1 劃分VLAN以提高網(wǎng)絡(luò)安全

VLAN就是虛擬局域網(wǎng)，就是一組設(shè)備和用戶之間的關(guān)系，也可以被稱之為廣播域，而一般都是在參考模型的第二個階段和第三個階段，并且VLAN技術(shù)也是一項非常靈活的技術(shù)。另外，他不會被物理位置的原因而受到限制，都是在同一個網(wǎng)絡(luò)之間將設(shè)備和用戶的數(shù)據(jù)進行流通，這個過程大部分都是由路由器的第三個階段完成任務(wù)，從而滿足各方面應(yīng)用的需求。但是，我國現(xiàn)階段大部分運用的都是以太網(wǎng)，并且自身的安全系數(shù)也非常低，在使用過程中經(jīng)常會出現(xiàn)一些問題，基于此為了提高以太網(wǎng)安全，可以將用戶組進行分組，ING運行網(wǎng)絡(luò)的賬戶與ID，同時利用增加的虛擬局域網(wǎng)，將用戶的每一個工作組都進行排列。將虛擬局域網(wǎng)進行合理的劃分，就可以實現(xiàn)對關(guān)閉范圍進行統(tǒng)一管理的最終目標，這就是將虛擬局域網(wǎng)和廣播風(fēng)暴進行有效隔離的作用。但是虛擬局域網(wǎng)的賬號是沒有一樣的，這樣就會導(dǎo)致在虛擬局域網(wǎng)的情況下，會阻斷對數(shù)據(jù)的傳輸，這就需要加入路由器，才能實現(xiàn)正常的運作。因此，建立一個合理的虛擬局域網(wǎng)環(huán)境，不僅能夠?qū)崿F(xiàn)對數(shù)據(jù)和設(shè)備的統(tǒng)一管理，還可以全方面地提高網(wǎng)絡(luò)運作過程中的安全性。

3.2 設(shè)置訪問控制列表

控制訪問過程中，必然會涉及對于網(wǎng)絡(luò)的安全管理，可以說控制訪問具有關(guān)鍵作用，控制訪問過程能夠最大化避免用戶利用非法手段訪問，相關(guān)技術(shù)人員，可以設(shè)定符合網(wǎng)絡(luò)控制的列表，對于積極的訪問控制技術(shù)要權(quán)利配合，常見的控制有屬性控制與網(wǎng)絡(luò)權(quán)限控制，這樣一來，利用交換機，提高對于防火墻功能的輔助效果，加強對于安全數(shù)據(jù)的過濾功能，提高防范網(wǎng)絡(luò)病毒的效率，例如：常見的MAC地址以及TCP/UDP端口，通過利用這些項目，實施有效的訪問限制，不僅實現(xiàn)了過濾能力，同時也提高了網(wǎng)絡(luò)安全系數(shù)，利用列表ACL提高對于網(wǎng)絡(luò)安全的屏蔽，會大大實現(xiàn)數(shù)據(jù)的有效傳輸，會實現(xiàn)對于安全性能的有效限制。

3.3 通過NetFlow來提高網(wǎng)絡(luò)安全性

虛擬局域網(wǎng)在實際運作的過程中，服務(wù)器經(jīng)常會受到多個方面的攻擊，會造成一定的影響，所以，常常會因這些導(dǎo)致網(wǎng)絡(luò)無法正常運行，在嚴重的情況下，會對安全性造成很大影響，了此，相關(guān)工作的開展過程就可以合理的運用NetFlow，并且在路由器和交換機中進行合理的應(yīng)用，從而實現(xiàn)網(wǎng)絡(luò)可以避免對服務(wù)器系統(tǒng)和電腦病毒的侵犯等等，最終有效的降低網(wǎng)絡(luò)在運行中的危險性。在這個運行的過程中，主要包括三個方面：第一，病毒探測器。第二，采集器。第三，報告系統(tǒng)。在NetFlow系統(tǒng)應(yīng)用的過程中，主要是由以上幾個方面組合而成的，并且還可以突出運用NetFlow的功能性。另外，在網(wǎng)絡(luò)運行的過程中不僅僅是單一一種交換機，交換機的數(shù)量問題也要考慮。而交換機就可以運用NetFlow的同時，提高網(wǎng)絡(luò)運行的安全性，而其中的流量監(jiān)管系統(tǒng)，還可以對一些異常的問題和情況進行處理，主要包括對源頭和大小以及危害等各個方面進行處理。所以，在網(wǎng)絡(luò)后臺運行的工作人員，就可以合理的運用NetFlow，從而能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的問題和現(xiàn)象，最終提高網(wǎng)絡(luò)安全的系數(shù)。endprint

3.4 加強安全認證

通過物理連接端口支持網(wǎng)絡(luò)的正常運行，也這是傳統(tǒng)局域網(wǎng)中一個非常顯著的特點，但是在這同時，也就加大了安全隱患。一些沒有經(jīng)過授權(quán)的網(wǎng)絡(luò)設(shè)備和用戶，就可以直接通過物理連接端口連接傳統(tǒng)局域網(wǎng)，這樣就會給局域網(wǎng)造成一定程度上的破壞和影響。所以，為了可以有效提高局域網(wǎng)的安全運行，就需要合理的運用IEEE 302.1x，從而有效避免局域網(wǎng)出現(xiàn)的安全隱患，還可以達到一個非常完美的連接和融合。另外，如果在第二個階段的智能交換機中運用IEEE 302.1x，就可以對用戶的信息進行全方面的審核，從而完成對局域網(wǎng)端口的安全認證。IEEE 302.1x不僅可以允許每一個網(wǎng)絡(luò)端口的動態(tài)配置訪問，還可以對風(fēng)險進行有效的控制，從而認證下一個服務(wù)器的訪問請求。

3.5 加強交換機的端口安全

網(wǎng)絡(luò)端口中實施的安全措施，最重要的目的就是實現(xiàn)保證網(wǎng)絡(luò)運行的安全，其中的主要結(jié)構(gòu)是由MAC地址和網(wǎng)絡(luò)交換機端口組合而成的，從而實現(xiàn)對網(wǎng)絡(luò)虛擬端口和流量的嚴格控制和管理，最終有效提高網(wǎng)絡(luò)交換機端口的安全性能。另外，將交換機端口與MAC地址綁定以后，就需要將數(shù)據(jù)庫的管理系統(tǒng)進行有效的關(guān)聯(lián)。所以，在實際訪問的過程中，如果主機的MAC實際的地址與交換機的信息不符合，，那么網(wǎng)絡(luò)端口就會自動關(guān)閉，從而保護網(wǎng)絡(luò)的安全。

4 結(jié)束語

信息化時代，人們生產(chǎn)與生活都離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)徹底顛覆了人們生活與生產(chǎn)方式，為人們提供了巨大便利，與此同時，計算機網(wǎng)絡(luò)完全問題也日漸嚴峻。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)環(huán)境也更加復(fù)雜，研究計算機網(wǎng)絡(luò)安全，構(gòu)建更加完善的網(wǎng)絡(luò)安全防護體系，顯得更為緊迫。交換機作為網(wǎng)絡(luò)系統(tǒng)的核心，其在網(wǎng)絡(luò)安全體系構(gòu)建中所占比重很大，做好交換機安全，能夠大大提高整個網(wǎng)絡(luò)安全系數(shù)。本文首先對交換機相關(guān)概念進行分析，接著研究了交換機安全問題，最后，從VLAN、設(shè)置訪問控制列表、NetFlow應(yīng)用、加強安全認證、加強交換機的端口安全等五個方面對基于交換機的網(wǎng)絡(luò)安全體系構(gòu)建策略展開探討，希望能夠更好地維護網(wǎng)絡(luò)建設(shè)發(fā)展，為人們創(chuàng)造更加和諧、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1] 鐘維琴.基于三層交換機的局域網(wǎng)構(gòu)建[J].機電工程技術(shù)，2017（1）.

[2] 陳鳴，陶小妹，胡超，等.基于網(wǎng)絡(luò)功能虛擬化的網(wǎng)絡(luò)試驗平臺的設(shè)計與實現(xiàn)[J].計算機學(xué)報，2017（2）.

[3] 張曉峰.交換機端口安全防護措施在內(nèi)網(wǎng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2017（5）.endprint