摘 要:现当代的网络环境发展,网络成为人类生活中不可缺少的一部分。在网络的快速发展下,网络环境变得错综复杂,在正常的网络交流中时常受到网络黑客的恶意攻击,网络安全问题衍生出网络信任危机,解决网络安全问题迫在眉睫。交换机是网络中重要的组成部分,解决网络安全问题应从交换机方面探索,在此基础上提出相关安全措施全面提高网络的安全性能,本在着重探讨基于交换机的网络安全体系构建的相关途径。
关键词:交换机技术;局域网;安全系统;网络安全
中图分类号:TP393.07
在网络的快速发展下,网络环境变得错综复杂,人们日常的网络交流、资源传输共享中很容易受到网络黑客的恶意的干扰或攻击。而一般的防火墙技术只局限在对内部网络的保护上,一些网络黑客使用Cain、Dsniff、Ettercap等系统技术对局域网的信息传输的恶意破坏与攻击,一时间网络上产生了严重的信任危机。因此,人们对网络安全更加重视,而交换机是网络中核心的组成部分,在解决网络安全这一问题上应从网络交换机上下手,以寻求突破,从而提出关于整个网络的安全措施。
1 交换机
交换机是一种电信信息转发的网络设备,在通讯系统中收到广泛的使用,在计算机网络中交换机作为共享资源的发送工具发挥着传输资源的重要作用。网络信息应将保密、完整、安全三方面的需求列为重点。因此,交换机应满足一下三点:(1)制定用户的权限,划分网络信息区域,保障网络访问的安全性;(2)最大限度的减少交换机在网络数据装法中受到干扰的可能,同时兼顾其安全性与高效性;(3)与其他网络设备相辅助来提高交换机的自我保护与防止干扰的功能性。
2 基于交换机的网络安全体系
2.1 划分VLAN以提高网络安全
VLAN(Virtual Local Area Network)就是虚拟局域网,相当于一组设备与用户的关系,也可以说是一个广播域,一般设置在OSI参考模型的第2和第3层,VLAN技术是一项高灵活性的技术。它不存在物理位置的限定,设备与用户之间数据的流通好似在同一网段中进行,一般在路由器的第3层完成传输,可满足一般应用的需求。现行的网络大多是以太网,它的安全系数不高,经常出现一些广播问题,相关研究人员为了提高以太网的安全性能,在以太网帧中规划出VLAN,增加的VLAN,运用VLAN ID可将用户排列成多个小数量的工作组每一个工作组就好比一个虚拟局域网,这也需要每个组间运用的用户实行二层互访限制以提高安全性。划分成VLAN可现实对广播范围统一管理目的,在同一网段中VLAN内部的广播系统和单播流量在受到恶意攻击时也不会像其他VLAN中转发数据,这就是VLAN隔离广播风暴的作用,VLAN号是没有一样的,因此在VLAN之间的数据传输也会被阻断,通讯是需要路由器的参与才能实现。建立VLAN来构成虚拟工作组来实现对网络动态管理的目的以及对数据、设备的统一管理可全面提高网络的安全性。
2.2 设置访问控制列表
在整个网络安全体系中,控制访问是很关键的一部分,主要负责网络资源管理,最大限度的避免非法用户对资源访问,网络安全的技术人员应设置相符合的网络控制列表,配合积极的访问控制技术(例如:属性控制、网络权限控制等)辅助网络防火墙增强网络的安全系数。有了防火墙功能的加持,网络安全管理人员可通过ACL来提高网络安全的过滤功能、防范网络病毒。比如,网络安全管理人员可利用MAC地址、TCP/UDP端口等访问限制来实施过滤,以制定相关的安全策略,通过列表ACL来提高网络安全屏蔽功能。同时,ACL设置相对应的控制规范,管理一些特殊用户和数据传输的限制来提高网络安全性能的作用。
2.3 通过NetFlow来提高网络安全性
在局域网络的运作中,很容易遭受大范围拒绝服务器攻击(例如:网络异常、蠕虫病毒攻击等)从而影响网络的正常运行,甚至是网络的整体瘫痪。为了提高网络安全性的目的,将NetFlow应用到集成多业务路由器或高端交换机上实现附加网络拒绝服务攻击的系统、对电脑病毒的探测等,由此来降低网络运行中的危险性。其中包括三点,一是病毒探测器(监视网络数据的安全性),二是采集器(将探测器的数据收集)三是报告系统(将采集器中的数据转化为报告),这是NetFlow系统中主要的三部分,在这三部分的影响下可展现出NetFlow强有力的功能性。网络中密集的分布着许多的交换机,在交换机中采用NetFlow来提高安全性,流量监管系统控制对网络异常流量的处理、其中包括异常数据流量源头、种类、大小、危害等方面的处理。因此,网络后台运行的工作人员可通过NetFlow中提供的信息及早的发现网络异常现象,快速的解决这一问题来提高网络安全系数。
2.4 利用IEEE 802.1x加强安全认证
网络运行需要通过物理连接端口是传统局域网的最大特点,但者也埋下了传统局域网的安全隐患,未经过授权的网络设备、用户等可由物理连接端口对传统局域网进行连接,从而进入局域网进行破坏。为了提高局域网的环境安全性,利用IEEE 802.1x来消除局域网的安全隐患,IEEE 802.1x协议可和局域网可实现完美连接,在二层智能交换机中使用IEEE 802.1x,通过交换局域网架构的属性对用户信息进行全面的安全审核,同时对局域网的端口完成安全认证。802.1x允许访问网络端口的动态配置,在安全策略中设置了端口级别,未得到权限的用户不可访问,由此来控制用户访问, 802.1xsupplicant如同网络系统中请求认证服务的用户和设备一样,由网络接入设备下个认证服务器发出请求。802.1x的局域网端口中,MAC被锁定就纳入了网络动态管理范围,网络中的数据都是由获得信任后的MAC地址发出,并且802.1x完成了逻辑网络的整体覆盖,以此来增强网络安全性能。
2.5 加强交换机的端口安全
网络端口的安全措施是保障网络安全的重要途径,其架构是以MAC地址为基础将网络交换机端口与MAC地址绑定,来实现网络虚拟端口流量的监控与管理,从而提升网络交换机端口的安全性能。交换机端口与MAC地址绑定后,在关联式数据库管理系统或Trunk状态下来拟定端口模式和端口已指定的MAC地址。因此,在使用访问的过程中,主机MAC地址与交换机中不相符合那么网络交换机就会关闭相关的网络端口来保障网络安全。同时,MAC地址对端口流量控制制定为一个Trunk端口的MAC地址访问数量不可超过100个,倘若超过则会都丢失主机中数据帧。
3 结束语
在现代的网络信息环境中,人们对网络的依赖度越来越高,而网络安全问题也日益严峻。交换机在网络安全运行中占有很大的比重,在交换机技术的基础上提出相符合的安全策略从整体上提高网络安全系数,本文通过划分VLAN、设置访问控制列表、NetFlow应用、IEEE 802.1x加强安全认证、加强交换机的端口安全五方面来研究提高网络安全性能的策略。拥有安全保障的网络环境才能得到人们对网络的信任,使人们安心、安全的使用网络,以促进新时代网络社会的发展。
参考文献:
[1]王春莲.基于交换机的校园网络安全防御技术[J].中国教育技术装备,2011(14):52.
[2]韩文智,傅得月.核心交换机在校园网络安全中的作用[J].实验科学与技术,2004,2(03):106-107,97.
作者简介:张嘉(1982-),女,河北衡水人,本科,电子工程类助理工程师。
作者单位:衡水市计划节约用水管理办公室,河北衡水 053000