公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)研究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)研究范文,希望能給你帶來靈感和參考,敬請閱讀。

網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)研究

摘要:互聯(lián)網(wǎng)時(shí)代到來以后,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜,網(wǎng)絡(luò)系統(tǒng)中包含的網(wǎng)絡(luò)設(shè)施越來越多,尤其是網(wǎng)絡(luò)交換機(jī)的配置,可以提供更多的連接端口,滿足子網(wǎng)之間的連接需求。雖然我國的網(wǎng)絡(luò)技術(shù)取得了顯著的發(fā)展,但因?yàn)榫W(wǎng)絡(luò)本身的開放性,使得在網(wǎng)絡(luò)交換機(jī)的使用過程中,常常會存在一定的安全風(fēng)險(xiǎn),為創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境,在網(wǎng)絡(luò)交換機(jī)中的安全防護(hù)技術(shù)應(yīng)用尤為重要。基于此,本文重點(diǎn)分析了網(wǎng)絡(luò)交換機(jī)中的幾種安全防護(hù)技術(shù),對提高網(wǎng)絡(luò)交換機(jī)的安全性有著重要的作用。

關(guān)鍵詞:網(wǎng)絡(luò)交換機(jī);安全防護(hù);技術(shù)應(yīng)用

近年來,隨著各行各業(yè)發(fā)展過程中對網(wǎng)絡(luò)技術(shù)的應(yīng)用,人們越來越意識到了網(wǎng)絡(luò)安全的重要性,尤其是網(wǎng)絡(luò)交換機(jī)作為一種聯(lián)網(wǎng)設(shè)備,在使用的過程中面臨著來自各個(gè)方面的安全風(fēng)險(xiǎn),如果缺乏對各類安全風(fēng)險(xiǎn)的有效防控,在網(wǎng)絡(luò)環(huán)境和設(shè)備遇到了安全威脅后,造成的損失巨大。在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的過程中,人們已經(jīng)將安全防護(hù)作為了網(wǎng)絡(luò)交換機(jī)的重點(diǎn)工作,陸續(xù)出現(xiàn)了多種的安全防護(hù)技術(shù),這些技術(shù)的應(yīng)用,有效降低了網(wǎng)絡(luò)交換機(jī)的安全風(fēng)險(xiǎn),對信息安全傳輸、非法入侵防御都有重要的作用。

1網(wǎng)絡(luò)交換機(jī)常見的安全風(fēng)險(xiǎn)

1.1ARP攻擊

網(wǎng)絡(luò)交換機(jī)在運(yùn)行和使用的過程中,處于極端復(fù)雜的網(wǎng)絡(luò)環(huán)境下,這就使得網(wǎng)絡(luò)交換機(jī)常常會遇到諸多因素的干擾,其中,ARP攻擊十分常見,這種攻擊對網(wǎng)絡(luò)交換機(jī)的正常使用有著嚴(yán)重的危害。根據(jù)網(wǎng)絡(luò)交換機(jī)中ARP攻擊的原理,主要表現(xiàn)在:TCP/IP協(xié)議棧中往往包含了多個(gè)層級,其中,ARP僅僅為其中的一個(gè)網(wǎng)絡(luò)層,在網(wǎng)絡(luò)環(huán)境下,ARP可將特定的IP地址解析出來,快速生成MAC地址,其在網(wǎng)絡(luò)環(huán)境中的作用,決定了ARP往往會受到TCP/IP協(xié)議的影響,尤其是如果其中存在有漏洞的情況下,黑客可能會利用這些漏洞來進(jìn)行相應(yīng)的ARP病毒發(fā)送,由于網(wǎng)絡(luò)交換機(jī)與網(wǎng)絡(luò)系統(tǒng)中其他設(shè)備之間的關(guān)聯(lián)關(guān)系,這些ARP病毒可能會快速進(jìn)入到計(jì)算機(jī)系統(tǒng)內(nèi)部,向計(jì)算機(jī)系統(tǒng)發(fā)送大量的ARP詐騙數(shù)據(jù)包,當(dāng)出現(xiàn)了這一現(xiàn)象后,網(wǎng)絡(luò)環(huán)境中將發(fā)生通道阻塞、設(shè)備承載過大的問題,很難保障網(wǎng)絡(luò)條件下的通信質(zhì)量與安全,如果處理不及時(shí)將引發(fā)大面積癱瘓現(xiàn)象[2]。

1.2MAC地址攻擊

網(wǎng)絡(luò)交換機(jī)的使用過程中,MAC地址攻擊的出現(xiàn)頻次也相對較高,但根據(jù)這種攻擊的特點(diǎn),更多地是以海量詐騙數(shù)據(jù)包的發(fā)送為主。結(jié)合其攻擊原理:經(jīng)由網(wǎng)絡(luò)交換機(jī)的運(yùn)行情況和功能特點(diǎn),在交換機(jī)接收到了數(shù)據(jù)幀以后,將同步生成MAC學(xué)習(xí)源,依據(jù)學(xué)習(xí)源的MAC地址來構(gòu)建MAC地址表,在形成了該地址表以后,可進(jìn)行MAC地址表的查找,經(jīng)由學(xué)習(xí)來確認(rèn)在該地址表中的各個(gè)MAC地址是否有對應(yīng)的傳輸目標(biāo),如果發(fā)現(xiàn)MAC地址有傳輸目標(biāo),可直接選用單獨(dú)轉(zhuǎn)發(fā)的模式,但如果都沒有傳輸目標(biāo),則采用廣播到全部接口的方式。當(dāng)在網(wǎng)絡(luò)交換機(jī)的使用過程中發(fā)生了泛洪地址攻擊的現(xiàn)象,交換機(jī)會將其學(xué)習(xí)到的MAC地址直接在地址表中保存下來,由于MAC地址表的容量非常有限,攻擊將呈現(xiàn)出以下特點(diǎn):虛擬MAC地址持續(xù)產(chǎn)生,使得MAC地址表在很長一段時(shí)間內(nèi)都處于被填滿的條件下,網(wǎng)絡(luò)交換機(jī)很難在這種條件下學(xué)習(xí)新的MAC地址,此時(shí),網(wǎng)絡(luò)交換機(jī)很難自動(dòng)區(qū)分MAC地址是否具有目標(biāo),一般會直接自動(dòng)默認(rèn)MAC地址為無目標(biāo)地址的狀態(tài),直接將數(shù)據(jù)幀廣播到全部的接口中,當(dāng)黑客恰好處于這一廣播范圍內(nèi)時(shí),就能夠截獲傳輸過程中的數(shù)據(jù)幀信息,引發(fā)網(wǎng)絡(luò)攻擊行為[3]。從根本上看,MAC地址攻擊實(shí)際上利用的是虛擬MAC地址的數(shù)據(jù)包攻擊方式,這些詐騙數(shù)據(jù)包占據(jù)了正常的MAC地址表空間,當(dāng)用戶無法識別出這種異常占用和攻擊行為時(shí),將蒙受巨大的損失。

2網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)

2.1MAC地址接入限制

網(wǎng)絡(luò)交換機(jī)的安全風(fēng)險(xiǎn)巨大,為有效實(shí)現(xiàn)安全防護(hù),應(yīng)根據(jù)風(fēng)險(xiǎn)類型來采取有針對性的防護(hù)技術(shù)。網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)傳輸網(wǎng)絡(luò)非常復(fù)雜,其中包含了多個(gè)接口和出口,如果在系統(tǒng)使用的過程中沒有做好網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)之間的安全防護(hù),必將加劇安全風(fēng)險(xiǎn)的發(fā)生。在網(wǎng)絡(luò)交換機(jī)中,MAC地址實(shí)際上是網(wǎng)絡(luò)設(shè)備接入的ID信息,通過MAC地址,網(wǎng)絡(luò)交換機(jī)可正常完成數(shù)據(jù)的轉(zhuǎn)換,與此同時(shí),經(jīng)由對設(shè)備ID信息的識別,也就可維持正常的數(shù)據(jù)傳輸。在涉及數(shù)據(jù)傳輸時(shí),一旦網(wǎng)絡(luò)交換機(jī)難以找到MAC所對應(yīng)的條目,該數(shù)據(jù)幀將作為廣播幀來進(jìn)行相應(yīng)的處理,由于在MAC地址對照表中只能夠存儲特定數(shù)量的條目,一旦其存儲量達(dá)到了容量,新的條目無法被添加到其中,在這種條件下的異常攻擊和訪問較為常見。針對這一方面的攻擊現(xiàn)象,為了實(shí)現(xiàn)安全防護(hù),一般可通過限制網(wǎng)絡(luò)交換機(jī)端口接入的源MAC地址數(shù)量來實(shí)現(xiàn),經(jīng)由這種限制處理的方式,可大大減少地址泛洪問題的出現(xiàn)。MAC地址開展接入認(rèn)證也對預(yù)防這種攻擊非常有效,在這種安全防護(hù)技術(shù)的應(yīng)用過程中,主要是將用戶的MAC地址作為用戶名與密碼,在將用戶接入網(wǎng)絡(luò)時(shí),將同步進(jìn)行數(shù)據(jù)幀的發(fā)送,與此同時(shí),網(wǎng)絡(luò)設(shè)備對用戶的用戶名與密碼加以分析,這一分析過程也就是認(rèn)證的過程。

2.2網(wǎng)絡(luò)數(shù)據(jù)加密

網(wǎng)絡(luò)交換機(jī)的安全防護(hù)過程中,往往包含了多種防護(hù)技術(shù),網(wǎng)絡(luò)數(shù)據(jù)加密也是相對有效的防護(hù)技術(shù),經(jīng)由這一技術(shù)的規(guī)范化應(yīng)用,可給數(shù)據(jù)傳輸創(chuàng)造相對安全的網(wǎng)絡(luò)環(huán)境。在很多的企業(yè)體系中,所涉及的很多數(shù)據(jù)都為保密信息,這些信息和數(shù)據(jù)是企業(yè)決策的重要依據(jù),一旦發(fā)生數(shù)據(jù)泄漏,可能會給企業(yè)造成巨大的損失。在網(wǎng)絡(luò)交換機(jī)的使用過程中,終端網(wǎng)絡(luò)接入點(diǎn)、路由器連接點(diǎn)、核心網(wǎng)絡(luò)連接路徑都是需要關(guān)注的重點(diǎn)方面,如果能夠結(jié)合網(wǎng)絡(luò)交換機(jī)的各個(gè)特點(diǎn)來進(jìn)行數(shù)據(jù)加密技術(shù)的應(yīng)用,就可大大提高網(wǎng)絡(luò)系統(tǒng)的安全性。在很多大型企業(yè)內(nèi)部,網(wǎng)絡(luò)交換機(jī)是信息傳輸?shù)闹薪?,比如,機(jī)密文件和數(shù)據(jù)都是經(jīng)由交換機(jī)來傳輸?shù)?,通過網(wǎng)絡(luò)數(shù)據(jù)加密,就可構(gòu)建更為安全的網(wǎng)絡(luò)密鑰,進(jìn)而在通信的過程中實(shí)現(xiàn)用戶名、口令的雙重加密。典型的加密模型如圖1所示。

2.3VLAN劃分安全防護(hù)技術(shù)

在一些網(wǎng)絡(luò)交換機(jī)的安全防護(hù)技術(shù)中,也會采用VLAN安全劃分技術(shù),在此技術(shù)的具體應(yīng)用過程中,一般是將局域網(wǎng)中的各種設(shè)備依據(jù)相應(yīng)的邏輯來進(jìn)行不同網(wǎng)段的劃分,在經(jīng)由這種劃分處理以后,各個(gè)網(wǎng)段都可形成一個(gè)虛擬網(wǎng)絡(luò),在網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中,這些虛擬網(wǎng)絡(luò)可保持虛擬工作的狀態(tài)。由于VLAN安全劃分技術(shù)的有效性,在當(dāng)下的網(wǎng)絡(luò)交換機(jī)安全防護(hù)中,這一技術(shù)的應(yīng)用范圍非常廣,在使用了這一安全技術(shù)后,經(jīng)由VLAN劃分的端口,只有在同網(wǎng)段內(nèi)才可實(shí)現(xiàn)數(shù)據(jù)傳輸,在不同的網(wǎng)段之間,數(shù)據(jù)傳輸無法正常開展,一旦某一網(wǎng)段遇到了非法入侵的情況,其他網(wǎng)段的運(yùn)行和數(shù)據(jù)傳輸都不會受其干擾[4]。

2.4VTP防護(hù)技術(shù)

網(wǎng)絡(luò)交換機(jī)的安全防護(hù)領(lǐng)域中,往往包含了多種多樣的技術(shù),VTP防護(hù)技術(shù)的應(yīng)用,同樣也可起到安全防護(hù)的作用。對很多企業(yè)而言,所創(chuàng)設(shè)的網(wǎng)絡(luò)體系中包含有網(wǎng)絡(luò)交換機(jī),利用中繼協(xié)議,就能夠?qū)μ摂M局域網(wǎng)加以重新組建、刪除或者重命名,進(jìn)而來進(jìn)行相應(yīng)的網(wǎng)絡(luò)優(yōu)化。有關(guān)人員在對中繼協(xié)議進(jìn)行虛擬局域網(wǎng)設(shè)置的過程中,要將局域網(wǎng)信息傳遞給全部的交換機(jī),這些交換機(jī)在接收到了這些信息以后,會自動(dòng)對自身的配置信息加以調(diào)整,確保其信息能夠符合VLAN的要求。對一個(gè)VTP而言,其中可以有一臺網(wǎng)絡(luò)交換機(jī),也可有多臺網(wǎng)絡(luò)交換機(jī),全部的網(wǎng)絡(luò)交換機(jī)可保持信息和數(shù)據(jù)的共享。通常情況下,VTP包含有多種的工作模式,主要有VTPServer、VTPClient和VTPTransparent,網(wǎng)絡(luò)交換機(jī)的初始默認(rèn)配置為VLAN1,也就是說,VTP模式為服務(wù)器[5]。整個(gè)的運(yùn)行過程中,VTPServer負(fù)責(zé)對VTP域的全部VLAN信息列表加以維護(hù),與此同時(shí),兼具對VLAN的建立、刪除或修改功能,可及時(shí)將通告信息發(fā)送并轉(zhuǎn)發(fā)出去,與虛擬局域網(wǎng)的相關(guān)配置信息保持一致,在配置工作結(jié)束以后,最終的信息保存在NVRAM中。VTPClient同樣可對VLAN信息列表起到重要的維護(hù)作用,但是其在關(guān)于VLAN的配置信息方面,無法進(jìn)行VLAN的建立、修改和刪除,可轉(zhuǎn)發(fā)通告同步虛擬局域網(wǎng)配置,但配置信息無法保存。端口隔離如圖2所示。

2.5中繼鏈路防護(hù)技術(shù)

在很多主體中,經(jīng)由網(wǎng)絡(luò)交換機(jī)的使用和配置,可有效實(shí)現(xiàn)全網(wǎng)融合,在構(gòu)建了全網(wǎng)融合的環(huán)境以后,不僅提高了數(shù)據(jù)的整體傳輸效率,更可保持不同模塊之間的信息共享,雖然如此,也同步帶來了較大的安全風(fēng)險(xiǎn)。在全網(wǎng)融合環(huán)節(jié),一般配備有多臺交換機(jī),這些交換機(jī)起著相同的作用,每個(gè)交換機(jī)上都會依據(jù)實(shí)際的情況來進(jìn)行VLAN的劃分,為確保不同處于不同交換機(jī)上的VLAN之間可正常通信,提高通信安全性和便捷性,就可利用中繼鏈路技術(shù)來實(shí)現(xiàn),這一技術(shù)在應(yīng)用后,可對網(wǎng)絡(luò)交換機(jī)的安全防護(hù)起到一定的作用。實(shí)際上,中繼鏈路中存在一個(gè)特殊的協(xié)議,就是動(dòng)態(tài)鏈路協(xié)議,在該協(xié)議輔助下,不同交換機(jī)上,同ID的VLAN之間可正常通信,當(dāng)在網(wǎng)絡(luò)環(huán)境中中繼鏈路遭遇了不明攻擊或者異常入侵時(shí),可能會引起數(shù)據(jù)丟失,不法分子在這一情況下可能會利用模擬網(wǎng)絡(luò)交換軟件來進(jìn)行DTP協(xié)議的啟動(dòng),在啟動(dòng)后與其他網(wǎng)絡(luò)交換機(jī)協(xié)商構(gòu)建中繼鏈路,當(dāng)完成了這一處理后,攻擊者可會直接學(xué)習(xí)各個(gè)網(wǎng)絡(luò)交換機(jī)的VLAN,并與之開展通信。針對此類安全威脅,在使用中繼鏈路防護(hù)技術(shù)的過程中,可將網(wǎng)絡(luò)交換機(jī)上的全部中繼接口都進(jìn)行對應(yīng)的設(shè)置,將其設(shè)置為只允許專用的VLAN通過的模式并關(guān)閉全部未使用的端口。

2.6ARP攻擊防護(hù)

對于網(wǎng)絡(luò)交換機(jī)中所面臨的ARP攻擊,在安全防護(hù)處理的過程中,一般可采取以下的防護(hù)手段:(1)由專業(yè)人員對交換機(jī)連接主機(jī)間的網(wǎng)絡(luò)信任關(guān)系建立前提,如果信任關(guān)系僅僅是在IP或者M(jìn)AC地址的基礎(chǔ)上構(gòu)建的,意味著在網(wǎng)絡(luò)交換機(jī)中存在著一定的漏洞,面臨的ARP攻擊風(fēng)險(xiǎn)較大,針對這一現(xiàn)象,可在網(wǎng)絡(luò)中安裝DHCP服務(wù)器,并在網(wǎng)關(guān)與客戶端上綁定IP與MAC,修復(fù)交換機(jī)中的漏洞。IP與MAC綁定環(huán)節(jié),嚴(yán)禁DHCP之間的沖突現(xiàn)象,一旦存在沖突,需進(jìn)行了調(diào)解以后再綁定。(2)在交換機(jī)內(nèi)進(jìn)行靜態(tài)ARP映射表的構(gòu)建,并形成了這一部分以后,可有效克服原先主機(jī)刷新映射表時(shí)的權(quán)限限制,將ARP維持在相對穩(wěn)定的狀態(tài)下。在經(jīng)由這一處理以后,外部局域網(wǎng)信息一般很難進(jìn)入其中,雖然這一防護(hù)方式的操作相對簡單,實(shí)現(xiàn)容易,但是其在安全防護(hù)方面存在著一定的限制。也就是說,當(dāng)主機(jī)需頻繁進(jìn)行局域網(wǎng)的更換時(shí),不能采用這一防護(hù)方式。(3)不再使用ARP,并將ARP作為永久條目直接保存于映射表內(nèi),這種做法對預(yù)防ARP攻擊非常有效,但用戶的部分權(quán)益受損。(4)安裝防火墻或者網(wǎng)絡(luò)監(jiān)控。

2.7口令加密

網(wǎng)絡(luò)交換機(jī)中的安全防護(hù)中,口令加密也可進(jìn)一步起到安全防護(hù)的作用,具體來說,就是對一個(gè)空白的網(wǎng)絡(luò)交換機(jī)開展登錄權(quán)限設(shè)置,全部用戶一旦要介入該交換機(jī),都要進(jìn)行密碼驗(yàn)證,如果輸入的密碼不正確,意味著該用戶可能為非法訪問,這種方式下,對有效減少異常訪問非常有限,在口令加密的過程中,可采用明文密碼+密文加密的方式。

3結(jié)束語

網(wǎng)絡(luò)交換機(jī)在使用的過程中,雖然給網(wǎng)絡(luò)接入帶來了極大的便捷,但與此同時(shí)也增大了網(wǎng)絡(luò)安全威脅,因此,網(wǎng)絡(luò)交換機(jī)的使用中,不可忽視安全防護(hù),應(yīng)結(jié)合網(wǎng)絡(luò)交換機(jī)的使用環(huán)境,選擇恰當(dāng)?shù)陌踩雷o(hù)技術(shù)來進(jìn)行安全優(yōu)化。

參考文獻(xiàn):

[1]杜愛華.ACL技術(shù)在民航管理信息網(wǎng)安全防護(hù)中的應(yīng)用[J].電腦知識與技術(shù):學(xué)術(shù)版,2019,15(9Z):2.

[2]李健容.淺談程控交換機(jī)服務(wù)器的安全防護(hù)方案[J].中國新通信,2018,20(10):175.

[3]董如意,孟范立.交換機(jī)系統(tǒng)日志與監(jiān)控配置研究與實(shí)踐[J].技術(shù)與教育,2018,32(4):5.

[4]張?jiān)讫垼惙?,趙萌.基于網(wǎng)絡(luò)交換機(jī)安全措施的研究和實(shí)現(xiàn)[J].數(shù)字化用戶,2019,25(014):81.

[5]許賢,葉水勇,蔡翔,等.調(diào)度三區(qū)和信息四區(qū)邊界安全防護(hù)研究與實(shí)踐[J].國網(wǎng)技術(shù)學(xué)院學(xué)報(bào),2016,19(6):5.

作者:劉怡鈞 單位:中國移動(dòng)通信集團(tuán)天津有限公司