辛蕾

【摘要】網(wǎng)絡(luò)時(shí)代的到來(lái)使得安全問(wèn)題成為一個(gè)迫切需要解決的問(wèn)題。病毒、黑客以及各種各樣漏洞的存在，使得安全任務(wù)在網(wǎng)絡(luò)時(shí)代變得無(wú)比艱巨。交換機(jī)是整個(gè)網(wǎng)絡(luò)中的核心部分，所以解決網(wǎng)絡(luò)安全問(wèn)題需要著重從交換機(jī)方面尋找突破，進(jìn)而提出相關(guān)策略以提高網(wǎng)絡(luò)的安全性。為此，本文將從交換機(jī)技術(shù)角度解析網(wǎng)絡(luò)安全的有關(guān)策略。

【關(guān)鍵詞】交換機(jī)技術(shù)網(wǎng)絡(luò)安全

近年來(lái)，隨著全球信息化的發(fā)展，網(wǎng)絡(luò)環(huán)境紛繁復(fù)雜，人們?cè)谡５木W(wǎng)絡(luò)交流與信息資源傳輸過(guò)程中往往容易遭受黑客組織的惡意干擾和攻擊。同時(shí)，由于傳統(tǒng)的防火墻技術(shù)無(wú)法阻止黑客使用Cain、Dsniff等系統(tǒng)技術(shù)或工具對(duì)局域網(wǎng)流量傳送的惡意破壞與攻擊，人們對(duì)網(wǎng)絡(luò)安全提供了更高的要求。由于交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心部分，因此解決網(wǎng)絡(luò)安全首先要從交換機(jī)方面尋找突破，進(jìn)而解析網(wǎng)絡(luò)安全的有關(guān)策略。

一、交換機(jī)的定義和功能

交換機(jī)的英文名稱為“Switch”，它是集線器的升級(jí)換代產(chǎn)品，從外觀上來(lái)看，它與集線器基本上沒(méi)有多大區(qū)別，都是帶有多個(gè)端口的長(zhǎng)方體。交換機(jī)是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動(dòng)完成的方法把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。廣義的交換機(jī)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。

交換機(jī)最重要的功能就是安全功能，通過(guò)轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機(jī)最基本的安全功能。同時(shí)，交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心，應(yīng)該能對(duì)訪問(wèn)和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制。更重要的是，交換機(jī)還應(yīng)配合其他網(wǎng)絡(luò)安全設(shè)備，對(duì)非授權(quán)訪問(wèn)和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止。

二、交換機(jī)的網(wǎng)絡(luò)安全問(wèn)題

局域網(wǎng)交換機(jī)對(duì)提高網(wǎng)絡(luò)性能產(chǎn)生了很大的幫助，但是有些機(jī)構(gòu)往往出于政治或者經(jīng)濟(jì)原因而無(wú)法自由地將網(wǎng)絡(luò)限制在第二層，從而利用交換的好處。交換機(jī)提供了必要的控制方面的隔離，但它也成為最重要的也是最昂貴的瓶頸。結(jié)果，服務(wù)器的采用與網(wǎng)絡(luò)的層次結(jié)構(gòu)有關(guān)，限制了網(wǎng)絡(luò)初衷所想提供的自由。

同時(shí)，所有的用戶都被賦予相同的網(wǎng)絡(luò)訪問(wèn)權(quán)限，而不考慮他們的重要程度或者桌面計(jì)算機(jī)的速度。網(wǎng)絡(luò)不能為特殊的用戶或者服務(wù)器分配更高的優(yōu)先級(jí)。高優(yōu)先級(jí)的事務(wù)和應(yīng)用必須給予更大的網(wǎng)絡(luò)訪問(wèn)權(quán)限。由此，逐漸提出了二層交換機(jī)和三層交換機(jī)，并提供了VLAN等既可以滿足用戶快速通信的需要，又具有一定的安全性的技術(shù)方法。

三、基于交換機(jī)技術(shù)的網(wǎng)絡(luò)安全策略解析

1.基于端口的傳輸控制。一般地，交換機(jī)都具有基于端口的傳輸控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)以及端口安全等。一是風(fēng)暴控制。當(dāng)端口接收到大量的廣播獲多播包時(shí)，就會(huì)發(fā)生廣播風(fēng)暴，并且轉(zhuǎn)發(fā)這些數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)速度變慢或者超時(shí)。因此，通過(guò)對(duì)端口的廣播風(fēng)暴控制，在某些數(shù)據(jù)包過(guò)量時(shí)，交換機(jī)會(huì)暫停該類數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而有效地避免硬件損壞或故障導(dǎo)致的網(wǎng)絡(luò)癱瘓。二是保護(hù)端口。保護(hù)端口可以確保同一交換機(jī)上的端口之間不進(jìn)行通信。因?yàn)楸Ｗo(hù)端口不向其他保護(hù)端口轉(zhuǎn)發(fā)任何單播、多播或者廣播包傳輸，要實(shí)現(xiàn)保護(hù)端口間的傳輸，都必須通過(guò)第三層設(shè)備轉(zhuǎn)發(fā)。因此，可以采取阻塞端口的方式，防止未知的單播或者多播通信在端口間轉(zhuǎn)發(fā)。三是端口安全。借助端口安全設(shè)置，可以只允許制定的MAC地址或指定數(shù)量的MAC地址訪問(wèn)某個(gè)端口，從而避免未經(jīng)授權(quán)的計(jì)算機(jī)接入網(wǎng)絡(luò)，或限制某個(gè)端口所連接的計(jì)算機(jī)數(shù)量，從而確保網(wǎng)絡(luò)接入的安全。

2.虛擬局域網(wǎng)VLAN技術(shù)。虛擬局域網(wǎng)是安全交換機(jī)必不可少的功能。VLAN可以在二層后者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個(gè)一個(gè)獨(dú)立的區(qū)域，也可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個(gè)或者多個(gè)交換機(jī)，與它們的物理位置無(wú)關(guān)，設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)之間通信一樣。VLAN可以在各種形式上形成，如端口、MAC地址和IP地址等。

3.利用NetFlow來(lái)增強(qiáng)網(wǎng)絡(luò)安全性。在局域網(wǎng)的運(yùn)作中，其會(huì)因?yàn)樵馐艽蠓秶姆植际骄芙^服務(wù)攻擊而影響正常的工作，或是發(fā)生網(wǎng)絡(luò)癱瘓。為了增強(qiáng)網(wǎng)絡(luò)的安全性，將NetFlow引用到Cisco路由器以及某些高端交換機(jī)上，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上拒絕服務(wù)攻擊，蠕蟲(chóng)病毒等的探測(cè)，從而降低網(wǎng)絡(luò)使用過(guò)程中的危險(xiǎn)性。由于網(wǎng)絡(luò)中的交換機(jī)分布密集，因而在交換機(jī)上使用NetFlow，并結(jié)合其他流量監(jiān)控管理軟件，以實(shí)現(xiàn)對(duì)異常流量的監(jiān)控，包括監(jiān)控異常流量的種類、大小、源頭、流向、端口、危害等。

4.基于訪問(wèn)控制列表的防火墻功能。安全交換機(jī)采用了訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)包過(guò)濾防火墻的安全功能，增強(qiáng)安全防范能力。訪問(wèn)控制列表以前只在核心路由器才獲使用。在安全交換機(jī)中，訪問(wèn)控制過(guò)濾措施可以基于源/目標(biāo)交換槽、端口、源/目標(biāo)VLAN、源/目標(biāo)IP、TCP/UDP端口、ICMP類型或者M(jìn)AC地址來(lái)實(shí)現(xiàn)。ACL不但可以讓網(wǎng)絡(luò)管理者用來(lái)制定網(wǎng)絡(luò)策略，針對(duì)個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制，讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測(cè)，從而無(wú)法發(fā)動(dòng)攻擊。