前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)交換機的安全防護技術(shù)研究范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:互聯(lián)網(wǎng)時代到來以后,網(wǎng)絡(luò)環(huán)境日趨復雜,網(wǎng)絡(luò)系統(tǒng)中包含的網(wǎng)絡(luò)設(shè)施越來越多,尤其是網(wǎng)絡(luò)交換機的配置,可以提供更多的連接端口,滿足子網(wǎng)之間的連接需求。雖然我國的網(wǎng)絡(luò)技術(shù)取得了顯著的發(fā)展,但因為網(wǎng)絡(luò)本身的開放性,使得在網(wǎng)絡(luò)交換機的使用過程中,常常會存在一定的安全風險,為創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境,在網(wǎng)絡(luò)交換機中的安全防護技術(shù)應用尤為重要?;诖耍疚闹攸c分析了網(wǎng)絡(luò)交換機中的幾種安全防護技術(shù),對提高網(wǎng)絡(luò)交換機的安全性有著重要的作用。
關(guān)鍵詞:網(wǎng)絡(luò)交換機;安全防護;技術(shù)應用
近年來,隨著各行各業(yè)發(fā)展過程中對網(wǎng)絡(luò)技術(shù)的應用,人們越來越意識到了網(wǎng)絡(luò)安全的重要性,尤其是網(wǎng)絡(luò)交換機作為一種聯(lián)網(wǎng)設(shè)備,在使用的過程中面臨著來自各個方面的安全風險,如果缺乏對各類安全風險的有效防控,在網(wǎng)絡(luò)環(huán)境和設(shè)備遇到了安全威脅后,造成的損失巨大。在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的過程中,人們已經(jīng)將安全防護作為了網(wǎng)絡(luò)交換機的重點工作,陸續(xù)出現(xiàn)了多種的安全防護技術(shù),這些技術(shù)的應用,有效降低了網(wǎng)絡(luò)交換機的安全風險,對信息安全傳輸、非法入侵防御都有重要的作用。
1網(wǎng)絡(luò)交換機常見的安全風險
1.1ARP攻擊
網(wǎng)絡(luò)交換機在運行和使用的過程中,處于極端復雜的網(wǎng)絡(luò)環(huán)境下,這就使得網(wǎng)絡(luò)交換機常常會遇到諸多因素的干擾,其中,ARP攻擊十分常見,這種攻擊對網(wǎng)絡(luò)交換機的正常使用有著嚴重的危害。根據(jù)網(wǎng)絡(luò)交換機中ARP攻擊的原理,主要表現(xiàn)在:TCP/IP協(xié)議棧中往往包含了多個層級,其中,ARP僅僅為其中的一個網(wǎng)絡(luò)層,在網(wǎng)絡(luò)環(huán)境下,ARP可將特定的IP地址解析出來,快速生成MAC地址,其在網(wǎng)絡(luò)環(huán)境中的作用,決定了ARP往往會受到TCP/IP協(xié)議的影響,尤其是如果其中存在有漏洞的情況下,黑客可能會利用這些漏洞來進行相應的ARP病毒發(fā)送,由于網(wǎng)絡(luò)交換機與網(wǎng)絡(luò)系統(tǒng)中其他設(shè)備之間的關(guān)聯(lián)關(guān)系,這些ARP病毒可能會快速進入到計算機系統(tǒng)內(nèi)部,向計算機系統(tǒng)發(fā)送大量的ARP詐騙數(shù)據(jù)包,當出現(xiàn)了這一現(xiàn)象后,網(wǎng)絡(luò)環(huán)境中將發(fā)生通道阻塞、設(shè)備承載過大的問題,很難保障網(wǎng)絡(luò)條件下的通信質(zhì)量與安全,如果處理不及時將引發(fā)大面積癱瘓現(xiàn)象[2]。
1.2MAC地址攻擊
網(wǎng)絡(luò)交換機的使用過程中,MAC地址攻擊的出現(xiàn)頻次也相對較高,但根據(jù)這種攻擊的特點,更多地是以海量詐騙數(shù)據(jù)包的發(fā)送為主。結(jié)合其攻擊原理:經(jīng)由網(wǎng)絡(luò)交換機的運行情況和功能特點,在交換機接收到了數(shù)據(jù)幀以后,將同步生成MAC學習源,依據(jù)學習源的MAC地址來構(gòu)建MAC地址表,在形成了該地址表以后,可進行MAC地址表的查找,經(jīng)由學習來確認在該地址表中的各個MAC地址是否有對應的傳輸目標,如果發(fā)現(xiàn)MAC地址有傳輸目標,可直接選用單獨轉(zhuǎn)發(fā)的模式,但如果都沒有傳輸目標,則采用廣播到全部接口的方式。當在網(wǎng)絡(luò)交換機的使用過程中發(fā)生了泛洪地址攻擊的現(xiàn)象,交換機會將其學習到的MAC地址直接在地址表中保存下來,由于MAC地址表的容量非常有限,攻擊將呈現(xiàn)出以下特點:虛擬MAC地址持續(xù)產(chǎn)生,使得MAC地址表在很長一段時間內(nèi)都處于被填滿的條件下,網(wǎng)絡(luò)交換機很難在這種條件下學習新的MAC地址,此時,網(wǎng)絡(luò)交換機很難自動區(qū)分MAC地址是否具有目標,一般會直接自動默認MAC地址為無目標地址的狀態(tài),直接將數(shù)據(jù)幀廣播到全部的接口中,當黑客恰好處于這一廣播范圍內(nèi)時,就能夠截獲傳輸過程中的數(shù)據(jù)幀信息,引發(fā)網(wǎng)絡(luò)攻擊行為[3]。從根本上看,MAC地址攻擊實際上利用的是虛擬MAC地址的數(shù)據(jù)包攻擊方式,這些詐騙數(shù)據(jù)包占據(jù)了正常的MAC地址表空間,當用戶無法識別出這種異常占用和攻擊行為時,將蒙受巨大的損失。
2網(wǎng)絡(luò)交換機的安全防護技術(shù)
2.1MAC地址接入限制
網(wǎng)絡(luò)交換機的安全風險巨大,為有效實現(xiàn)安全防護,應根據(jù)風險類型來采取有針對性的防護技術(shù)。網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)傳輸網(wǎng)絡(luò)非常復雜,其中包含了多個接口和出口,如果在系統(tǒng)使用的過程中沒有做好網(wǎng)絡(luò)與業(yè)務系統(tǒng)之間的安全防護,必將加劇安全風險的發(fā)生。在網(wǎng)絡(luò)交換機中,MAC地址實際上是網(wǎng)絡(luò)設(shè)備接入的ID信息,通過MAC地址,網(wǎng)絡(luò)交換機可正常完成數(shù)據(jù)的轉(zhuǎn)換,與此同時,經(jīng)由對設(shè)備ID信息的識別,也就可維持正常的數(shù)據(jù)傳輸。在涉及數(shù)據(jù)傳輸時,一旦網(wǎng)絡(luò)交換機難以找到MAC所對應的條目,該數(shù)據(jù)幀將作為廣播幀來進行相應的處理,由于在MAC地址對照表中只能夠存儲特定數(shù)量的條目,一旦其存儲量達到了容量,新的條目無法被添加到其中,在這種條件下的異常攻擊和訪問較為常見。針對這一方面的攻擊現(xiàn)象,為了實現(xiàn)安全防護,一般可通過限制網(wǎng)絡(luò)交換機端口接入的源MAC地址數(shù)量來實現(xiàn),經(jīng)由這種限制處理的方式,可大大減少地址泛洪問題的出現(xiàn)。MAC地址開展接入認證也對預防這種攻擊非常有效,在這種安全防護技術(shù)的應用過程中,主要是將用戶的MAC地址作為用戶名與密碼,在將用戶接入網(wǎng)絡(luò)時,將同步進行數(shù)據(jù)幀的發(fā)送,與此同時,網(wǎng)絡(luò)設(shè)備對用戶的用戶名與密碼加以分析,這一分析過程也就是認證的過程。
2.2網(wǎng)絡(luò)數(shù)據(jù)加密
網(wǎng)絡(luò)交換機的安全防護過程中,往往包含了多種防護技術(shù),網(wǎng)絡(luò)數(shù)據(jù)加密也是相對有效的防護技術(shù),經(jīng)由這一技術(shù)的規(guī)范化應用,可給數(shù)據(jù)傳輸創(chuàng)造相對安全的網(wǎng)絡(luò)環(huán)境。在很多的企業(yè)體系中,所涉及的很多數(shù)據(jù)都為保密信息,這些信息和數(shù)據(jù)是企業(yè)決策的重要依據(jù),一旦發(fā)生數(shù)據(jù)泄漏,可能會給企業(yè)造成巨大的損失。在網(wǎng)絡(luò)交換機的使用過程中,終端網(wǎng)絡(luò)接入點、路由器連接點、核心網(wǎng)絡(luò)連接路徑都是需要關(guān)注的重點方面,如果能夠結(jié)合網(wǎng)絡(luò)交換機的各個特點來進行數(shù)據(jù)加密技術(shù)的應用,就可大大提高網(wǎng)絡(luò)系統(tǒng)的安全性。在很多大型企業(yè)內(nèi)部,網(wǎng)絡(luò)交換機是信息傳輸?shù)闹薪椋热?,機密文件和數(shù)據(jù)都是經(jīng)由交換機來傳輸?shù)?,通過網(wǎng)絡(luò)數(shù)據(jù)加密,就可構(gòu)建更為安全的網(wǎng)絡(luò)密鑰,進而在通信的過程中實現(xiàn)用戶名、口令的雙重加密。典型的加密模型如圖1所示。
2.3VLAN劃分安全防護技術(shù)
在一些網(wǎng)絡(luò)交換機的安全防護技術(shù)中,也會采用VLAN安全劃分技術(shù),在此技術(shù)的具體應用過程中,一般是將局域網(wǎng)中的各種設(shè)備依據(jù)相應的邏輯來進行不同網(wǎng)段的劃分,在經(jīng)由這種劃分處理以后,各個網(wǎng)段都可形成一個虛擬網(wǎng)絡(luò),在網(wǎng)絡(luò)系統(tǒng)的運行過程中,這些虛擬網(wǎng)絡(luò)可保持虛擬工作的狀態(tài)。由于VLAN安全劃分技術(shù)的有效性,在當下的網(wǎng)絡(luò)交換機安全防護中,這一技術(shù)的應用范圍非常廣,在使用了這一安全技術(shù)后,經(jīng)由VLAN劃分的端口,只有在同網(wǎng)段內(nèi)才可實現(xiàn)數(shù)據(jù)傳輸,在不同的網(wǎng)段之間,數(shù)據(jù)傳輸無法正常開展,一旦某一網(wǎng)段遇到了非法入侵的情況,其他網(wǎng)段的運行和數(shù)據(jù)傳輸都不會受其干擾[4]。
2.4VTP防護技術(shù)
網(wǎng)絡(luò)交換機的安全防護領(lǐng)域中,往往包含了多種多樣的技術(shù),VTP防護技術(shù)的應用,同樣也可起到安全防護的作用。對很多企業(yè)而言,所創(chuàng)設(shè)的網(wǎng)絡(luò)體系中包含有網(wǎng)絡(luò)交換機,利用中繼協(xié)議,就能夠?qū)μ摂M局域網(wǎng)加以重新組建、刪除或者重命名,進而來進行相應的網(wǎng)絡(luò)優(yōu)化。有關(guān)人員在對中繼協(xié)議進行虛擬局域網(wǎng)設(shè)置的過程中,要將局域網(wǎng)信息傳遞給全部的交換機,這些交換機在接收到了這些信息以后,會自動對自身的配置信息加以調(diào)整,確保其信息能夠符合VLAN的要求。對一個VTP而言,其中可以有一臺網(wǎng)絡(luò)交換機,也可有多臺網(wǎng)絡(luò)交換機,全部的網(wǎng)絡(luò)交換機可保持信息和數(shù)據(jù)的共享。通常情況下,VTP包含有多種的工作模式,主要有VTPServer、VTPClient和VTPTransparent,網(wǎng)絡(luò)交換機的初始默認配置為VLAN1,也就是說,VTP模式為服務器[5]。整個的運行過程中,VTPServer負責對VTP域的全部VLAN信息列表加以維護,與此同時,兼具對VLAN的建立、刪除或修改功能,可及時將通告信息發(fā)送并轉(zhuǎn)發(fā)出去,與虛擬局域網(wǎng)的相關(guān)配置信息保持一致,在配置工作結(jié)束以后,最終的信息保存在NVRAM中。VTPClient同樣可對VLAN信息列表起到重要的維護作用,但是其在關(guān)于VLAN的配置信息方面,無法進行VLAN的建立、修改和刪除,可轉(zhuǎn)發(fā)通告同步虛擬局域網(wǎng)配置,但配置信息無法保存。端口隔離如圖2所示。
2.5中繼鏈路防護技術(shù)
在很多主體中,經(jīng)由網(wǎng)絡(luò)交換機的使用和配置,可有效實現(xiàn)全網(wǎng)融合,在構(gòu)建了全網(wǎng)融合的環(huán)境以后,不僅提高了數(shù)據(jù)的整體傳輸效率,更可保持不同模塊之間的信息共享,雖然如此,也同步帶來了較大的安全風險。在全網(wǎng)融合環(huán)節(jié),一般配備有多臺交換機,這些交換機起著相同的作用,每個交換機上都會依據(jù)實際的情況來進行VLAN的劃分,為確保不同處于不同交換機上的VLAN之間可正常通信,提高通信安全性和便捷性,就可利用中繼鏈路技術(shù)來實現(xiàn),這一技術(shù)在應用后,可對網(wǎng)絡(luò)交換機的安全防護起到一定的作用。實際上,中繼鏈路中存在一個特殊的協(xié)議,就是動態(tài)鏈路協(xié)議,在該協(xié)議輔助下,不同交換機上,同ID的VLAN之間可正常通信,當在網(wǎng)絡(luò)環(huán)境中中繼鏈路遭遇了不明攻擊或者異常入侵時,可能會引起數(shù)據(jù)丟失,不法分子在這一情況下可能會利用模擬網(wǎng)絡(luò)交換軟件來進行DTP協(xié)議的啟動,在啟動后與其他網(wǎng)絡(luò)交換機協(xié)商構(gòu)建中繼鏈路,當完成了這一處理后,攻擊者可會直接學習各個網(wǎng)絡(luò)交換機的VLAN,并與之開展通信。針對此類安全威脅,在使用中繼鏈路防護技術(shù)的過程中,可將網(wǎng)絡(luò)交換機上的全部中繼接口都進行對應的設(shè)置,將其設(shè)置為只允許專用的VLAN通過的模式并關(guān)閉全部未使用的端口。
2.6ARP攻擊防護
對于網(wǎng)絡(luò)交換機中所面臨的ARP攻擊,在安全防護處理的過程中,一般可采取以下的防護手段:(1)由專業(yè)人員對交換機連接主機間的網(wǎng)絡(luò)信任關(guān)系建立前提,如果信任關(guān)系僅僅是在IP或者MAC地址的基礎(chǔ)上構(gòu)建的,意味著在網(wǎng)絡(luò)交換機中存在著一定的漏洞,面臨的ARP攻擊風險較大,針對這一現(xiàn)象,可在網(wǎng)絡(luò)中安裝DHCP服務器,并在網(wǎng)關(guān)與客戶端上綁定IP與MAC,修復交換機中的漏洞。IP與MAC綁定環(huán)節(jié),嚴禁DHCP之間的沖突現(xiàn)象,一旦存在沖突,需進行了調(diào)解以后再綁定。(2)在交換機內(nèi)進行靜態(tài)ARP映射表的構(gòu)建,并形成了這一部分以后,可有效克服原先主機刷新映射表時的權(quán)限限制,將ARP維持在相對穩(wěn)定的狀態(tài)下。在經(jīng)由這一處理以后,外部局域網(wǎng)信息一般很難進入其中,雖然這一防護方式的操作相對簡單,實現(xiàn)容易,但是其在安全防護方面存在著一定的限制。也就是說,當主機需頻繁進行局域網(wǎng)的更換時,不能采用這一防護方式。(3)不再使用ARP,并將ARP作為永久條目直接保存于映射表內(nèi),這種做法對預防ARP攻擊非常有效,但用戶的部分權(quán)益受損。(4)安裝防火墻或者網(wǎng)絡(luò)監(jiān)控。
2.7口令加密
網(wǎng)絡(luò)交換機中的安全防護中,口令加密也可進一步起到安全防護的作用,具體來說,就是對一個空白的網(wǎng)絡(luò)交換機開展登錄權(quán)限設(shè)置,全部用戶一旦要介入該交換機,都要進行密碼驗證,如果輸入的密碼不正確,意味著該用戶可能為非法訪問,這種方式下,對有效減少異常訪問非常有限,在口令加密的過程中,可采用明文密碼+密文加密的方式。
3結(jié)束語
網(wǎng)絡(luò)交換機在使用的過程中,雖然給網(wǎng)絡(luò)接入帶來了極大的便捷,但與此同時也增大了網(wǎng)絡(luò)安全威脅,因此,網(wǎng)絡(luò)交換機的使用中,不可忽視安全防護,應結(jié)合網(wǎng)絡(luò)交換機的使用環(huán)境,選擇恰當?shù)陌踩雷o技術(shù)來進行安全優(yōu)化。
參考文獻:
[1]杜愛華.ACL技術(shù)在民航管理信息網(wǎng)安全防護中的應用[J].電腦知識與技術(shù):學術(shù)版,2019,15(9Z):2.
[2]李健容.淺談程控交換機服務器的安全防護方案[J].中國新通信,2018,20(10):175.
[3]董如意,孟范立.交換機系統(tǒng)日志與監(jiān)控配置研究與實踐[J].技術(shù)與教育,2018,32(4):5.
[4]張云龍,陳方,趙萌.基于網(wǎng)絡(luò)交換機安全措施的研究和實現(xiàn)[J].數(shù)字化用戶,2019,25(014):81.
[5]許賢,葉水勇,蔡翔,等.調(diào)度三區(qū)和信息四區(qū)邊界安全防護研究與實踐[J].國網(wǎng)技術(shù)學院學報,2016,19(6):5.
作者:劉怡鈞 單位:中國移動通信集團天津有限公司