摘要:网络交换机是一种网络扩大设备,它可以帮助在原来有限网络接口的基础上增加众多的连接端口,增加局域网终端的连接数量。因此,无论在政府机关、企事业单位、高校还是在各个科研单位中,随着网络规模的不断扩大,这种网络扩大设备的使用也变得越来越多。但是,政府、科研单位、企业等都属于具有一定保密性质的单位,他们的内部数据不能被泄露,否则将可能给他们带来不可预计的损失,因此网络交换机的安全变的非常重要,要充分做好网络交换机的防范工作。本文的重点就是讲述网络交换机的安全威胁以及防范措施。
关键词:络交换机;安全威胁;安全防范
网络交换机在实际使用过程中有着安全、简单、灵活、成本低等特点,可以在各个领域中得到广泛应用。网络交换机又被分成局域交换机、广域交换机两种,其中局域交换机主要在一些企业、行政机关、科研单位中的内部网络中应用,并进行文件、信息的传输工作。
而广域交换机主要在中国移动、电信、网通网络运营商中应用。网络交换机的应用范围较广,在实际应用时常常会受到多种因素的影响,导致网络交换机中还存在着一定的安全漏洞,这对计算机用户来说造成了一定的威胁。
1 网络交换机的工作原理
网络交换机是一个扩大网络的设备,能够为网络中的子网络提供更多的网络接口,从而连接更多的电脑,达到尽可能扩大网络的目的。网络交换机主要由硬件和软件两部分组成。其中,硬件按照功能可分为:(a)数据交换部分,包括主交换芯片、对外接口输出等;(b)控制管理部分,包括主CPU、调试网口、配置口等。软件部分采用平台化、模块化的设计模式,整体分为:(a)平台层,主要负责和用户相关的业务逻辑处理;(b)系统抽象层,主要负责用户数据到驱动的映射;(c)驱动层,主要负责业务逻辑和硬件逻辑的交互。
网络交换机通过运用其在数据链路层的工作原理来实现数据的高速独立传播,虽然不同的电脑连接在一个共同的网络终端设备,但并不相互影响,而是分别传播发送,就像是连通一个交叉口的几条道路。网络交换机就是那个交叉口,要发送的信息数据就是要走在这几条分开道路的行者,虽然从同一个入口进入,但是在不同的线路上并行传播,所以相互之间并不会产生直接冲突,而是独立传输。
2 络交换的安全威胁
2.1毒安全威胁
现阶段,网络病肆虐,网络用户使用者一不留神就导致PC机存留大量的病毒,如果这些病毒不能及时控制就会导致在用户的网络区域中泛滥,占据着用户的网络宽带,造成网络拥堵的现象发生。在这种情况下,还会产生以下几种异常现象:
2.1.1单播类异常报文
这种报文是指在出现异常现象时,系统就会将该异常现象进行不停的发送对应的网络交换机中,而网络交换机的内部系统就会出现文件存储异常现象发生。严重的话还会使网络交换机中存在着大量的病毒,从而对网络地质进行攻击,造成不可挽回的损失;
2.1.2广播类异常报文
这类异常形式主要通过广播报文的形式对相关的网站、网站进行异常攻击,从而导致网站在运行时不会接收到文件,如果不能对该现象开展及时处理就会导致整个网络的传输系统瘫痪,不能正常使用。
2.2未授权交换机端口威胁
一些企业在发展过程中,常常会在自身内部的网络系统中传输重要的机密文件、信息,而这些机密文件信息是不可以外泄的,一旦这些信息被一些非法分子获取,就会对整个企业造成巨大的经济损失。因此,在网络交换机使用过程中一旦出现了未经授权的计算机连接网络交换机的端口中,就会对整个局域的内部网络系统处于一种安全隐患中。比如说,一些工作人员在工作期间将自己的计算机带入到公司进行文件数据,但是他们并不知道自己的计算机存在问题,从而在连接过程中出现问题。
期刊文章分类查询,尽在期刊图书馆
2.3VLAN中攻击威胁
在网络正常运行期间,通过网络交换机设备所划分出来的VLAN都具有一定的网络安全的保护作用。如果没有对应的使用线路的话,VLAN之间的计算机是很难进行通信工作,从而导致其中存在着一定的安全隐患问题。然而,利用DTP,VLAN中的攻击就会以持续的形式出现,并对计算机所连接的交换器进行攻击,从而交换机中的功能很难被发挥出来。
3 网络交换机的安全防范
3.1 网络病毒攻击的安全防范
网络病毒通常会造成大量的流量,如果能够发现通过网络交换机的流量出现异常就可以很容易发现网络中存在病毒。出于安全防范的考虑,通常应对网络交换机的每个端口进行流量限制,这样就算一旦感染了病毒,也不用担心网络会在短时间内瘫痪。针对单播类异常报文,运营商往往采用网间控制报文协议来进行防范;针对广播和组播类异常报文,通常会对网络交换机的端口进行隔离,从而限制报文的单项发送,减少对主机和网络的影响。随着网络的传播,大家应该形成对网络病毒的初步认识,尽可能不从网上下载或者点击不熟悉的页面,避免造成病毒感染,从而导致网络交换机的异常。
3.2 VLAN中继攻击的安全防范
对网络交换机进行安全设置可防止VLAN中继攻击:一是网络交换机的所有中继端口都需要使用VLANID,通过明确的设置,对没有安排端口的DTP进行全面禁止;二是将交换机的IP/MAC设置为非授权访问模式。
3.3 VTP协议攻击的安全防范
为保证VTP域的安全,VTP域可以设置密码,VTP域中所有网络交换机必须要设置成同样的密码。在VTP域中的网络交换机配置了同样的密码后,VTP才能正常工作。而无法或错误识别密码的网络交换机将无法获知VLAN消息。
3.4 地址解析协议攻击的安全防范
针对ARP攻击的安全防范,需要将MAC地址和IP地址进行绑定,同时限制同一个IP地址所在的MAC地址可以同时发送报文的数量,防止众多具有攻击性的报文被发送。通过限制MAC数量、绑定IP和MAC地址,可过滤掉很多不符合条件的异常报文。
3.5生成树协议攻击的安全防范
针对STP攻击的安全防范,需要使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变,同时也可强化STP的域边界。为解决STP收敛速度慢的问题,可在网络交换机上配置使用快速STP,避免在网络重新收敛过程中产生网络回路。
3.6 未经授权主机接入网络交换机端口攻击的安全防范
在政府机关、科研机构和企事业单位等局域网内部,每一个员工都应该分配一个固定的IP,这样就算有员工接入到网络交换机中,由于没有合适的IP,就无法连接到网络中。此外,网络管理员应该统计本单位的计算机MAC地址,从而对网络交换机进行设置,只有单位内部的MAC地址才可进行网络的访问,以有效防范未经授权主机接入网络交换机,进而避免对内部网络造成严重的安全威胁。同时,网络管理员可根据本单位内部的涉密程度,对未经过授权的机器接入到网络交换机中的行为进行处理。比如,一旦发现有未经授权的机器接入到网络交换机中,网络交换机可马上关闭这个网络所有接口,或者是限制这个未经过授权的设备所接入的接口。这些防范措施要根据单位的涉密程度进行设置,比如,单位内部的上网机器就可设置为仅仅限制哪个接口不能够使用;但是机密文件部署网络,就要立马切断所有的网络连接。更有甚者,如果未经授权的网络设备接入到网络交换机中,应立马销毁此机器的所有存储设备,防止更多的机密文件被泄露。
4 结语
交换机作为网络的核心节点,在网络中发挥着不可替代的作用。充分利用交换机的安全保护措施,可以最大限度地防范网络上日益泛滥的各种攻击和侵害,对保护整个网络安全具有十分重大的意义。
参考文献
[1]涛.浅谈企业信息系统安全建设[A].核工业勘察设计(2012特1)[C].2012:10.
[2]世泰,桑世庆,卢晓慧.交换机/路由器配置与管理[M].北京:人民邮电出版社,2010.
论文作者:杜新民,王超亮,王磊,倪忠德,王新永
论文发表刊物:《电力设备》2017年第15期
论文发表时间:2017/10/18
标签:网络论文; 交换机论文; 报文论文; 安全防范论文; 异常论文; 端口论文; 机中论文; 《电力设备》2017年第15期论文;