基于交換機(jī)技術(shù)構(gòu)建局域網(wǎng)的安全策略

孟莉

北京林業(yè)大學(xué)圖書館 北京 100083

0 引言

現(xiàn)今局域網(wǎng)技術(shù)已經(jīng)非常成熟，在網(wǎng)絡(luò)架構(gòu)中逐漸形成以千兆三層交換機(jī)為核心的主流網(wǎng)絡(luò)模型。隨著人們對(duì)網(wǎng)絡(luò)依賴程度日益增強(qiáng)，網(wǎng)絡(luò)的安全性和可靠性愈來(lái)愈重要。同時(shí)計(jì)算機(jī)病毒種類越來(lái)越多，手段也不斷升級(jí)。如果缺乏一定的安全保障，無(wú)論是公共還是企業(yè)專用網(wǎng)都難以抵擋網(wǎng)絡(luò)攻擊非法入侵。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部使用者帶來(lái)的威脅。所以核心交換機(jī)優(yōu)化配置對(duì)局域網(wǎng)的安全性尤為重要，下面通過(guò)優(yōu)化VLAN、訪問(wèn)控制列表、端口綁定等技術(shù)構(gòu)建局域網(wǎng)的安全策略。

1 虛擬局域網(wǎng)VALN

虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，主流應(yīng)用還是在具有VLAN協(xié)議的第三層以上交換機(jī)之中，以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)，解決了交換機(jī)在局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)。合理劃分VLAN，增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)。

1.1 劃分VLAN

目前的 VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn) MAC地址的 VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

局域網(wǎng)內(nèi)各部門計(jì)算機(jī)使用VLAN進(jìn)行隔離，根據(jù)工作性質(zhì)將相關(guān)職能部門的計(jì)算機(jī)邏輯地劃分到一起，而不依賴于設(shè)備的物理位置。這樣首先實(shí)現(xiàn)了第二層的安全，非本虛擬網(wǎng)絡(luò)的計(jì)算機(jī)在第二層無(wú)法與該虛網(wǎng)通訊。在第三層或更高層通過(guò)路由過(guò)濾或防火墻提供該虛擬網(wǎng)絡(luò)的更高級(jí)的安全；通過(guò)設(shè)置訪問(wèn)控制策略來(lái)控制其他部門的非法訪問(wèn)；劃分VLAN是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止大部分基于網(wǎng)絡(luò)偵聽的入侵。按照功能的不同劃分 VLAN，如網(wǎng)絡(luò)設(shè)備與網(wǎng)管劃為一個(gè)VLAN10、內(nèi)部服務(wù)器劃為VLAN20、財(cái)務(wù)部門劃為VLAN30、其他部門劃為VLAN40等。

1.2 配置VLAN

以思科cisco4506為例說(shuō)明具體配置過(guò)程。

1.2.1 創(chuàng)建VLAN

M4506# configure terminal

M4506 (config)# vlan 10

M4506 (config-vlan)# name admin20

M4506 (config-vlan)# end

M4506)# wr

1.2.2 分配IP地址段

M4506 (config)#interface Vlan10

M4506 (config)#ip address 192.168.100.1 255.255.255.0

M4506 (config)# end

M4506)# wr

2 訪問(wèn)控制列表

訪問(wèn)控制列表(Access Control List，ACL)，它對(duì)進(jìn)出路由的報(bào)文信息進(jìn)行匹配，基于數(shù)據(jù)報(bào)文的源IP地址、目的IP地址和應(yīng)用類型等規(guī)則來(lái)控制網(wǎng)絡(luò)的數(shù)據(jù)流向，每一個(gè)從路由器接口進(jìn)出的報(bào)文都要同訪問(wèn)表的規(guī)則進(jìn)行自上而下的順序比較操作，決定報(bào)文被允許通過(guò)或是被拒絕丟棄。訪問(wèn)控制列表是底層網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問(wèn)。ACL分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表。標(biāo)準(zhǔn)訪問(wèn)控制列表只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查而不考慮目的地址和端口號(hào)等過(guò)濾選項(xiàng)。其IP列表的數(shù)字表示范圍為1～99。擴(kuò)展訪問(wèn)控制列表則對(duì)數(shù)據(jù)包中的源地址、目的地址、協(xié)議、端口號(hào)、優(yōu)先級(jí)、服務(wù)級(jí)類型等選項(xiàng)進(jìn)行過(guò)濾，并可以動(dòng)態(tài)地分時(shí)間段來(lái)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。其IP列表的數(shù)字表示范圍100～199。

2.1 ACL主要應(yīng)用

網(wǎng)絡(luò)中有資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。在實(shí)施 ACL的過(guò)程中，應(yīng)當(dāng)遵循如下兩個(gè)基本原則：

(1) 最小特權(quán)原則：只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。

(2) 最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。

2.2 創(chuàng)建及使用ACL

創(chuàng)建ACL列表110

M4506 (config)#access-list 110 permit tcp host 192.168.100.20 host 92.168.100.5 eq telnet

M4506 (config)#access-list 110 deny tcp any host 192.168.100.5 eq telnet

M4506 (config)#access-list 110 permit ip any any

只有 ip 192.168.100.20能 telnet訪問(wèn)服務(wù)器 192.168.100.5，其余主機(jī)都不能訪問(wèn)。

應(yīng)用ACL列表110

M4506 (config)#interface Vlan10

M4506 (config)#ip access-group 110 out

M4506 (config)# end

M4506)# wr

3 交換機(jī)端口安全

交換機(jī)端口安全即MAC地址與交換機(jī)端口綁定，即根據(jù)MAC地址進(jìn)行網(wǎng)絡(luò)流量的控制和管理，能根據(jù)MAC地址確定允許訪問(wèn)的設(shè)備，允許訪問(wèn)設(shè)備的MAC地址既可以手工配置，也可以從交換機(jī)“學(xué)到”，當(dāng)一個(gè)未批準(zhǔn)的 MAC地址試圖訪問(wèn)端口的時(shí)候，交換機(jī)會(huì)掛起或者禁用該端口。比如 MAC地址與具體的端口綁定，可限制該端口通過(guò)的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過(guò)。如果IP與MAC地址的綁定，可以有效的防止IP被盜用。端口配置如下：

以思科4506為例，在三層端口gi3/12上限制mac流量。

M4506 #config t

M4506 (config) #int gi3/12

M4506 (config-if) #arp ip mac arpa

M4506 (config) #end

M4506 #wr

4 結(jié)束語(yǔ)

綜上所述，LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)，增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性；訪問(wèn)控制列表技術(shù)方便網(wǎng)絡(luò)管理，有效保護(hù)資源服務(wù)器的安全，加強(qiáng)了網(wǎng)絡(luò)的安全性。端口安全能根據(jù)MAC地址對(duì)網(wǎng)絡(luò)流量進(jìn)行控制和管理，限制具體端口通過(guò)的MAC地址的數(shù)量。網(wǎng)絡(luò)安全工作是一項(xiàng)長(zhǎng)期的任務(wù)，網(wǎng)絡(luò)管理人員要加強(qiáng)防范意識(shí)，更好地保護(hù)各種資源。

[1]曾曠怡,楊家海.訪問(wèn)控制列表的優(yōu)化問(wèn)題[J].軟件學(xué)報(bào).2007.

[2]Malik.王寶生,朱培棟,白建軍譯.網(wǎng)絡(luò)安全原理與實(shí)踐[M].北京:人民郵電出版社.2008.

[3]周游.校園網(wǎng)絡(luò)安全解決方案之訪問(wèn)控制列表.電腦知識(shí)與技術(shù).2009.

[4]劉軍,王彩萍.ACL在 IP網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程.2009.

[5]賀斌.徐小華利用訪問(wèn)控制列表構(gòu)建安全網(wǎng)絡(luò)[J].科技信息.2010.