基于交換機技術的網絡安全策略解析

辛蕾

【摘要】網絡時代的到來使得安全問題成為一個迫切需要解決的問題。病毒、黑客以及各種各樣漏洞的存在，使得安全任務在網絡時代變得無比艱巨。交換機是整個網絡中的核心部分，所以解決網絡安全問題需要著重從交換機方面尋找突破，進而提出相關策略以提高網絡的安全性。為此，本文將從交換機技術角度解析網絡安全的有關策略。

【關鍵詞】交換機技術網絡安全

近年來，隨著全球信息化的發展，網絡環境紛繁復雜，人們在正常的網絡交流與信息資源傳輸過程中往往容易遭受黑客組織的惡意干擾和攻擊。同時，由于傳統的防火墻技術無法阻止黑客使用Cain、Dsniff等系統技術或工具對局域網流量傳送的惡意破壞與攻擊，人們對網絡安全提供了更高的要求。由于交換機是整個網絡的核心部分，因此解決網絡安全首先要從交換機方面尋找突破，進而解析網絡安全的有關策略。

一、交換機的定義和功能

交換機的英文名稱為“Switch”，它是集線器的升級換代產品，從外觀上來看，它與集線器基本上沒有多大區別，都是帶有多個端口的長方體。交換機是按照通信兩端傳輸信息的需要，用人工或設備自動完成的方法把要傳輸的信息送到符合要求的相應路由上的技術統稱。廣義的交換機就是一種在通信系統中完成信息交換功能的設備。

交換機最重要的功能就是安全功能，通過轉發數據，在黑客攻擊和病毒侵擾下，交換機要能夠繼續保持其高效的數據轉發速率，不受到攻擊的干擾，這就是交換機最基本的安全功能。同時，交換機作為整個網絡的核心，應該能對訪問和存取網絡信息的用戶進行區分和權限控制。更重要的是，交換機還應配合其他網絡安全設備，對非授權訪問和網絡攻擊進行監控和阻止。

二、交換機的網絡安全問題

局域網交換機對提高網絡性能產生了很大的幫助，但是有些機構往往出于政治或者經濟原因而無法自由地將網絡限制在第二層，從而利用交換的好處。交換機提供了必要的控制方面的隔離，但它也成為最重要的也是最昂貴的瓶頸。結果，服務器的采用與網絡的層次結構有關，限制了網絡初衷所想提供的自由。

同時，所有的用戶都被賦予相同的網絡訪問權限，而不考慮他們的重要程度或者桌面計算機的速度。網絡不能為特殊的用戶或者服務器分配更高的優先級。高優先級的事務和應用必須給予更大的網絡訪問權限。由此，逐漸提出了二層交換機和三層交換機，并提供了VLAN等既可以滿足用戶快速通信的需要，又具有一定的安全性的技術方法。

三、基于交換機技術的網絡安全策略解析

1.基于端口的傳輸控制。一般地，交換機都具有基于端口的傳輸控制功能，能夠實現風暴控制、端口保護以及端口安全等。一是風暴控制。當端口接收到大量的廣播獲多播包時，就會發生廣播風暴，并且轉發這些數據包將導致網絡速度變慢或者超時。因此，通過對端口的廣播風暴控制，在某些數據包過量時，交換機會暫停該類數據包的轉發，從而有效地避免硬件損壞或故障導致的網絡癱瘓。二是保護端口。保護端口可以確保同一交換機上的端口之間不進行通信。因為保護端口不向其他保護端口轉發任何單播、多播或者廣播包傳輸，要實現保護端口間的傳輸，都必須通過第三層設備轉發。因此，可以采取阻塞端口的方式，防止未知的單播或者多播通信在端口間轉發。三是端口安全。借助端口安全設置，可以只允許制定的MAC地址或指定數量的MAC地址訪問某個端口，從而避免未經授權的計算機接入網絡，或限制某個端口所連接的計算機數量，從而確保網絡接入的安全。

2.虛擬局域網VLAN技術。虛擬局域網是安全交換機必不可少的功能。VLAN可以在二層后者三層交換機上實現有限的廣播域，它可以把網絡分成一個一個獨立的區域，也可以控制這些區域是否可以通訊。VLAN可能跨越一個或者多個交換機，與它們的物理位置無關，設備之間好像在同一個網絡之間通信一樣。VLAN可以在各種形式上形成，如端口、MAC地址和IP地址等。

3.利用NetFlow來增強網絡安全性。在局域網的運作中，其會因為遭受大范圍的分布式拒絕服務攻擊而影響正常的工作，或是發生網絡癱瘓。為了增強網絡的安全性，將NetFlow引用到Cisco路由器以及某些高端交換機上，以實現對網絡上拒絕服務攻擊，蠕蟲病毒等的探測，從而降低網絡使用過程中的危險性。由于網絡中的交換機分布密集，因而在交換機上使用NetFlow，并結合其他流量監控管理軟件，以實現對異常流量的監控，包括監控異常流量的種類、大小、源頭、流向、端口、危害等。

4.基于訪問控制列表的防火墻功能。安全交換機采用了訪問控制列表ACL來實現包過濾防火墻的安全功能，增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中，訪問控制過濾措施可以基于源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或者MAC地址來實現。ACL不但可以讓網絡管理者用來制定網絡策略，針對個別用戶或特定的數據流進行允許或者拒絕的控制，讓黑客找不到網絡中的特定主機進行探測，從而無法發動攻擊。