網絡交換機安全加固措施的實現

侯麗娟

摘 要 隨著信息網絡的不斷發展及延伸應用，信息網絡安全日趨重要，而網絡中的主要組成部分網絡交換機的安全性能要求也越來越高。本文針對信息網絡系統中網絡交換機面臨的安全威脅，提出幾種網絡交換機的安全加固措施，有效提升信息網絡安全。

關鍵詞 網絡交換機；安全威脅；加固措施

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）201-0117-02

一般而言，信息網絡的組網離不開網絡交換機，網絡交換機可以說是信息網絡的主要部分，分別部署于從接入層到核心層，當網絡交換機存在安全風險時，網絡攻擊者就會通過系統漏洞，對網絡系統進行攻擊，就會直接影響到信息網絡的安全穩定運行，這也是本文研究的現實意義所在，從網絡交換機自身的安全性能著手，提高網絡數據傳輸的安全性，有效地防止病毒和黑客的惡意入侵。

1 網絡交換機簡介

從概念定義上來看，網絡交換機可以被看作是一種能夠擴大網絡覆蓋范圍的器材，可以為子網絡提供出更多的連接端口，從而方便連接上更多的計算機。伴隨著信息化技術在企業的不斷深入應用，交換機以其性價比高、活動靈活，操作簡單，還有易于實現等一系列優點，已成為了局域網組網技術中非常重要的組成部分，從接入層、匯聚層、甚至核心層，并且發揮著相當重要的作用。網絡交換機除了發揮其數據轉發功能外，在黑客攻擊和病毒侵擾下，仍能繼續保持其高效的數據轉發速率，不受到攻擊的干擾，顯得尤為重要[ 1 ]。

2 網絡交換機面臨的安全威脅

在長期的工作實際中以及現存的網絡安全事件報道中，根據交換機的工作原理，可以看出，目前網絡交換機面前的主要安全威脅有MAC地址泛洪攻擊、DOS攻擊、ARP攻擊等安全威脅。

MAC地址泛洪攻擊，攻擊者利用交換機的工作原理即MAC地址學習機制，偽造的大量的MAC地址數據包，導致CAM被大量非法用戶的數據信息填滿，而正常用戶的MAC地址條目將無法寫入CAM表，使網絡交換機選擇廣播的方式傳輸數據，從而獲取其他人的報文信息。

DOS攻擊即拒絕服務攻擊，DOS攻擊主要是分布式攻擊，在攻擊時，會充分運用一些互聯網帶寬工具，集中力量對主機進行攻擊，使得局域網系統所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。

ARP攻擊是一種專門針對以太網地址協議解析的攻擊技術，攻擊者能夠通過網絡去修改數據的封裝包，進而導致用戶的計算機系統不能夠正常地進行連接工作，具體的攻擊行為是ARP泛洪攻擊和ARP欺騙。

3 網絡交換機安全加固措施的實現

3.1 加強硬件安全及版本升級

信息網絡是信息化深化應用的基礎，在信息化深化應用的今天，信息安全問題日趨重要，信息系統的基礎網絡安全也不可小覷，因此針對網絡交換機的安全風險進行防范，避免一些漏洞問題而引發整個信息網絡核心數據的失密和失控，首先我們需要確保交換機軟件IOS版本的及時更新，版本較低會帶來安全性和穩定性方面的隱患，因此要求在設備的FLASH容量允許的情況下升級到較新的版本，對于一些高端的核心交換機尤其重要，必要情況下可升級設備的FLASH容量，以便于IOS更新版本的下載使用。同時確保信息網絡的安全及穩定性，對一些重要節點重要部件，配置為雙機或配置一些常用的板卡等等，避免當網絡交換機出現故障的時候，網絡系統連接的設備及端口都可以正常運行，從而有效地提升信息網絡數據傳輸的安全性和穩定性。

3.2 訪問控制設置并啟用日志功能

在網絡交換機的日常運維中，較為安全的是采用本地維護，但是當必須開啟遠程運維時，如何確保交換機自身訪問控制的安全性，不給不法分子留下漏洞，就需要對登錄方式及訪問控制上進行安全加固。首先，確保所有訪問控制的線路，不管是Console口還是Vty口登錄，確保密碼的復雜度需要符合安全性要求，且使用MD5加密方法對其加密。

其次，盡可能少的使用遠程管理，假如是需要遠程管理的話，禁用telnet訪問，選擇SSH遠程管理方式，及采用訪問控制的方式（即只允許某臺客戶端對其進行遠程管理）以及配置不同權限的用戶對訪問權限進行限制，且配置相應的嘗試登錄次數及時間限制，超過配置的參數后，鎖定該用戶登錄。

再次，啟用日志功能。若交換機沒有足夠的空間，為所管理的網絡交換機指定統一的日志服務器，在日志文件中能統一的記錄登錄過該設備的用戶名、時間和所作的命令操作等詳細信息，為發現潛在攻擊者的不良行為提供有力依據。這樣一旦出現了網絡運行故障的話，可以方便操作人員準確調取交換機設備的故障信息，便于故障的分析以及預控。

3.3 端口、服務最小化開放原則

為了避免給攻擊者留下漏洞可攻，在交換機的配置上，我們一般采取端口、服務最小化開放原則，即不需要開放的端口，不給予開放，不需要的服務，嚴格關閉，僅保留所需要的端口及承載業務所必需的網絡服務。例如在實際工作中，為了防止MAC地址泛洪攻擊，對于接入交換機層限定接入端口的數量，即每一接入端口一般情況下僅允許一臺客戶機接入，假如有多用戶接入的需求，也將嚴格設置接入數量，不需要使用的端口采用關閉措施。

3.4 網絡準入控制實現

網絡準入控制的目的主要是為了能夠有效控制App攻擊，防止非法用戶的惡意入侵，解決訪問地址沖突的問題，從而提高網絡交換機的安全性，具體可以通過802.1x網絡準入控制、IP-MAC綁定技術、以及在交換機上配置DHCP Snooping檢測來實現對網絡的準入控制。一般可以根據公司的實際情況，采取不同的準入控制措施，也可以結合起來應用。在實際工作中，一般可以采用IP-MAC地址綁定結合交換機上配置動態ARP檢測，對于IP-MAC地址綁定工作可以通過DHCP服務器來實現綁定功能，在配置上操作上來說也稍微簡單，因此該方法配置及維護相對而言較易實現。

3.5 ACL配置

為了確保交換機穩定安全的運行，在三層網絡交換機配置上，通常采用配置相應的ACL，對蠕蟲端口進行屏蔽，關閉不安全的服務避免被入侵者利用。同時為了安全起見，可以根據每個網段的業務訪問情況，精確配置ACL，進一步減少安全風險。

4 結論

綜上所述，在信息技術深入應用的今天，信息安全問題已成重要的安全問題，因此作為信息技術的基礎，網絡安全也日趨重要，維護好基礎設備即網絡交換機的信息安全，不僅需要相關技術人員的高度重視，對于已知的網絡風險，在網絡源頭即交換機的安全配置上，狠下功夫，確保安全，同時也需要繼續深入研究，積極發現一些潛在的安全風險，積極采取有效的安全加固措施，確保信息網絡的安全。

參考文獻

[1]范靜，陳睿.基于網絡交換機安全措施的研究和實現[J].華東電力，2014，42（5）：1048-1049.endprint