網絡交換機安全加固策略分析

摘要：大眾生活與工作逐漸與信息網絡建立了密切的關聯，現如今，信息網絡充斥在人們的生活視野中，其安全性受到廣大關注，比如以網絡交換機為例，安全性能日益重要。下文將圍繞網絡交換機展開論述，探討其遭遇的安全威脅，然后分析幾項安全加固措施，使得網絡交換機能夠運行順利，提高信息網絡的安全性。

關鍵詞： 網絡交換機;安全加固;策略

引言：受網絡交換機的影響，信息網絡能夠重組，因此針對信息網絡來說，網絡交換機是非常重要的，存在于接入層到核心層。[1]，如果網絡交換機安全性能受到威脅，存在安全風險就會產生系統漏洞，從而為網絡攻擊者創造了侵犯條件，進而開始攻擊網絡，致使信息網絡難以穩定運行，這是本文主要研究的方向。以網絡交換機為例，將其安全性能為切入點，可以為網絡數據傳輸安全性創造有利的條件，從而避免被黑客和病毒入侵。

一、網絡交換機簡介

站在概念定義的角度，網絡交換機是一種能夠令網絡覆蓋范圍得以擴大的設備，可以使子網絡獲得更多的連接端口，這樣可以輕松連接計算機。[2]截至目前，企業開始廣泛應用信息化技術，交換機的優點非常多，不僅操作簡單，而且活動靈活，且性價比高，最為主要的是易于實現，是局域網組網技術關鍵部分，不論是接入層，還是匯聚層，亦或是核心層，其作用是非常重要的。網絡交換機不僅具有數據轉發功能，即使受到黑客攻擊，也不會降低數據轉發速率，而且不會干擾，這一點顯得彌足珍貴。

二、網絡交換機面臨的安全威脅

通過一些現有的網絡安全事件中，結合交換機工作原理，我們可以發現最大的安全威脅來自于ARP、DOS攻擊以及MAC地址泛洪攻擊，對于網絡攻擊者而言， MAC地址學習機制為他們提供了可乘之機，這相當于交換機的工作原理，使得攻擊者能夠偽造很多MAC地址數據，這就使得CAM被不法數據信息填滿， MAC正常用戶難以在CAM表中錄入地址條目，廣播成了網絡交換機傳輸數據主要方式，還能獲得他人的報文信息。以DOS攻擊為例，這是一種分布式攻擊，也是拒絕服務攻擊，在攻擊的過程中，會借助互聯網帶寬工具，大肆攻擊主機，令局域網系統一切現存的網絡資源被消耗，這樣合法用戶很難請求通過。以ARP攻擊為例，主要對以太網地址協議解析進行干擾，在網絡的作用下，攻擊者能夠更改數據封裝包，致使用戶計算機系統難以實施連接工作，主要攻擊行為是ARP欺騙、ARP泛洪攻擊。

三、網絡交換機安全加固措施的實現

（一）加強硬件安全及版本升級

如果想深度應用信息化，應以信息網絡為主，時至今日，信息化深化應用相比以往逐漸加深，信息安全問題重要性到達一個新高度，和信息系統相關的網絡安全問題也被提上征程。[3]這就意味著我們應防范網絡交換機的安全風險，最大限度減小由于漏洞問題而造成核心數據的失控，及時更新交換機IOS版本，如果版本過低，會存在不穩定性。

比如在設備FLASH容量允許時，可以在原版本基礎上進行升級，尤其是高端核心交換機，這是不可缺少的步驟，在特殊情況下，將設備的FLASH進行升級，以便下載IOS版本。與此同時，也是為了提高信息網絡的穩定性。針對于比較重要的部件，配置是雙機or常用板卡時，為了不影響網絡交換機的正常運行，減少其發生故障的幾率，使得網絡系統連接端口可以繼續運行，這樣便提高了信息網絡數據傳輸的穩定性。

（二）訪問控制設置并啟用日志功能

在維護網絡交換機運行的過程中，通常采取本地維護的方式，如果需要開啟遠程運維，需要考慮交換機訪問控制是否足夠安全，是否不會讓不法分子鉆空子，這就應對訪問控制和登錄方式采取高端的加固措施。[4]無論是Vty口登陸，還是Console口登陸，設置密碼時，要具有足夠的安全性，可以通過MD5方法進行加密。

比如除了特殊情況，應減少遠程管理的使用次數，針對于遠程管理而言，拒絕使用telnet訪問，可以選擇訪問控制的方式、SSH遠程管理方式，也可以選擇訪問控制方式，再或者由配置不同權限的用戶限制訪問權限，應配置合理的時間限制，在此基礎上還要配置相應的登陸次數等，達到一定配置參數后，將該用戶登錄進行鎖定。除此之外還可以使用日志功能。如果交換機空間不夠充分，網絡交換機有必要配備日志服務器，如此一來，憑借搜尋日志文件就能或之登錄過該設備的用戶名，還可以查詢登錄時間，并且可以查詢登錄該設備后用戶的一系列命令和操作等，但可以獲得充足的依據去發現潛在的攻擊者。如此一來，如果出現網絡運行故障，操作人員可以第一時間調取設備故障數據，依據這些信息進行分析和預控。

（三）端口、服務最小化開放原則

為了避免出現漏洞，使得攻擊者有可乘之機，如果端口不需要開發，則不對其進行開發，對于一些不必要的服務，采取不打開的原則，只保留需要開放的端口。

比如在開展日常工作的過程中，為了避免MAC地址被泛洪攻擊，每個接入端口只接入一臺客戶機，如果存在多用戶接入的情況，需要合理設置接入數量，對于沒有必要應用的端口，可以進行關閉處理。

（四）ACL配置

為了提高交換機運行的穩定性，避免入侵者利用不安全的服務，在三層網絡交換機配置上，應屏蔽蠕蟲端口，這就需要選擇配置相應的ACL。與此同時，為了進一步提高安全性，應結合每個網段業務訪問狀況，科學的配置ACL，這樣能夠減少安全風險。

結語：現如今，信息技術被廣泛應用，信息安全問題逐漸被大眾所重視，對于信息技術而言，網絡安全是其基礎，其重要性與日俱增，要想令網絡交換機的信息安全得到保障，技術人員對此要引起足夠的重視，避免潛在的網絡風險“興風作浪”，做好交換機安全配置的工作，提高其安全性能，還需要繼續研究，深入挖掘潛在的風險，然后選擇科學的措施，提高信息網絡的安全性。

參考文獻

[1]范靜，陳睿.基于網絡交換機安全措施的研究和實現[J].華東電力，2014（5）：1048-1049.

[2]侯麗娟，網絡交換機安全加固措施的實現[J].科技傳播，2017（24）：117-118.

[3]高彥，陳曉燕.基于局城網的安全加固策略研究[J].電子測試，2018（10）：123.

作者簡介：

鄭桐賀（1983-），男，漢族，遼寧鐵嶺，學士，講師，主要研究方向：網絡設備管理，云計算等。