網絡交換機的安全防護技術研究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡交換機的安全防護技術研究范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:互聯網時代到來以后,網絡環境日趨復雜,網絡系統中包含的網絡設施越來越多,尤其是網絡交換機的配置,可以提供更多的連接端口,滿足子網之間的連接需求。雖然我國的網絡技術取得了顯著的發展,但因為網絡本身的開放性,使得在網絡交換機的使用過程中,常常會存在一定的安全風險,為創造安全的網絡環境,在網絡交換機中的安全防護技術應用尤為重要。基于此,本文重點分析了網絡交換機中的幾種安全防護技術,對提高網絡交換機的安全性有著重要的作用。
關鍵詞:網絡交換機;安全防護;技術應用
近年來,隨著各行各業發展過程中對網絡技術的應用,人們越來越意識到了網絡安全的重要性,尤其是網絡交換機作為一種聯網設備,在使用的過程中面臨著來自各個方面的安全風險,如果缺乏對各類安全風險的有效防控,在網絡環境和設備遇到了安全威脅后,造成的損失巨大。在網絡技術不斷發展的過程中,人們已經將安全防護作為了網絡交換機的重點工作,陸續出現了多種的安全防護技術,這些技術的應用,有效降低了網絡交換機的安全風險,對信息安全傳輸、非法入侵防御都有重要的作用。
1網絡交換機常見的安全風險
1.1ARP攻擊
網絡交換機在運行和使用的過程中,處于極端復雜的網絡環境下,這就使得網絡交換機常常會遇到諸多因素的干擾,其中,ARP攻擊十分常見,這種攻擊對網絡交換機的正常使用有著嚴重的危害。根據網絡交換機中ARP攻擊的原理,主要表現在:TCP/IP協議棧中往往包含了多個層級,其中,ARP僅僅為其中的一個網絡層,在網絡環境下,ARP可將特定的IP地址解析出來,快速生成MAC地址,其在網絡環境中的作用,決定了ARP往往會受到TCP/IP協議的影響,尤其是如果其中存在有漏洞的情況下,黑客可能會利用這些漏洞來進行相應的ARP病毒發送,由于網絡交換機與網絡系統中其他設備之間的關聯關系,這些ARP病毒可能會快速進入到計算機系統內部,向計算機系統發送大量的ARP詐騙數據包,當出現了這一現象后,網絡環境中將發生通道阻塞、設備承載過大的問題,很難保障網絡條件下的通信質量與安全,如果處理不及時將引發大面積癱瘓現象[2]。
1.2MAC地址攻擊
網絡交換機的使用過程中,MAC地址攻擊的出現頻次也相對較高,但根據這種攻擊的特點,更多地是以海量詐騙數據包的發送為主。結合其攻擊原理:經由網絡交換機的運行情況和功能特點,在交換機接收到了數據幀以后,將同步生成MAC學習源,依據學習源的MAC地址來構建MAC地址表,在形成了該地址表以后,可進行MAC地址表的查找,經由學習來確認在該地址表中的各個MAC地址是否有對應的傳輸目標,如果發現MAC地址有傳輸目標,可直接選用單獨轉發的模式,但如果都沒有傳輸目標,則采用廣播到全部接口的方式。當在網絡交換機的使用過程中發生了泛洪地址攻擊的現象,交換機會將其學習到的MAC地址直接在地址表中保存下來,由于MAC地址表的容量非常有限,攻擊將呈現出以下特點:虛擬MAC地址持續產生,使得MAC地址表在很長一段時間內都處于被填滿的條件下,網絡交換機很難在這種條件下學習新的MAC地址,此時,網絡交換機很難自動區分MAC地址是否具有目標,一般會直接自動默認MAC地址為無目標地址的狀態,直接將數據幀廣播到全部的接口中,當黑客恰好處于這一廣播范圍內時,就能夠截獲傳輸過程中的數據幀信息,引發網絡攻擊行為[3]。從根本上看,MAC地址攻擊實際上利用的是虛擬MAC地址的數據包攻擊方式,這些詐騙數據包占據了正常的MAC地址表空間,當用戶無法識別出這種異常占用和攻擊行為時,將蒙受巨大的損失。
2網絡交換機的安全防護技術
2.1MAC地址接入限制
網絡交換機的安全風險巨大,為有效實現安全防護,應根據風險類型來采取有針對性的防護技術。網絡系統內的數據傳輸網絡非常復雜,其中包含了多個接口和出口,如果在系統使用的過程中沒有做好網絡與業務系統之間的安全防護,必將加劇安全風險的發生。在網絡交換機中,MAC地址實際上是網絡設備接入的ID信息,通過MAC地址,網絡交換機可正常完成數據的轉換,與此同時,經由對設備ID信息的識別,也就可維持正常的數據傳輸。在涉及數據傳輸時,一旦網絡交換機難以找到MAC所對應的條目,該數據幀將作為廣播幀來進行相應的處理,由于在MAC地址對照表中只能夠存儲特定數量的條目,一旦其存儲量達到了容量,新的條目無法被添加到其中,在這種條件下的異常攻擊和訪問較為常見。針對這一方面的攻擊現象,為了實現安全防護,一般可通過限制網絡交換機端口接入的源MAC地址數量來實現,經由這種限制處理的方式,可大大減少地址泛洪問題的出現。MAC地址開展接入認證也對預防這種攻擊非常有效,在這種安全防護技術的應用過程中,主要是將用戶的MAC地址作為用戶名與密碼,在將用戶接入網絡時,將同步進行數據幀的發送,與此同時,網絡設備對用戶的用戶名與密碼加以分析,這一分析過程也就是認證的過程。
2.2網絡數據加密
網絡交換機的安全防護過程中,往往包含了多種防護技術,網絡數據加密也是相對有效的防護技術,經由這一技術的規范化應用,可給數據傳輸創造相對安全的網絡環境。在很多的企業體系中,所涉及的很多數據都為保密信息,這些信息和數據是企業決策的重要依據,一旦發生數據泄漏,可能會給企業造成巨大的損失。在網絡交換機的使用過程中,終端網絡接入點、路由器連接點、核心網絡連接路徑都是需要關注的重點方面,如果能夠結合網絡交換機的各個特點來進行數據加密技術的應用,就可大大提高網絡系統的安全性。在很多大型企業內部,網絡交換機是信息傳輸的中介,比如,機密文件和數據都是經由交換機來傳輸的,通過網絡數據加密,就可構建更為安全的網絡密鑰,進而在通信的過程中實現用戶名、口令的雙重加密。典型的加密模型如圖1所示。
2.3VLAN劃分安全防護技術
在一些網絡交換機的安全防護技術中,也會采用VLAN安全劃分技術,在此技術的具體應用過程中,一般是將局域網中的各種設備依據相應的邏輯來進行不同網段的劃分,在經由這種劃分處理以后,各個網段都可形成一個虛擬網絡,在網絡系統的運行過程中,這些虛擬網絡可保持虛擬工作的狀態。由于VLAN安全劃分技術的有效性,在當下的網絡交換機安全防護中,這一技術的應用范圍非常廣,在使用了這一安全技術后,經由VLAN劃分的端口,只有在同網段內才可實現數據傳輸,在不同的網段之間,數據傳輸無法正常開展,一旦某一網段遇到了非法入侵的情況,其他網段的運行和數據傳輸都不會受其干擾[4]。
2.4VTP防護技術
網絡交換機的安全防護領域中,往往包含了多種多樣的技術,VTP防護技術的應用,同樣也可起到安全防護的作用。對很多企業而言,所創設的網絡體系中包含有網絡交換機,利用中繼協議,就能夠對虛擬局域網加以重新組建、刪除或者重命名,進而來進行相應的網絡優化。有關人員在對中繼協議進行虛擬局域網設置的過程中,要將局域網信息傳遞給全部的交換機,這些交換機在接收到了這些信息以后,會自動對自身的配置信息加以調整,確保其信息能夠符合VLAN的要求。對一個VTP而言,其中可以有一臺網絡交換機,也可有多臺網絡交換機,全部的網絡交換機可保持信息和數據的共享。通常情況下,VTP包含有多種的工作模式,主要有VTPServer、VTPClient和VTPTransparent,網絡交換機的初始默認配置為VLAN1,也就是說,VTP模式為服務器[5]。整個的運行過程中,VTPServer負責對VTP域的全部VLAN信息列表加以維護,與此同時,兼具對VLAN的建立、刪除或修改功能,可及時將通告信息發送并轉發出去,與虛擬局域網的相關配置信息保持一致,在配置工作結束以后,最終的信息保存在NVRAM中。VTPClient同樣可對VLAN信息列表起到重要的維護作用,但是其在關于VLAN的配置信息方面,無法進行VLAN的建立、修改和刪除,可轉發通告同步虛擬局域網配置,但配置信息無法保存。端口隔離如圖2所示。
2.5中繼鏈路防護技術
在很多主體中,經由網絡交換機的使用和配置,可有效實現全網融合,在構建了全網融合的環境以后,不僅提高了數據的整體傳輸效率,更可保持不同模塊之間的信息共享,雖然如此,也同步帶來了較大的安全風險。在全網融合環節,一般配備有多臺交換機,這些交換機起著相同的作用,每個交換機上都會依據實際的情況來進行VLAN的劃分,為確保不同處于不同交換機上的VLAN之間可正常通信,提高通信安全性和便捷性,就可利用中繼鏈路技術來實現,這一技術在應用后,可對網絡交換機的安全防護起到一定的作用。實際上,中繼鏈路中存在一個特殊的協議,就是動態鏈路協議,在該協議輔助下,不同交換機上,同ID的VLAN之間可正常通信,當在網絡環境中中繼鏈路遭遇了不明攻擊或者異常入侵時,可能會引起數據丟失,不法分子在這一情況下可能會利用模擬網絡交換軟件來進行DTP協議的啟動,在啟動后與其他網絡交換機協商構建中繼鏈路,當完成了這一處理后,攻擊者可會直接學習各個網絡交換機的VLAN,并與之開展通信。針對此類安全威脅,在使用中繼鏈路防護技術的過程中,可將網絡交換機上的全部中繼接口都進行對應的設置,將其設置為只允許專用的VLAN通過的模式并關閉全部未使用的端口。
2.6ARP攻擊防護
對于網絡交換機中所面臨的ARP攻擊,在安全防護處理的過程中,一般可采取以下的防護手段:(1)由專業人員對交換機連接主機間的網絡信任關系建立前提,如果信任關系僅僅是在IP或者MAC地址的基礎上構建的,意味著在網絡交換機中存在著一定的漏洞,面臨的ARP攻擊風險較大,針對這一現象,可在網絡中安裝DHCP服務器,并在網關與客戶端上綁定IP與MAC,修復交換機中的漏洞。IP與MAC綁定環節,嚴禁DHCP之間的沖突現象,一旦存在沖突,需進行了調解以后再綁定。(2)在交換機內進行靜態ARP映射表的構建,并形成了這一部分以后,可有效克服原先主機刷新映射表時的權限限制,將ARP維持在相對穩定的狀態下。在經由這一處理以后,外部局域網信息一般很難進入其中,雖然這一防護方式的操作相對簡單,實現容易,但是其在安全防護方面存在著一定的限制。也就是說,當主機需頻繁進行局域網的更換時,不能采用這一防護方式。(3)不再使用ARP,并將ARP作為永久條目直接保存于映射表內,這種做法對預防ARP攻擊非常有效,但用戶的部分權益受損。(4)安裝防火墻或者網絡監控。
2.7口令加密
網絡交換機中的安全防護中,口令加密也可進一步起到安全防護的作用,具體來說,就是對一個空白的網絡交換機開展登錄權限設置,全部用戶一旦要介入該交換機,都要進行密碼驗證,如果輸入的密碼不正確,意味著該用戶可能為非法訪問,這種方式下,對有效減少異常訪問非常有限,在口令加密的過程中,可采用明文密碼+密文加密的方式。
3結束語
網絡交換機在使用的過程中,雖然給網絡接入帶來了極大的便捷,但與此同時也增大了網絡安全威脅,因此,網絡交換機的使用中,不可忽視安全防護,應結合網絡交換機的使用環境,選擇恰當的安全防護技術來進行安全優化。
參考文獻:
[1]杜愛華.ACL技術在民航管理信息網安全防護中的應用[J].電腦知識與技術:學術版,2019,15(9Z):2.
[2]李健容.淺談程控交換機服務器的安全防護方案[J].中國新通信,2018,20(10):175.
[3]董如意,孟范立.交換機系統日志與監控配置研究與實踐[J].技術與教育,2018,32(4):5.
[4]張云龍,陳方,趙萌.基于網絡交換機安全措施的研究和實現[J].數字化用戶,2019,25(014):81.
[5]許賢,葉水勇,蔡翔,等.調度三區和信息四區邊界安全防護研究與實踐[J].國網技術學院學報,2016,19(6):5.
作者:劉怡鈞 單位:中國移動通信集團天津有限公司
