李春榆 張學(xué)杰 李紅靈

摘要：隨著信息技術(shù)的發(fā)展，信息資源的保密性和完整性越來越受到人們的重視，傳統(tǒng)的防火墻用于阻止外網(wǎng)計(jì)算機(jī)對內(nèi)部網(wǎng)絡(luò)的惡意攻擊已無法確保網(wǎng)絡(luò)的安全性。綜上，作為整個(gè)網(wǎng)絡(luò)核心所在的交換機(jī)，理所當(dāng)然地承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任，該文就基于交換機(jī)技術(shù)增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全策略方面進(jìn)行了闡述。

關(guān)鍵詞：交換機(jī)技術(shù)；局域網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)18-4344-02

在這個(gè)黑客入侵風(fēng)起云涌，病毒肆虐網(wǎng)絡(luò)時(shí)代，特別是近年來黑客使用dsniff、Cain或其他windows、Linux系統(tǒng)下界面友好的工具，可以輕而易舉地將任何流量轉(zhuǎn)向他的個(gè)人計(jì)算機(jī)，從而破壞流量的保密性和完整性，再加上局域網(wǎng)內(nèi)部的信任危機(jī)，傳統(tǒng)的防火墻用于阻止外網(wǎng)計(jì)算機(jī)對內(nèi)部網(wǎng)絡(luò)的惡意攻擊已無法確保網(wǎng)絡(luò)的安全性?；谏鲜銮闆r，作為整個(gè)網(wǎng)絡(luò)核心所在的交換機(jī)，理所當(dāng)然地承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任，如何利用交換機(jī)相關(guān)協(xié)議、特性來增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全已成為構(gòu)建局域網(wǎng)時(shí)人們考慮的問題。

1交換機(jī)的作用

交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，是交換機(jī)所需要的最基本的安全功能。同時(shí)，交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心，應(yīng)該能對訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制。更重要的是，交換機(jī)還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止。

2交換機(jī)技術(shù)增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全策略

2.1劃分虛擬局域網(wǎng)VLAN

2.1.1 VLAN概念

虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活。

2.1.2 VLAN劃分方法

VLAN的劃分可依據(jù)不同原則，主要有3種劃分方法：

基于端口的劃分：此種方法是利用交換機(jī)的端口來劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。

基于MAC地址劃分：這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置。

基于網(wǎng)絡(luò)層劃分：此種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。

2.1.3 VLAN的作用

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。

2.2 802.1x加強(qiáng)安全認(rèn)證

在傳統(tǒng)的局域網(wǎng)環(huán)境中，只要有物理的連接端口，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng)，或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。這樣就造成了局域網(wǎng)內(nèi)潛在的安全威脅。IEEE 802.1x正是解決這個(gè)問題的良藥，目前已經(jīng)被集成到二層智能交換機(jī)中，完成對用戶的接入安全審核。

802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過程中，LAN端口要么充當(dāng)認(rèn)證者，要么扮演請求者。在作為認(rèn)證者時(shí)，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進(jìn)行認(rèn)證，如若認(rèn)證失敗則不允許接入；在作為請求者時(shí)，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請?；诙丝诘腗AC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會被自動丟棄，從而確保最大限度的安全性。802.1X允許訪問端口的動態(tài)配置并在端口級別實(shí)施共同的安全策略，一個(gè)802.1Xsupplicant(懇請者)代表了一個(gè)需要從網(wǎng)絡(luò)系統(tǒng)獲得服務(wù)的用戶或設(shè)備。它需要通過網(wǎng)絡(luò)接入設(shè)備向認(rèn)證服務(wù)器請求對其認(rèn)證。802.1X還能提供多級別的用戶訪問控制，這使之成為網(wǎng)絡(luò)安全的第一要素。由于其對邏輯網(wǎng)絡(luò)的覆蓋以及對網(wǎng)絡(luò)安全性的推動，802.1X有助于減少整體風(fēng)險(xiǎn)，提升價(jià)值以及提升削減業(yè)務(wù)運(yùn)營成本。依賴于訪問控制的公司安全戰(zhàn)略必須包括802.1X。

2.3利用NetFlow應(yīng)用程序增強(qiáng)網(wǎng)絡(luò)安全性

局域網(wǎng)一旦遭到大規(guī)模分布式拒絕服務(wù)攻擊，會影響大量用戶的正常網(wǎng)絡(luò)使用，嚴(yán)重的甚至造成網(wǎng)絡(luò)癱瘓，會給企業(yè)帶來一定的損失，如何檢測網(wǎng)絡(luò)中的異常行為和可疑行為，例如，傳播中的蠕蟲或DoS攻擊。交換機(jī)在網(wǎng)絡(luò)中總是“星羅棋布”，因而可以方便地利用他們來探測拒絕服務(wù)攻擊，甚至蠕蟲病毒，不失為是一種好方法。在Cisco路由器以及某些高端交換機(jī)上使用NetFlow，通過Cisco NetFlow Collector（NFC）采集NetFlow數(shù)據(jù)，對異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個(gè)方面進(jìn)行分析。

一個(gè)Netflow系統(tǒng)包括三個(gè)主要部分：探測器，采集器，報(bào)告系統(tǒng)。探測器是用來監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)的。采集器是用來收集探測器傳來的數(shù)據(jù)的。報(bào)告系統(tǒng)是用來從采集器收集到的數(shù)據(jù)產(chǎn)生易讀的報(bào)告的。Netflow常與流量監(jiān)控管理軟件聯(lián)合使用，通過流量大小變化的監(jiān)控，可以幫助我們發(fā)現(xiàn)異常流量，特別是大流量異常流量的流向，從而進(jìn)一步查找異常流量的源、目的地址，及時(shí)處理異常問題。

2.4訪問控制列表

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。采用了訪問控制列表ACL來實(shí)現(xiàn)包過濾防火墻的安全功能，增強(qiáng)安全防范能力。訪問控制過濾措施可以基于源/目標(biāo)交換槽、端口、源/目標(biāo)VLAN、源/目標(biāo)IP、TCP/UDP端口、ICMP類型或MAC地址來實(shí)現(xiàn)。

ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，針對個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制，也可以用來加強(qiáng)網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測，從而無法發(fā)動攻擊。

2.5交換機(jī)端口安全

最常用的端口安全就是根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理，即MAC地址與交換機(jī)端口綁定。MAC地址與端口綁定后，當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí)，交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí)，端口模式必須為access或者Trunk狀態(tài)。也可以通過MAC地址來限制端口流量，此配置允許一TRUNK口最多通過100個(gè)MAC地址，超過100時(shí)，但來自新的主機(jī)的數(shù)據(jù)幀將丟失。通過MAC地址綁定在一定程度上可保證內(nèi)網(wǎng)安全。

3結(jié)束語

交換機(jī)在現(xiàn)代信息社會中以其優(yōu)越的性能，在網(wǎng)絡(luò)中扮演重要的角色，各種不同型號的交換機(jī)功能不盡相同，如何利用交換機(jī)相關(guān)協(xié)議、特性、功能來增加局域網(wǎng)網(wǎng)絡(luò)安全應(yīng)根據(jù)各單位具體情況進(jìn)行規(guī)劃。該文就作者經(jīng)驗(yàn)對交換機(jī)增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全進(jìn)行了探討，當(dāng)然，局域網(wǎng)的安全不僅依靠交換機(jī)，還要依靠其他網(wǎng)絡(luò)設(shè)備及軟件的配合。

參考文獻(xiàn)：

[1]孟莉.基于交換機(jī)技術(shù)構(gòu)建局域網(wǎng)的安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2011(6).

[2]維恩克,培根.局域網(wǎng)交換機(jī)安全[M].孫余強(qiáng),孫劍,譯.北京:人民郵電出版社,2011.

[3]巴正喜.基于交換機(jī)技術(shù)及防病毒系統(tǒng)的局域網(wǎng)安全策略[J].福建電腦,2011(6):90-91.

[4]吳江,陳萬,楊明,等.淺析黑客對局域網(wǎng)攻防策略[J].電腦知識與技術(shù),2011(6).

[5]袁婭萍,占永平,樊莉麗.基于VLAN的局域網(wǎng)安全管理[J].電腦知識與技術(shù),2008(3).