淺論局域網(wǎng)交換機安全管理

譚鳳潔，高玉梅

國網(wǎng)黑龍江省電力有限公司雞西供電公司

淺論局域網(wǎng)交換機安全管理

譚鳳潔，高玉梅

國網(wǎng)黑龍江省電力有限公司雞西供電公司

對于現(xiàn)代局域網(wǎng)而言，交換機的功能無異于網(wǎng)絡系統(tǒng)的大腦，交換機在局域網(wǎng)系統(tǒng)乃至整個網(wǎng)絡系統(tǒng)中都占具著極為重要的地位。作為網(wǎng)絡信息交換與共享的中轉站，交換機也成為網(wǎng)絡黑客攻擊網(wǎng)絡系統(tǒng)和竊取信息的主要目標，因此交換機的安全在網(wǎng)絡安全管理中不可忽視，如何加強交換機安全管理，保障局域網(wǎng)信息的安全，成為了越來越受到關注的問題。

局域網(wǎng)；交換機；網(wǎng)絡安全

電子計算機的廣泛應用和互聯(lián)網(wǎng)技術的飛速發(fā)展，使局域網(wǎng)受到了越來越多的關注，局域網(wǎng)辦公也作為現(xiàn)代化辦公的一種模式被廣泛應用，局域網(wǎng)連接的計算機工作組在資源共享與小組信息交流中發(fā)揮著十分重要的作用，不但提高了信息資源的利用率，也大大加快了工作效率。由于網(wǎng)絡安全問題在全球范圍內受到的重視不斷加強，對局域網(wǎng)安全管理工作的要求也越來越高。

一、局域網(wǎng)常見安全威脅

病毒威脅。局域網(wǎng)的出現(xiàn)為每一個用戶提供了方便，同時也為病毒傳播提供了方便。網(wǎng)絡病毒危害日甚，尤其是蠕蟲病毒，發(fā)作時能夠使整個網(wǎng)絡陷于癱瘓，更有人利用病毒進行惡意攻擊，以獲取非法利益。

黑客入侵。黑客作為一個特殊的群體，其對網(wǎng)絡的攻擊行為是網(wǎng)絡安全的一大威脅，黑客通過技術手段可以對目標網(wǎng)絡系統(tǒng)實行各種各樣的攻擊，其攻擊形式復雜多變，且攻擊技術不斷更新，極大增加了網(wǎng)絡安全防護的困難程度。黑客入侵不僅可以從網(wǎng)內入侵系統(tǒng)還可能從外部網(wǎng)絡對系統(tǒng)進行攻擊。

安全認證漏洞。隨著網(wǎng)絡規(guī)模越來越大，網(wǎng)絡用戶中經(jīng)常發(fā)生IP地址盜用、IP地址沖突、帳號盜用等，給局域網(wǎng)的安全帶來巨大的隱患。

管理漏洞。網(wǎng)絡安全威脅不僅出現(xiàn)在防護技術與設備方面，管理方面疏忽產(chǎn)生的漏洞也會導致局域網(wǎng)安全受到威脅，對網(wǎng)絡安全的管理不重視、管理制度不健全、管理措施落實不到位、管理工作失衡以及對網(wǎng)絡安全管理方面的投入不足導致管理工作無法發(fā)揮應有作用，都可能會導致局域網(wǎng)安全問題的出現(xiàn)。

二、加強局域網(wǎng)安全管理

局域網(wǎng)安全涉及很多方面，傳統(tǒng)的防護技術組成主要是通過殺毒軟件和防火墻完成攔截網(wǎng)絡病毒入侵以及病毒查殺的工作，較重視系統(tǒng)入侵的檢測?，F(xiàn)代網(wǎng)絡中交換機與路由器的使用頻繁，且因其對網(wǎng)絡安全的重要性，成為網(wǎng)絡安全管理中的關鍵部分。為應對網(wǎng)絡安全威脅大部分交換機與路由器都有相對豐富的安全功能，從其出廠開始便開始了安全防護的過程，要充分發(fā)揮交換機與路由器的安全性能就要對其安全功能的設置及工作方式有足夠的了解，充分保證其安全功能的發(fā)揮。

密碼設置方面。在初始登錄交換機和路由器時會被強制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數(shù)限制，而且以加密方式存儲。交換機及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發(fā)生后應該不會危及安全并恢復運作，因為日志的原因，網(wǎng)絡設備應該通過網(wǎng)絡時間協(xié)議保持安全精確的時間。

抵擋系統(tǒng)攻擊方面。交換機和路由器在使用中對于各種形式的系統(tǒng)攻擊應有一定的抵擋能力，如拒絕服務式的Dos攻擊，以及蠕蟲病毒攻擊等，要確保受到攻擊時系統(tǒng)能夠正常運行，并且對攻擊做出正確的反應，同時對于攻擊的反應要在網(wǎng)絡安全日志中有所記錄。這要求交換機與路由器在屏蔽攻擊IP與受到攻擊的抵御能力上要不斷加強。

漏洞與權限的管理方面。首先要了解代碼漏洞可能出現(xiàn)的情況，對于漏洞的檢查，與系統(tǒng)安全升級以及補丁的安裝都應及時進行，確保網(wǎng)絡安全。在權限管理方面，基于角色的管理給予管理員最低程度的許可來完成任務，允許分派任務，提供檢查及平衡，只有受信任的連接才能管理它們。管理權限可賦予設備或其他主機，控制管理權限的最好辦法是在授權進入前分權限，可以通過認證和帳戶服務器來實現(xiàn)。

遠程連接加密方面。遠程連接也是交換機在使用中容易出現(xiàn)安全威脅的一個環(huán)節(jié)，為確保信息傳輸安全，在使用交換機進行遠程連接時要對協(xié)議進行加密。作為專為遠程連接登錄會話與其他網(wǎng)絡工作服務時提供安全保護的SSH協(xié)議，在遠程連接中可以有效的保護信息傳輸?shù)陌踩乐剐畔⑿孤丁?/p>

三、加強交換機安全的措施

交換機安全防護工作主要有兩方面，一方面從硬件的安全入手對網(wǎng)絡安全進行保護，另一面要控制好訪問的各環(huán)節(jié)權限，防止非法訪問與越權訪問造成網(wǎng)絡資源的非法盜用。

硬件安全的管理主要是對網(wǎng)絡服務器、計算機系統(tǒng)、網(wǎng)絡打印機等硬件與通信鏈路的安全進行的保護；對用戶的使用權限于身份進行驗證，防止越權操作；確保整個計算機網(wǎng)絡系統(tǒng)處在良好的工作環(huán)境中。

對訪問權限的控制是網(wǎng)絡安全防護的一種主要手段，對于保護網(wǎng)絡安全發(fā)揮著重要作用，包括入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點安全控制等。

四、交換機管理

現(xiàn)階段主要的交換機訪問方式有控制臺端口訪問、遠程登錄訪問、web登錄訪問以及通過專用的網(wǎng)絡管理軟件進行訪問。

控制臺端口的訪問相對比較簡單，通過交換機與路由器出廠時自帶的控制臺端口進行連接，連接成功后輸入用戶名與密碼才能對交換機進行訪問。這種訪問方式只能在交換機旁進行，在交換機管理權限中處于最高級別。

遠程登錄訪問是在交換機已經(jīng)連接在網(wǎng)絡中，且已設置好IP地址等基本配置的情況下，使用Telnet遠程登錄到交換機中，對其進行訪問、配置的一種方式，這種方法經(jīng)常在網(wǎng)絡設備的維護和網(wǎng)絡管理操作中使用。遠程登錄訪問在管理權限上要略小于控制臺訪問。

另一種常用的訪問方式是web登錄訪問，在IP地址已經(jīng)設置好且SNMP協(xié)議已經(jīng)啟用的情況下，可以通過電腦的瀏覽器對交換機進行登錄及訪問，他的特點是權限小，但管理操作較為方便。

專用網(wǎng)絡管理軟件是針對大中型網(wǎng)絡的管理需要研發(fā)的，他對交換機的訪問與管理也是需要通過SNMP協(xié)議來完成，由于專用網(wǎng)絡管理軟件的開發(fā)具有一定的針對性，因此其在管理功能上具有更大的優(yōu)越性。

總之，對于局域網(wǎng)交換機的安全管理是維護網(wǎng)絡安全，保護網(wǎng)絡系統(tǒng)的正常運行以及網(wǎng)絡信息資源的安全使用的重點所在，在日常的網(wǎng)絡安全管理中必須要給與足夠的重視，并且要加強網(wǎng)絡安全防護技術的革新，不斷提高網(wǎng)絡安全防護能力，為互聯(lián)網(wǎng)的發(fā)展提供安全保障。

[1]吳江,陳萬,楊明,鄭定琛,孫進.淺析黑客對局域網(wǎng)攻防策略[J].電腦知識與技術,2011(06)