【摘要】网络时代的到来使得安全问题成为一个迫切需要解决的问题。病毒、黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨。交换机是整个网络中的核心部分,所以解决网络安全问题需要着重从交换机方面寻找突破,进而提出相关策略以提高网络的安全性。为此,本文将从交换机技术角度解析网络安全的有关策略。
【关键词】交换机技术网络安全
近年来,随着全球信息化的发展,网络环境纷繁复杂,人们在正常的网络交流与信息资源传输过程中往往容易遭受黑客组织的恶意干扰和攻击。同时,由于传统的防火墙技术无法阻止黑客使用Cain、Dsniff等系统技术或工具对局域网流量传送的恶意破坏与攻击,人们对网络安全提供了更高的要求。由于交换机是整个网络的核心部分,因此解决网络安全首先要从交换机方面寻找突破,进而解析网络安全的有关策略。
一、交换机的定义和功能
交换机的英文名称为“Switch”,它是集线器的升级换代产品,从外观上来看,它与集线器基本上没有多大区别,都是带有多个端口的长方体。交换机是按照通信两端传输信息的需要,用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机就是一种在通信系统中完成信息交换功能的设备。
交换机最重要的功能就是安全功能,通过转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
二、交换机的网络安全问题
局域网交换机对提高网络性能产生了很大的帮助,但是有些机构往往出于政治或者经济原因而无法自由地将网络限制在第二层,从而利用交换的好处。交换机提供了必要的控制方面的隔离,但它也成为最重要的也是最昂贵的瓶颈。结果,服务器的采用与网络的层次结构有关,限制了网络初衷所想提供的自由。
同时,所有的用户都被赋予相同的网络访问权限,而不考虑他们的重要程度或者桌面计算机的速度。网络不能为特殊的用户或者服务器分配更高的优先级。高优先级的事务和应用必须给予更大的网络访问权限。由此,逐渐提出了二层交换机和三层交换机,并提供了VLAN等既可以满足用户快速通信的需要,又具有一定的安全性的技术方法。
三、基于交换机技术的网络安全策略解析
1.基于端口的传输控制。一般地,交换机都具有基于端口的传输控制功能,能够实现风暴控制、端口保护以及端口安全等。一是风暴控制。当端口接收到大量的广播获多播包时,就会发生广播风暴,并且转发这些数据包将导致网络速度变慢或者超时。因此,通过对端口的广播风暴控制,在某些数据包过量时,交换机会暂停该类数据包的转发,从而有效地避免硬件损坏或故障导致的网络瘫痪。二是保护端口。保护端口可以确保同一交换机上的端口之间不进行通信。因为保护端口不向其他保护端口转发任何单播、多播或者广播包传输,要实现保护端口间的传输,都必须通过第三层设备转发。因此,可以采取阻塞端口的方式,防止未知的单播或者多播通信在端口间转发。三是端口安全。借助端口安全设置,可以只允许制定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
2.虚拟局域网VLAN技术。虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层后者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,也可以控制这些区域是否可以通讯。VLAN可能跨越一个或者多个交换机,与它们的物理位置无关,设备之间好像在同一个网络之间通信一样。VLAN可以在各种形式上形成,如端口、MAC地址和IP地址等。
3.利用NetFlow来增强网络安全性。在局域网的运作中,其会因为遭受大范围的分布式拒绝服务攻击而影响正常的工作,或是发生网络瘫痪。为了增强网络的安全性,将NetFlow引用到Cisco路由器以及某些高端交换机上,以实现对网络上拒绝服务攻击,蠕虫病毒等的探测,从而降低网络使用过程中的危险性。由于网络中的交换机分布密集,因而在交换机上使用NetFlow,并结合其他流量监控管理软件,以实现对异常流量的监控,包括监控异常流量的种类、大小、源头、流向、端口、危害等。
4.基于访问控制列表的防火墙功能。安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或者MAC地址来实现。ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,让黑客找不到网络中的特定主机进行探测,从而无法发动攻击。