目前,交换机在企业网络中越来越广泛的应用,交换机是网络管理人员最常打交道的设备,然而,网络管理人员却很少对交换机进行安全防护。交换机是整个网络中的核心部分,所以解决网络安全问题需要着重从交换机方面寻找突破,进而提出相关策略以提高网络的安全性。
交换机作为一种设备其具有信息交换的功能,在通信系统中广泛使用。而在计算机网络系统中引用交换机,其是对共享工作模式的升级,发挥着转发数据的重要作用。因此,在考虑网络安全性、保密性、完整性的时候,交换机需要满足三大点:(1)设置用户的权限控制及网络信息区分,以达到访问与存取的安全性;(2)减少交换机在转发数据过程中的干扰性,并确保安全与高效速率;(3)结合其他网络安全设备,以提高交换机在监控与阻止方面的功能性。
基于交换机技术的网络安全策略
1.加强交换机的端口安全
网络的端口安全措施也是保障内网安全的一个途径,其原理是以MAC地址为凭证,将交换机端口与MAC地址进行绑定,进而实现对端口网络流量的控制与管理,以达到加强交换机端口安全的目的。绑定交换机端口与MAC地址之后,在access或者Trunk状态下确定端口模式以及端口指定的MAC地址,所以在网络使用与访问过程中一旦主机的MAC地址不同于交换机上的已定地址不符时,那么交换机就会down掉有关的端口,以保障网络的安全。此外,利用MAC地址对端口流量进行控制,一个TRUNK口通过的MAC地址不能超过一百个,超过就会丢失主机中的数据帧。
2.设置访问控制列表
在网络安全体系中,访问控制是其中的一个重要部分,其主要负责保护网络资源,避免非法用户对资源的使用及访问,因此网络安全技术人员需要设置相应的网络访问控制列表,积极使用访问控制技术(如网络权限控制、属性控制、入网访问控制等)来辅助防火墙,以提高网络的安全功能性。结合防火墙的安全功能,网络安全技术人员可以利用访问控制列表ACL来加强网络的安全过滤功能、安全防范功能。如网络安全技术人员可以采用源/目标VLAN、MAC地址、TCP/UDP端口、源/目标交换槽、源/目标IP等访问控制过滤方法,以及制定相应的网络安全策略,通过访问控制列表ACL来加强网络的安全屏蔽。同时,利用ACL设置相应的控制规范,对特殊的用户或数据进行限制,进而保障网络的安全。
3.利用NetFlow来增强网络安全性
在局域网的运作中,其会因遭受大范围的分布式拒绝服务攻击(网络中的异常与可疑行为,如传播中的蠕虫病毒攻击)而影响正常运作,或是发生网络瘫痪。为了增强网络的安全性,将NetFlow引用到Cisco路由器以及某些高端交换机上,以实现对网络上拒绝服务攻击、蠕虫病毒等的探测,从而降低网络使用过程中的危险性。其中,探测器(监听网络数据)、采集器(收集探测器的传输数据)、报告系统(对采集器中的数据进行易读报告转换)是构成Netflow系统的三大元素,在这三个部分的共同作用下NetFlow具有强大的功能性。由于网络中的交换机分布密集,因而在交换机上使用NetFlow,并结合其他流量监控管理软件,以实现对异常流量的监控,包括监控异常流量的种类、大小、源头、流向(目的地址)、端口、危害等。如此,网络后台技术人员就可以借助NetFlow提供的信息来发现异常现象,进而快速解决异常问题,以增强网络安全性。
4.划分VLAN以提高网络安全
VLAN,即虚拟局域网,是一种较为新型的技术,相当于一组逻辑上的设备与用户,或是一个广播域,常常被设置在OSI参考模型的第2层和第3层,VLAN技术具有更高灵活性的特点。因其不存在物理位置的局限,所以设备与用户之间的通信仿佛在同一个网段中进行,通常在第3层路由器中完成,相关的功能与应用都能得到满足。通常的网络大多是以太网,其安全性不高,且常出现广播问题,所以为了提高网络的安全性,在以太网帧的基础上划分虚拟局域网(VLAN),增加VLAN头,将用户划分成小数量的工作组(通过使用VLAN ID来实现),每个工作组就相当于一个虚拟局域网,但需要对不同工作组间的用户实行二层互访限制。划分VLAN,就能够对广播范围进行限制,在相同网段中VLAN内部的广播与单播流量不会因受到恶意攻击而向其他VLAN转发,这是因为VLAN隔离了广播风暴,由于没有相同的VLAN号,所以不同VLAN之间的通讯也被隔离,需要通过路由来实现通讯。在此基础上,通过构成虚拟工作组以实现对网络的动态管理,并达到流量及设备投资的控制,网络安全性也相应提高。
实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。现在,越来越多的用户都表示希望交换机中增加防火墙、VPN、数据加密、身份认证等功能。
想达到保护网络安全的其中一种做法,就是在已有的交换机中增加各种安全板块。目前,大多数人的意见就是在交换机中嵌入一些类似防火墙、数据加密、身份认证等可以保护网络的功能。