网络安全监测装置与交换机通信方式_浅析基于交换机技术增强局域网网络安全策略

　　摘要：随着信息技术的发展，信息资源的保密性和完整性越来越受到人们的重视，传统的防火墙用于阻止外网计算机对内部网络的恶意攻击已无法确保网络的安全性。综上，作为整个网络核心所在的交换机，理所当然地承担起网络安全的一部分责任，该文就基于交换机技术增强局域网网络安全策略方面进行了阐述。
　　关键词：交换机技术；局域网；网络安全
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4344-02
　　在这个黑客入侵风起云涌，病毒肆虐网络时代，特别是近年来黑客使用dsniff、Cain或其他windows、Linux系统下界面友好的工具，可以轻而易举地将任何流量转向他的个人计算机，从而破坏流量的保密性和完整性，再加上局域网内部的信任危机，传统的防火墙用于阻止外网计算机对内部网络的恶意攻击已无法确保网络的安全性。基于上述情况，作为整个网络核心所在的交换机，理所当然地承担起网络安全的一部分责任，如何利用交换机相关协议、特性来增强局域网网络安全已成为构建局域网时人们考虑的问题。
　　 1交换机的作用
　　交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。
　　 2交换机技术增强局域网网络安全策略
　　2.1划分虚拟局域网VLAN
　　2.1.1 VLAN概念
　　虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活。
　　2.1.2 VLAN划分方法
　　VLAN的划分可依据不同原则，主要有3种划分方法：
　　基于端口的划分：此种方法是利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。以交换机端口来划分网络成员，其配置过程简单明了。从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
　　基于MAC地址划分：这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。
　　基于网络层划分：此种划分VLAN的方法是根据每个主机的网络层地址或协议类型划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。
　　2.1.3 VLAN的作用
　　VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。
　　2.2 802.1x加强安全认证
　　在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样就造成了局域网内潜在的安全威胁。IEEE 802.1x正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。
　　802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。802.1X允许访问端口的动态配置并在端口级别实施共同的安全策略，一个802.1Xsupplicant(恳请者)代表了一个需要从网络系统获得服务的用户或设备。它需要通过网络接入设备向认证服务器请求对其认证。802.1X还能提供多级别的用户访问控制，这使之成为网络安全的第一要素。由于其对逻辑网络的覆盖以及对网络安全性的推动，802.1X有助于减少整体风险，提升价值以及提升削减业务运营成本。依赖于访问控制的公司安全战略必须包括802.1X。
　　2.3利用NetFlow应用程序增强网络安全性
　　局域网一旦遭到大规模分布式拒绝服务攻击，会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，会给企业带来一定的损失，如何检测网络中的异常行为和可疑行为，例如，传播中的蠕虫或DoS攻击。交换机在网络中总是“星罗棋布”，因而可以方便地利用他们来探测拒绝服务攻击，甚至蠕虫病毒，不失为是一种好方法。在Cisco路由器以及某些高端交换机上使用NetFlow，通过Cisco NetFlow Collector（NFC）采集NetFlow数据，对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。
　　一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。Netflow常与流量监控管理软件联合使用，通过流量大小变化的监控，可以帮助我们发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址，及时处理异常问题。
　　2.4访问控制列表
　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。采用了访问控制列表ACL来实现包过滤防火墙的安全功能，增强安全防范能力。访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
　　ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让黑客找不到网络中的特定主机进行探测，从而无法发动攻击。
　　2.5交换机端口安全
　　最常用的端口安全就是根据MAC地址来做对网络流量的控制和管理，即MAC地址与交换机端口绑定。MAC地址与端口绑定后，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。也可以通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。通过MAC地址绑定在一定程度上可保证内网安全。
　　 3结束语
　　交换机在现代信息社会中以其优越的性能，在网络中扮演重要的角色，各种不同型号的交换机功能不尽相同，如何利用交换机相关协议、特性、功能来增加局域网网络安全应根据各单位具体情况进行规划。该文就作者经验对交换机增强局域网网络安全进行了探讨，当然，局域网的安全不仅依靠交换机，还要依靠其他网络设备及软件的配合。
　　参考文献：
　　[1]孟莉.基于交换机技术构建局域网的安全策略[J].网络安全技术与应用,2011(6).
　　[2]维恩克,培根.局域网交换机安全[M].孙余强,孙剑,译.北京:人民邮电出版社,2011.
　　[3]巴正喜.基于交换机技术及防病毒系统的局域网安全策略[J].福建电脑,2011(6):90-91.
　　[4]吴江,陈万,杨明,等.浅析黑客对局域网攻防策略[J].电脑知识与技术,2011(6).
　　[5]袁娅萍,占永平,樊莉丽.基于VLAN的局域网安全管理[J].电脑知识与技术,2008(3).