網絡交換機安全措施的研究和實現

劉祖軍

摘 要 交換機是通過人工或者是自動的方式，將需要傳輸的信息傳遞給符合要求路由上的技術。這一技術可以滿足通信兩端傳輸信息的需求，而且也是在MAC基礎上的地址識別，能夠實現數據包封裝轉發的網絡設備。隨著近年來電網企業的不斷發展，在防護策略的指引下，信息安全水平有了明顯的提高。

關鍵詞 網絡交換機；安全措施；實現

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）193-0045-02

由于交換機處于網絡核心，在上線正常運行的情況下會忽略管理以及更新，會存在一些安全漏洞，尤其會直接影響信息網絡的運行。因此為了保證網絡信息的安全，需要從交換機入手，在保證其數據安全的前提下，注意防止病毒的侵擾。隨著信息技術的不斷發展，保證網絡系統安全具有重要的意義。

1 交換機的安全威脅體現

在交換機的使用過程中，如果受到了不法分子的破壞和利用，就會導致網絡不可控的情況，一般交換機的安全風險主要體現在幾個方面。

1.1 ARP攻擊

這是一種針對以太網地址解析協議的攻擊技術，攻擊者可以在網絡上篡改數據封包裝，然后計算機就無法正常的連接和使用。攻擊的具體方式主要有兩種，一種是ARP洪泛攻擊，還有一種是ARP欺騙。假如在局域網內出現了ARP攻擊的情況，會直接影響主機和服務端的映射關系，上網流量會集中流向ARP攻擊者控制的主機，通過網關上網的用戶，發生這種情況會被控主機轉發上網，導致轉發之后的上網速度很慢，甚至會出現斷網的情況。而且如果出現了ARP欺騙的問題，不僅需要不斷的發送ARP應打包，還會導致網絡節點無法聯通，或者是直接造成一些數據丟失[1]。

1.2 DoS攻擊

DoS攻擊主要指的是攻擊者會采用一些方法導致主機無法正常提供服務，而且會造成資源訪問受到限制。尤其是對寬帶、內存等產生重大影響，一些用戶由于受到了阻礙，就會無法正常工作。出現DoS攻擊的時候，一般都是分布式攻擊，而且在攻擊的過程中，會利用一些工具將網絡寬帶集結起來，同時對一個目標發起攻擊，這種攻擊方式對網絡有極大的破壞作用，尤其是會導致用戶無法接收外界請求。

1.3 MAC地址泛洪攻擊

網絡傳輸數據會采用幀的形式進行，因此當幀進入交換機的時候就會記錄下源MAC地址，在這一過程中就會產生一條端口和MAC地址關聯的記錄。在之后的操作中，凡是通往這一MAC地址的信息流都會只通過這一端口進行有限的轉發。記錄會直接儲存在CAM中，因此可以快速的進行查詢，尤其是方便轉發數據。不過CAM存儲容量比較小，加入一些攻擊者選擇向CAM傳送較多的偽造多源MAC地址的數據包，就會導致存儲器被填滿，交換機也只能選擇使用廣播的形式進行傳送數據，因此寬帶被占用，會發生交換機拒絕服務的問題。曾經出現的SQL蠕蟲病毒便是采用組播目標地址，然后制造假目標MAC占滿CAM表的形式，造成了嚴重的后果。

2 加強信息網絡交換機硬件安全

國家電網屬于關系國計民生的基礎行業，保障電力信息系統的安全尤為重要。目前，信息系統安全風險頻發，一些信息技術產品的漏洞經常會引發核心系統被控和失密等風險。提高電網信息設備的安全水平，需要從以下幾個方面入手。

2.1 集采國產網絡交換機

美國斯諾登事件、監聽門事件等暴漏出美國等西方科技公司生產的核心交換機可能存在“后門”。為降低電網信息系統風險，近年來，國網系統已逐步推進國產網絡交換機的集采。

2.2 增加冗余設備及備品

為了保證信息網絡系統的物理安全，也就是冗余能力能夠保證網絡的安全運行。在生產的過程中，可以增加一些冗余設備，主要就是為了規避風險[2]。比如一些后備管理模塊、電源或者是端口等，這些設備可以在故障出現的時候確保設備能夠正常使用，能夠提高網絡系統的安全性和可靠性。

2.3 固件常升級

交換機的使用經常會存在安全漏洞，因此需要定期的升級官方提供的補丁，尤其是固件升級的過程中，能夠將漏洞問題進行有效的解決，還可以提高交換機的穩定性。

3 信息網絡交換機安全加固措施

3.1 口令設置

1）Console口登錄安全。配置交換機以及路由的Console口登錄安全策略，如果在使用的過程中，配置Console口登錄超市就可以對口令采取加密儲存的操作。

2）Telnet或者是SSH登錄安全。在啟用Telnet遠程管理的過程中，需要將交換機或者是路由器的vty口登錄安全策略，設置口令加密儲存。SSH采用的是加密的形式來傳輸數據，因此可以提高安全性。

3）Super權限口令加密。配置交換機或者是路由器的super權限口令的時候，需要注意分配super權限等級，然后做好加密儲存。

3.2 啟用日志審計

采用日志審計的功能，可以結合日志審計器的使用，尤其是可以對日志進行定期的保存和備案。使用日志審計服務器可以將日常發生的事情進行記錄，假如出現了網絡故障，就可以對其進行監控設備故障信息，如果下次還出現類似的故障或者是受到了攻擊，就可以看到痕跡。

3.3 SNMP協議酌情開發

根據安全的要求進行分析，SNMP協議還是存在比較大的安全隱患，但是網絡監控系統卻不應該離開這一協議。因此可以使用SNMPV3版本，這一版本的優勢在于改進了傳輸方式，傳統的傳輸方式是明文傳輸，還有一些使用簡單文本字符驗證身份信息等，目前使用的MD5加密認證方式具有很大的優勢。此外，還可以配合交換機SNMP信息采集配置嚴格的訪問控制列表，主要是防止一些用戶進行非授權訪問的操作，能夠將通信流量的安全性逐漸提高[3]。

3.4 設置網絡準入控制

在網絡應用不斷發展的今天，網絡準入控制的重要性逐漸凸顯出來。尤其是可以防止ARP攻擊、惡意用戶入侵、地址沖突等問題。目前使用比較廣泛的是802.1x網絡準入控制，還有在IP_MAC綁定的網絡準入技術。

3.4.1 802.1x網絡準入控制

802.1x協議認證系統主要包含認證服務器、認證系統和客戶端3個部分。使用這一系統可以對接入終端進行身份的認證，可以控制非法終端的接入，保證網絡系統的安全。其優勢主要是安全、方便、高效等，受到了很大的歡迎。

3.4.2 IP_MAC綁定的網絡準入

使用IP_MAC綁定的網絡準入技術，主要是在計算機的終端接入網絡的設備上設置訪問控制列表，登記用戶的物理地址，不過這個操作有一定的限制。這一技術的缺點是由于需要逐條命令配置，易出現錯誤，因此可以搭配第三方廠商提供IP_MAC綁定系統的圖形化界面操作，這樣可以保證更加直觀的查看和便捷的操作，尤其是在遇到問題時能夠盡快的解決。

4 結論

交換機的安全需要引起重視，尤其是要從多個方面進行考慮，注意細節的分析，對交換機進行整體的安全加固，配合一些安全設備的使用，不斷提供更加安全的信息網絡。

參考文獻

[1]郭琳.企業網中交換機與路由器安全防范與實現[J].廣東技術師范學院學報，2016，37（11）：57-61.

[2]劉輝舟.電力交換機狀態巡檢監測體系建設實踐研究[J].低碳世界，2015（33）：36-37.

[3]康雙勇.網絡交換機的威脅攻擊及安全防范[J].保密科學技術，2017（1）.