基于交換機(jī)技術(shù)構(gòu)建局域網(wǎng)的安全策略

孟莉

北京林業(yè)大學(xué)圖書館 北京 100083

0 引言

現(xiàn)今局域網(wǎng)技術(shù)已經(jīng)非常成熟，在網(wǎng)絡(luò)架構(gòu)中逐漸形成以千兆三層交換機(jī)為核心的主流網(wǎng)絡(luò)模型。隨著人們對網(wǎng)絡(luò)依賴程度日益增強(qiáng)，網(wǎng)絡(luò)的安全性和可靠性愈來愈重要。同時計算機(jī)病毒種類越來越多，手段也不斷升級。如果缺乏一定的安全保障，無論是公共還是企業(yè)專用網(wǎng)都難以抵擋網(wǎng)絡(luò)攻擊非法入侵。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部使用者帶來的威脅。所以核心交換機(jī)優(yōu)化配置對局域網(wǎng)的安全性尤為重要，下面通過優(yōu)化VLAN、訪問控制列表、端口綁定等技術(shù)構(gòu)建局域網(wǎng)的安全策略。

1 虛擬局域網(wǎng)VALN

虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，主流應(yīng)用還是在具有VLAN協(xié)議的第三層以上交換機(jī)之中，以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)，解決了交換機(jī)在局域網(wǎng)互連時無法限制廣播的問題。每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。合理劃分VLAN，增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實現(xiàn)。

1.1 劃分VLAN

目前的 VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點 MAC地址的 VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN稍欠靈活，但卻比較成熟，在實際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應(yīng)用卻尚不成熟。

局域網(wǎng)內(nèi)各部門計算機(jī)使用VLAN進(jìn)行隔離，根據(jù)工作性質(zhì)將相關(guān)職能部門的計算機(jī)邏輯地劃分到一起，而不依賴于設(shè)備的物理位置。這樣首先實現(xiàn)了第二層的安全，非本虛擬網(wǎng)絡(luò)的計算機(jī)在第二層無法與該虛網(wǎng)通訊。在第三層或更高層通過路由過濾或防火墻提供該虛擬網(wǎng)絡(luò)的更高級的安全；通過設(shè)置訪問控制策略來控制其他部門的非法訪問；劃分VLAN是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止大部分基于網(wǎng)絡(luò)偵聽的入侵。按照功能的不同劃分 VLAN，如網(wǎng)絡(luò)設(shè)備與網(wǎng)管劃為一個VLAN10、內(nèi)部服務(wù)器劃為VLAN20、財務(wù)部門劃為VLAN30、其他部門劃為VLAN40等。

1.2 配置VLAN

以思科cisco4506為例說明具體配置過程。

1.2.1 創(chuàng)建VLAN

M4506# configure terminal

M4506 (config)# vlan 10

M4506 (config-vlan)# name admin20

M4506 (config-vlan)# end

M4506)# wr

1.2.2 分配IP地址段

M4506 (config)#interface Vlan10

M4506 (config)#ip address 192.168.100.1 255.255.255.0

M4506 (config)# end

M4506)# wr

2 訪問控制列表

訪問控制列表(Access Control List，ACL)，它對進(jìn)出路由的報文信息進(jìn)行匹配，基于數(shù)據(jù)報文的源IP地址、目的IP地址和應(yīng)用類型等規(guī)則來控制網(wǎng)絡(luò)的數(shù)據(jù)流向，每一個從路由器接口進(jìn)出的報文都要同訪問表的規(guī)則進(jìn)行自上而下的順序比較操作，決定報文被允許通過或是被拒絕丟棄。訪問控制列表是底層網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。ACL分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表只對數(shù)據(jù)包中的源地址進(jìn)行檢查而不考慮目的地址和端口號等過濾選項。其IP列表的數(shù)字表示范圍為1～99。擴(kuò)展訪問控制列表則對數(shù)據(jù)包中的源地址、目的地址、協(xié)議、端口號、優(yōu)先級、服務(wù)級類型等選項進(jìn)行過濾，并可以動態(tài)地分時間段來對數(shù)據(jù)包進(jìn)行過濾。其IP列表的數(shù)字表示范圍100～199。

2.1 ACL主要應(yīng)用

網(wǎng)絡(luò)中有資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務(wù)或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。在實施 ACL的過程中，應(yīng)當(dāng)遵循如下兩個基本原則：

(1) 最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限。

(2) 最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制。

2.2 創(chuàng)建及使用ACL

創(chuàng)建ACL列表110

M4506 (config)#access-list 110 permit tcp host 192.168.100.20 host 92.168.100.5 eq telnet

M4506 (config)#access-list 110 deny tcp any host 192.168.100.5 eq telnet

M4506 (config)#access-list 110 permit ip any any

只有 ip 192.168.100.20能 telnet訪問服務(wù)器 192.168.100.5，其余主機(jī)都不能訪問。

應(yīng)用ACL列表110

M4506 (config)#interface Vlan10

M4506 (config)#ip access-group 110 out

M4506 (config)# end

M4506)# wr

3 交換機(jī)端口安全

交換機(jī)端口安全即MAC地址與交換機(jī)端口綁定，即根據(jù)MAC地址進(jìn)行網(wǎng)絡(luò)流量的控制和管理，能根據(jù)MAC地址確定允許訪問的設(shè)備，允許訪問設(shè)備的MAC地址既可以手工配置，也可以從交換機(jī)“學(xué)到”，當(dāng)一個未批準(zhǔn)的 MAC地址試圖訪問端口的時候，交換機(jī)會掛起或者禁用該端口。比如 MAC地址與具體的端口綁定，可限制該端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過。如果IP與MAC地址的綁定，可以有效的防止IP被盜用。端口配置如下：

以思科4506為例，在三層端口gi3/12上限制mac流量。

M4506 #config t

M4506 (config) #int gi3/12

M4506 (config-if) #arp ip mac arpa

M4506 (config) #end

M4506 #wr

4 結(jié)束語

綜上所述，LAN分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)，增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性；訪問控制列表技術(shù)方便網(wǎng)絡(luò)管理，有效保護(hù)資源服務(wù)器的安全，加強(qiáng)了網(wǎng)絡(luò)的安全性。端口安全能根據(jù)MAC地址對網(wǎng)絡(luò)流量進(jìn)行控制和管理，限制具體端口通過的MAC地址的數(shù)量。網(wǎng)絡(luò)安全工作是一項長期的任務(wù)，網(wǎng)絡(luò)管理人員要加強(qiáng)防范意識，更好地保護(hù)各種資源。

[1]曾曠怡,楊家海.訪問控制列表的優(yōu)化問題[J].軟件學(xué)報.2007.

[2]Malik.王寶生,朱培棟,白建軍譯.網(wǎng)絡(luò)安全原理與實踐[M].北京:人民郵電出版社.2008.

[3]周游.校園網(wǎng)絡(luò)安全解決方案之訪問控制列表.電腦知識與技術(shù).2009.

[4]劉軍,王彩萍.ACL在 IP網(wǎng)絡(luò)中的應(yīng)用[J].計算機(jī)與數(shù)字工程.2009.

[5]賀斌.徐小華利用訪問控制列表構(gòu)建安全網(wǎng)絡(luò)[J].科技信息.2010.