提高數據通信網絡安全的對策研究

關建華

摘 要：21世紀是信息化與網絡化的新時代，網絡的快速發展為用戶之間實現信息連接創造了更加有利的技術條件。在這數據通信的網絡時代，如何保障用戶通過提取工具得到安全的網絡信息，是網絡的參與者需要解決的重大課題。文章主要在認識數據通信網絡的基礎上，了解網絡安全的含義，并提出如何保障數據通信網絡安全的對策。

關鍵詞：數據通信；網絡安全；信息安全；對策

1 前言

當今計算機網絡與通信技術的迅猛發展，帶動了數據通信等科學技術的完善和日漸成熟，并且推動了網絡化的數據通信模式逐步取代傳統化的通信模式而發展為當前最主要的時代通信方式。隨著網絡化的信息發展，以及數據庫建設水平的不斷提高，使得客戶端以及服務器網絡成為用戶獲取多樣化信息的媒介。

2 重視網絡安全，提高數據通信網絡的管理水平

2.1 加大對安全性的評估力度

有效保障數據通信網絡的穩定性和安全性，就必須充分發揮技術人力資源的作用，積極構建起健全完善的數據通信平臺，并積極對系統平臺的安全性進行科學的全面的評估。作為一名合格具備專業化技術的人員，應按照相關制度要求和標準流程，設置科學的評估方式，對整個網絡環境進行系統的評估，并適時給予安全調整，準確分析潛在的用戶群體以及信息源，并對他們進行安全評估和識別，充分了解數據通信網絡的發展實際，以此為出發點開展系統安全性的分析活動。

2.2 及時排查隱存的安全威脅

定期開展網絡安全的檢查與維修活動，以及時確保數據信息的可靠性與真實性得到有效的安全確認，避免服務器的終端設備以及信息網中的硬件設備和軟件設備受到惡意破壞，防止系統網絡受到不法分子的嚴重攻擊，達到對數據庫內部的信息進行保密的目的。所以這就要求專業化的技術人員需以對網絡安全性的有效評估為前提，全面仔細存在的隱形的安全威脅，積極設置高效的網管設置等形式，不斷優化系統漏洞，拒絕一切不法分析用戶的對網絡系統的入侵和攻擊，降低安全風險的發生。

3 路由器與交換機漏洞的發現和防護

作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的，不管這樣的連接方式是利用何種方式進行連接，都難以避開負載路由器以及交換機的系統網絡，這是這樣，這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。

從路由器與交換機存在漏洞致因看，路由與交換的過程就是于網絡中對數據包進行移動。在這個轉移的過程中，它們常常被認為是作為某種單一化的傳遞設備而存在，那么這就需要注意，假如某個黑客竊取到主導路由器或者是交換機的相關權限之后，則會引發損失慘重的破壞。縱觀路由與交換市場，擁有最多市場占有率的是思科公司，并且被網絡領域人員視為重要的行業標準，也正因為該公司的產品普及應用程度較高，所以更加容易受到黑客攻擊的目標。比如，在某些操作系統中，設置有相應的用于思科設備完整工具，主要是方便管理員對漏洞進行定期的檢查，然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在，就像密碼漏洞主要利用John the Ripper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動，為避免這種攻擊，充分使用平臺帶有相應的多樣化的檢查工具，并在需要時進行定期更新，并保障設備出廠的默認密碼已經得到徹底清除；而針對BGP漏洞的防護，最理想的辦法是于ISP級別層面處理和解決相關的問題，假如是網絡層面，最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視，并時刻搜索內在發生的所有異常現象。

4 交換機常見的攻擊類型

4.1 MAC 表洪水攻擊

交換機基本運行形勢為：當幀經過交換機的過程會記下MAC源地址，該地址同幀經過的端口存在某種聯系，此后向該地址發送的信息流只會經過該端口，這樣有助于節約帶寬資源[1]。通常情況下，MAC地址主要儲存于能夠追蹤和查詢的CAM中，以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包，則會促使交換機往不同的連接方向輸送大量的數據流，最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。

4.2 ARP攻擊

這是在會話劫持攻擊環節頻發的手段之一，它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后，這個節點會收到確認其物理地址的應答，這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，ARP欺騙過程如圖1所示。

4.3 VTP攻擊

以VTP角度看，探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時，VTP上所配置的版本號均會增多1，當用戶觀察到所配置的版本號明顯高于當前的版本號時，則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時，那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接，然后再本臺計算機與其構建一條有效的中繼通道，然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器，那么就會致使全部的交換機同黑客那臺計算機實現同步，最終將全部除非默認的VLAN移出VLAN數據庫的范圍[2]。

5 安全防范VLAN攻擊的對策

5.1 保障TRUNK接口的穩定與安全

通常情況下，交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種，前者是指用戶接入設備時必備的端口狀態，后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時，能夠避免開展任何的命令式操作行為，也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態，為各項攻擊的發生埋下隱患，可通過如下的方式防止安全隱患的發生。

首先，把交換機設備上全部的接口狀態認為設置成Access狀態，這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后，不管以怎樣的方式進行協商其最終結果均是Accese狀態，致使黑客難以將交換機設備上的空閑接口作為攻擊突破口，并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊，這邊的接口狀態始終為Turnk狀態，這樣有助于顯著提高設備的可控性[3]。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置，對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口，這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊，保障數據傳送的安全性。

5.2 保障VTP協議的有效性與安全性

VTP（VLAN Trunk Protocol，VLAN干道協議）是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議，它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTP Server上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內的其他所有交換機，這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統一性[3]。處于VTP模式下，黑客容易通過VTP實現初步入侵和攻擊，并通過獲取相應的權限，以隨意更改入侵的局域網絡內部架構，導致網絡阻塞和混亂。所以對VTP協議進行操作時，僅保存一臺設置為VTP的服務器模式，其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的，應將VTP域全部的交換機設置為相同的密碼，以保證只有符合密碼相同的情況才能正常運作VTP，保障網絡的安全。

6 結語

處于全球信息以及計算機等科學技術的不斷改善和向前發展的社會環境中，數據通信網絡的發展內容得到了多樣化的豐富和充實，數據通信已發展成當今社會通信的的主要方式。所以不斷是從基礎研究理論或是實際應用活動中，如何保障網絡安全應當成為今后數據網絡發展中的重大課題，研究人員應當致力于探索多樣化和創新化的方式和渠道，以全面保障數據通信網絡的安全和穩定，為廣大社會用戶創造高效放心的通信環境。

[參考文獻]

[1]姜南.探討網絡數據安全的策略[J].民營科技，2012，6（2）：118-192.

[2]魏英韜.對通信網絡數據的探討[J].黑龍江科技信息，2011，6（3）：89-93.

[3]代正賢.淺談通信網絡安全技術[J].科技創新與應用，2013，（7）：179-186.