淺論局域網交換機安全管理

譚鳳潔，高玉梅

國網黑龍江省電力有限公司雞西供電公司

淺論局域網交換機安全管理

譚鳳潔，高玉梅

國網黑龍江省電力有限公司雞西供電公司

對于現代局域網而言，交換機的功能無異于網絡系統的大腦，交換機在局域網系統乃至整個網絡系統中都占具著極為重要的地位。作為網絡信息交換與共享的中轉站，交換機也成為網絡黑客攻擊網絡系統和竊取信息的主要目標，因此交換機的安全在網絡安全管理中不可忽視，如何加強交換機安全管理，保障局域網信息的安全，成為了越來越受到關注的問題。

局域網；交換機；網絡安全

電子計算機的廣泛應用和互聯網技術的飛速發展，使局域網受到了越來越多的關注，局域網辦公也作為現代化辦公的一種模式被廣泛應用，局域網連接的計算機工作組在資源共享與小組信息交流中發揮著十分重要的作用，不但提高了信息資源的利用率，也大大加快了工作效率。由于網絡安全問題在全球范圍內受到的重視不斷加強，對局域網安全管理工作的要求也越來越高。

一、局域網常見安全威脅

病毒威脅。局域網的出現為每一個用戶提供了方便，同時也為病毒傳播提供了方便。網絡病毒危害日甚，尤其是蠕蟲病毒，發作時能夠使整個網絡陷于癱瘓，更有人利用病毒進行惡意攻擊，以獲取非法利益。

黑客入侵。黑客作為一個特殊的群體，其對網絡的攻擊行為是網絡安全的一大威脅，黑客通過技術手段可以對目標網絡系統實行各種各樣的攻擊，其攻擊形式復雜多變，且攻擊技術不斷更新，極大增加了網絡安全防護的困難程度。黑客入侵不僅可以從網內入侵系統還可能從外部網絡對系統進行攻擊。

安全認證漏洞。隨著網絡規模越來越大，網絡用戶中經常發生IP地址盜用、IP地址沖突、帳號盜用等，給局域網的安全帶來巨大的隱患。

管理漏洞。網絡安全威脅不僅出現在防護技術與設備方面，管理方面疏忽產生的漏洞也會導致局域網安全受到威脅，對網絡安全的管理不重視、管理制度不健全、管理措施落實不到位、管理工作失衡以及對網絡安全管理方面的投入不足導致管理工作無法發揮應有作用，都可能會導致局域網安全問題的出現。

二、加強局域網安全管理

局域網安全涉及很多方面，傳統的防護技術組成主要是通過殺毒軟件和防火墻完成攔截網絡病毒入侵以及病毒查殺的工作，較重視系統入侵的檢測。現代網絡中交換機與路由器的使用頻繁，且因其對網絡安全的重要性，成為網絡安全管理中的關鍵部分。為應對網絡安全威脅大部分交換機與路由器都有相對豐富的安全功能，從其出廠開始便開始了安全防護的過程，要充分發揮交換機與路由器的安全性能就要對其安全功能的設置及工作方式有足夠的了解，充分保證其安全功能的發揮。

密碼設置方面。在初始登錄交換機和路由器時會被強制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數限制，而且以加密方式存儲。交換機及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發生后應該不會危及安全并恢復運作，因為日志的原因，網絡設備應該通過網絡時間協議保持安全精確的時間。

抵擋系統攻擊方面。交換機和路由器在使用中對于各種形式的系統攻擊應有一定的抵擋能力，如拒絕服務式的Dos攻擊，以及蠕蟲病毒攻擊等，要確保受到攻擊時系統能夠正常運行，并且對攻擊做出正確的反應，同時對于攻擊的反應要在網絡安全日志中有所記錄。這要求交換機與路由器在屏蔽攻擊IP與受到攻擊的抵御能力上要不斷加強。

漏洞與權限的管理方面。首先要了解代碼漏洞可能出現的情況，對于漏洞的檢查，與系統安全升級以及補丁的安裝都應及時進行，確保網絡安全。在權限管理方面，基于角色的管理給予管理員最低程度的許可來完成任務，允許分派任務，提供檢查及平衡，只有受信任的連接才能管理它們。管理權限可賦予設備或其他主機，控制管理權限的最好辦法是在授權進入前分權限，可以通過認證和帳戶服務器來實現。

遠程連接加密方面。遠程連接也是交換機在使用中容易出現安全威脅的一個環節，為確保信息傳輸安全，在使用交換機進行遠程連接時要對協議進行加密。作為專為遠程連接登錄會話與其他網絡工作服務時提供安全保護的SSH協議，在遠程連接中可以有效的保護信息傳輸的安全，防止信息泄露。

三、加強交換機安全的措施

交換機安全防護工作主要有兩方面，一方面從硬件的安全入手對網絡安全進行保護，另一面要控制好訪問的各環節權限，防止非法訪問與越權訪問造成網絡資源的非法盜用。

硬件安全的管理主要是對網絡服務器、計算機系統、網絡打印機等硬件與通信鏈路的安全進行的保護；對用戶的使用權限于身份進行驗證，防止越權操作；確保整個計算機網絡系統處在良好的工作環境中。

對訪問權限的控制是網絡安全防護的一種主要手段，對于保護網絡安全發揮著重要作用，包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點安全控制等。

四、交換機管理

現階段主要的交換機訪問方式有控制臺端口訪問、遠程登錄訪問、web登錄訪問以及通過專用的網絡管理軟件進行訪問。

控制臺端口的訪問相對比較簡單，通過交換機與路由器出廠時自帶的控制臺端口進行連接，連接成功后輸入用戶名與密碼才能對交換機進行訪問。這種訪問方式只能在交換機旁進行，在交換機管理權限中處于最高級別。

遠程登錄訪問是在交換機已經連接在網絡中，且已設置好IP地址等基本配置的情況下，使用Telnet遠程登錄到交換機中，對其進行訪問、配置的一種方式，這種方法經常在網絡設備的維護和網絡管理操作中使用。遠程登錄訪問在管理權限上要略小于控制臺訪問。

另一種常用的訪問方式是web登錄訪問，在IP地址已經設置好且SNMP協議已經啟用的情況下，可以通過電腦的瀏覽器對交換機進行登錄及訪問，他的特點是權限小，但管理操作較為方便。

專用網絡管理軟件是針對大中型網絡的管理需要研發的，他對交換機的訪問與管理也是需要通過SNMP協議來完成，由于專用網絡管理軟件的開發具有一定的針對性，因此其在管理功能上具有更大的優越性。

總之，對于局域網交換機的安全管理是維護網絡安全，保護網絡系統的正常運行以及網絡信息資源的安全使用的重點所在，在日常的網絡安全管理中必須要給與足夠的重視，并且要加強網絡安全防護技術的革新，不斷提高網絡安全防護能力，為互聯網的發展提供安全保障。

[1]吳江,陳萬,楊明,鄭定琛,孫進.淺析黑客對局域網攻防策略[J].電腦知識與技術,2011(06)