基于交換機的網絡安全體系構建

周曉彬+陳武

摘要：信息化時代背景下，網絡信息技術在各個領域的普及應用更加廣泛，人類生活、生產都離不開網絡，然而在復雜多變的環境下，網絡在為人類帶來便利的同時，其網絡安全也備受考驗。如何能夠更加有效的預防網絡交流中的黑客攻擊、網絡安全所衍生出來信任危機，成為當前網絡管理的首要問題。作為網絡重要組成部分，交換機安全直接影響網絡安全，解決網絡安全問題，要從交換機方面開始探討，該文就以此為內容，對基于交換機的網絡安全體系構建進行幾點分析。

關鍵詞：交換機技術；局域網；安全系統；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）01-0055-02

在網絡技術高度普及的今天，網絡環境也日漸復雜，日常網絡交流、信息傳輸共享過程中，被黑客攻擊和干擾的情況增多。在網絡技術日漸發達的過程中，黑客技術也在不斷發展，防火墻技術一般只是針對內部網絡進行保護，而目前一些黑客會使用Cain，Dsniff等技術進行局域網攻擊，并對網絡信息進行惡意傳播，這大大威脅到了廣大人民群眾的利益。此時，交換機為核心的網絡安全體系構建顯得更加緊迫。

1 交換機相關概述

在計算機網絡中，交換機占據核心地位，發揮著不可取代的作用，在當前網絡環境日漸復雜的今天，病毒、黑客對計算機網絡產生了巨大威脅，以交換機為核心的網絡安全問題也開始受到管多關注。提高交換機本身的安全性能，是網絡安全建設的重中之重。

將電信信息進行轉發的主要網絡設備就是交換機，并且也在市場中得到了廣泛的推廣和運用，并且也在計算機共享網絡資源和傳輸資源中具有非常重要的作用和意義。另外，網絡信息還應該滿足保密和完整以及安全三個方面的需求。所以，在使用交換機的過程中，應該滿足一下三個方面的要求：第一，要制定一套合理的用戶使用權限，將網絡信息的區域進行有效劃分，從而保證網絡訪問的安全性；第二，要降低交換機在網絡數據中受到干擾問題的出現，并且還需要考慮其中的安全性和高效性；第三，要和其他的網絡設備進行結合，從而提高在運用交換機過程中的自我保護功能和防干擾的現象。

2 交換機安全問題研究

交換機在網絡中工作在數據鏈路層，屬于二層設備，提供了網絡互聯的等功能。它根據源MAC學習，根據新的MAC進行轉發，按照每一個數據幀中的MAC地址決策信息轉發。交換機是網絡常用設備之一，也是網絡必備設備之一，作為網絡的基礎構件，它的安全性著實成為許多工程師及網管人員的首要關注點。

交換機作為一種網絡互聯設備，它的默認狀態旨在強化對內保護和內部開放通信的安全性。企業內部的交換機用于提供通信、轉發游有用信息，這種提供通信的設備，往往安全性配置最低，這使得它們更容易遭到惡意攻擊。如果攻擊時在企業網內部設備的二層上發起的，那么通常在為檢測到異常之前，網絡中的其他設備就馬上被攻陷了。同樣，非惡意用戶的一些行為也會導致網絡中斷，例如，用戶在誰端口連入交換機或集線器的行為，或者把自己的筆記本配置為DHCP服務器的行為，盡管不是惡意的，但仍可能導致網絡中斷。所以，網絡管理員必須采取安全保護行為，就跟ACL為上層提供安全保護一樣，建立一個策略，并配置適當的特性，以便在維護日常網絡運營的同時防范潛在的惡意威脅。

3 基于交換機的網絡安全體系

基于以上對交換機以及其安全問題的研究，對基于交換機的網絡安全體系構建進行具體分析：

3.1 劃分VLAN以提高網絡安全

VLAN就是虛擬局域網，就是一組設備和用戶之間的關系，也可以被稱之為廣播域，而一般都是在參考模型的第二個階段和第三個階段，并且VLAN技術也是一項非常靈活的技術。另外，他不會被物理位置的原因而受到限制，都是在同一個網絡之間將設備和用戶的數據進行流通，這個過程大部分都是由路由器的第三個階段完成任務，從而滿足各方面應用的需求。但是，我國現階段大部分運用的都是以太網，并且自身的安全系數也非常低，在使用過程中經常會出現一些問題，基于此為了提高以太網安全，可以將用戶組進行分組，ING運行網絡的賬戶與ID，同時利用增加的虛擬局域網，將用戶的每一個工作組都進行排列。將虛擬局域網進行合理的劃分，就可以實現對關閉范圍進行統一管理的最終目標，這就是將虛擬局域網和廣播風暴進行有效隔離的作用。但是虛擬局域網的賬號是沒有一樣的，這樣就會導致在虛擬局域網的情況下，會阻斷對數據的傳輸，這就需要加入路由器，才能實現正常的運作。因此，建立一個合理的虛擬局域網環境，不僅能夠實現對數據和設備的統一管理，還可以全方面地提高網絡運作過程中的安全性。

3.2 設置訪問控制列表

控制訪問過程中，必然會涉及對于網絡的安全管理，可以說控制訪問具有關鍵作用，控制訪問過程能夠最大化避免用戶利用非法手段訪問，相關技術人員，可以設定符合網絡控制的列表，對于積極的訪問控制技術要權利配合，常見的控制有屬性控制與網絡權限控制，這樣一來，利用交換機，提高對于防火墻功能的輔助效果，加強對于安全數據的過濾功能，提高防范網絡病毒的效率，例如：常見的MAC地址以及TCP/UDP端口，通過利用這些項目，實施有效的訪問限制，不僅實現了過濾能力，同時也提高了網絡安全系數，利用列表ACL提高對于網絡安全的屏蔽，會大大實現數據的有效傳輸，會實現對于安全性能的有效限制。

3.3 通過NetFlow來提高網絡安全性

虛擬局域網在實際運作的過程中，服務器經常會受到多個方面的攻擊，會造成一定的影響，所以，常常會因這些導致網絡無法正常運行，在嚴重的情況下，會對安全性造成很大影響，了此，相關工作的開展過程就可以合理的運用NetFlow，并且在路由器和交換機中進行合理的應用，從而實現網絡可以避免對服務器系統和電腦病毒的侵犯等等，最終有效的降低網絡在運行中的危險性。在這個運行的過程中，主要包括三個方面：第一，病毒探測器。第二，采集器。第三，報告系統。在NetFlow系統應用的過程中，主要是由以上幾個方面組合而成的，并且還可以突出運用NetFlow的功能性。另外，在網絡運行的過程中不僅僅是單一一種交換機，交換機的數量問題也要考慮。而交換機就可以運用NetFlow的同時，提高網絡運行的安全性，而其中的流量監管系統，還可以對一些異常的問題和情況進行處理，主要包括對源頭和大小以及危害等各個方面進行處理。所以，在網絡后臺運行的工作人員，就可以合理的運用NetFlow，從而能夠及時發現網絡中的問題和現象，最終提高網絡安全的系數。endprint

3.4 加強安全認證

通過物理連接端口支持網絡的正常運行，也這是傳統局域網中一個非常顯著的特點，但是在這同時，也就加大了安全隱患。一些沒有經過授權的網絡設備和用戶，就可以直接通過物理連接端口連接傳統局域網，這樣就會給局域網造成一定程度上的破壞和影響。所以，為了可以有效提高局域網的安全運行，就需要合理的運用IEEE 302.1x，從而有效避免局域網出現的安全隱患，還可以達到一個非常完美的連接和融合。另外，如果在第二個階段的智能交換機中運用IEEE 302.1x，就可以對用戶的信息進行全方面的審核，從而完成對局域網端口的安全認證。IEEE 302.1x不僅可以允許每一個網絡端口的動態配置訪問，還可以對風險進行有效的控制，從而認證下一個服務器的訪問請求。

3.5 加強交換機的端口安全

網絡端口中實施的安全措施，最重要的目的就是實現保證網絡運行的安全，其中的主要結構是由MAC地址和網絡交換機端口組合而成的，從而實現對網絡虛擬端口和流量的嚴格控制和管理，最終有效提高網絡交換機端口的安全性能。另外，將交換機端口與MAC地址綁定以后，就需要將數據庫的管理系統進行有效的關聯。所以，在實際訪問的過程中，如果主機的MAC實際的地址與交換機的信息不符合，，那么網絡端口就會自動關閉，從而保護網絡的安全。

4 結束語

信息化時代，人們生產與生活都離不開網絡，網絡徹底顛覆了人們生活與生產方式，為人們提供了巨大便利，與此同時，計算機網絡完全問題也日漸嚴峻。隨著網絡的普及，網絡環境也更加復雜，研究計算機網絡安全，構建更加完善的網絡安全防護體系，顯得更為緊迫。交換機作為網絡系統的核心，其在網絡安全體系構建中所占比重很大，做好交換機安全，能夠大大提高整個網絡安全系數。本文首先對交換機相關概念進行分析，接著研究了交換機安全問題，最后，從VLAN、設置訪問控制列表、NetFlow應用、加強安全認證、加強交換機的端口安全等五個方面對基于交換機的網絡安全體系構建策略展開探討，希望能夠更好地維護網絡建設發展，為人們創造更加和諧、安全、穩定的網絡環境。

參考文獻：

[1] 鐘維琴.基于三層交換機的局域網構建[J].機電工程技術，2017（1）.

[2] 陳鳴，陶小妹，胡超，等.基于網絡功能虛擬化的網絡試驗平臺的設計與實現[J].計算機學報，2017（2）.

[3] 張曉峰.交換機端口安全防護措施在內網中的應用[J].電子技術與軟件工程，2017（5）.endprint