网络交换机安全加固措施的实现

2018-01-15 00:22侯丽娟
科技传播 2017年24期
关键词:加固措施安全威胁

侯丽娟

摘 要 随着信息网络的不断发展及延伸应用,信息网络安全日趋重要,而网络中的主要组成部分网络交换机的安全性能要求也越来越高。本文针对信息网络系统中网络交换机面临的安全威胁,提出几种网络交换机的安全加固措施,有效提升信息网络安全。

关键词 网络交换机;安全威胁;加固措施

中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)201-0117-02

一般而言,信息网络的组网离不开网络交换机,网络交换机可以说是信息网络的主要部分,分别部署于从接入层到核心层,当网络交换机存在安全风险时,网络攻击者就会通过系统漏洞,对网络系统进行攻击,就会直接影响到信息网络的安全稳定运行,这也是本文研究的现实意义所在,从网络交换机自身的安全性能着手,提高网络数据传输的安全性,有效地防止病毒和黑客的恶意入侵。

1 网络交换机简介

从概念定义上来看,网络交换机可以被看作是一种能够扩大网络覆盖范围的器材,可以为子网络提供出更多的连接端口,从而方便连接上更多的计算机。伴随着信息化技术在企业的不断深入应用,交换机以其性价比高、活动灵活,操作简单,还有易于实现等一系列优点,已成为了局域网组网技术中非常重要的组成部分,从接入层、汇聚层、甚至核心层,并且发挥着相当重要的作用。网络交换机除了发挥其数据转发功能外,在黑客攻击和病毒侵扰下,仍能继续保持其高效的数据转发速率,不受到攻击的干扰,显得尤为重要[ 1 ]。

2 网络交换机面临的安全威胁

在长期的工作实际中以及现存的网络安全事件报道中,根据交换机的工作原理,可以看出,目前网络交换机面前的主要安全威胁有MAC地址泛洪攻击、DOS攻击、ARP攻击等安全威胁。

MAC地址泛洪攻击,攻击者利用交换机的工作原理即MAC地址学习机制,伪造的大量的MAC地址数据包,导致CAM被大量非法用户的数据信息填满,而正常用户的MAC地址条目将无法写入CAM表,使网络交换机选择广播的方式传输数据,从而获取其他人的报文信息。

DOS攻击即拒绝服务攻击,DOS攻击主要是分布式攻击,在攻击时,会充分运用一些互联网带宽工具,集中力量对主机进行攻击,使得局域网系统所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。

ARP攻击是一种专门针对以太网地址协议解析的攻击技术,攻击者能够通过网络去修改数据的封装包,进而导致用户的计算机系统不能够正常地进行连接工作,具体的攻击行为是ARP泛洪攻击和ARP欺骗。

3 网络交换机安全加固措施的实现

3.1 加强硬件安全及版本升级

信息網络是信息化深化应用的基础,在信息化深化应用的今天,信息安全问题日趋重要,信息系统的基础网络安全也不可小觑,因此针对网络交换机的安全风险进行防范,避免一些漏洞问题而引发整个信息网络核心数据的失密和失控,首先我们需要确保交换机软件IOS版本的及时更新,版本较低会带来安全性和稳定性方面的隐患,因此要求在设备的FLASH容量允许的情况下升级到较新的版本,对于一些高端的核心交换机尤其重要,必要情况下可升级设备的FLASH容量,以便于IOS更新版本的下载使用。同时确保信息网络的安全及稳定性,对一些重要节点重要部件,配置为双机或配置一些常用的板卡等等,避免当网络交换机出现故障的时候,网络系统连接的设备及端口都可以正常运行,从而有效地提升信息网络数据传输的安全性和稳定性。

3.2 访问控制设置并启用日志功能

在网络交换机的日常运维中,较为安全的是采用本地维护,但是当必须开启远程运维时,如何确保交换机自身访问控制的安全性,不给不法分子留下漏洞,就需要对登录方式及访问控制上进行安全加固。首先,确保所有访问控制的线路,不管是Console口还是Vty口登录,确保密码的复杂度需要符合安全性要求,且使用MD5加密方法对其加密。

其次,尽可能少的使用远程管理,假如是需要远程管理的话,禁用telnet访问,选择SSH远程管理方式,及采用访问控制的方式(即只允许某台客户端对其进行远程管理)以及配置不同权限的用户对访问权限进行限制,且配置相应的尝试登录次数及时间限制,超过配置的参数后,锁定该用户登录。

再次,启用日志功能。若交换机没有足够的空间,为所管理的网络交换机指定统一的日志服务器,在日志文件中能统一的记录登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据。这样一旦出现了网络运行故障的话,可以方便操作人员准确调取交换机设备的故障信息,便于故障的分析以及预控。

3.3 端口、服务最小化开放原则

为了避免给攻击者留下漏洞可攻,在交换机的配置上,我们一般采取端口、服务最小化开放原则,即不需要开放的端口,不给予开放,不需要的服务,严格关闭,仅保留所需要的端口及承载业务所必需的网络服务。例如在实际工作中,为了防止MAC地址泛洪攻击,对于接入交换机层限定接入端口的数量,即每一接入端口一般情况下仅允许一台客户机接入,假如有多用户接入的需求,也将严格设置接入数量,不需要使用的端口采用关闭措施。

3.4 网络准入控制实现

网络准入控制的目的主要是为了能够有效控制App攻击,防止非法用户的恶意入侵,解决访问地址冲突的问题,从而提高网络交换机的安全性,具体可以通过802.1x网络准入控制、IP-MAC绑定技术、以及在交换机上配置DHCP Snooping检测来实现对网络的准入控制。一般可以根据公司的实际情况,采取不同的准入控制措施,也可以结合起来应用。在实际工作中,一般可以采用IP-MAC地址绑定结合交换机上配置动态ARP检测,对于IP-MAC地址绑定工作可以通过DHCP服务器来实现绑定功能,在配置上操作上来说也稍微简单,因此该方法配置及维护相对而言较易实现。

3.5 ACL配置

为了确保交换机稳定安全的运行,在三层网络交换机配置上,通常采用配置相应的ACL,对蠕虫端口进行屏蔽,关闭不安全的服务避免被入侵者利用。同时为了安全起见,可以根据每个网段的业务访问情况,精确配置ACL,进一步减少安全风险。

4 结论

综上所述,在信息技术深入应用的今天,信息安全问题已成重要的安全问题,因此作为信息技术的基础,网络安全也日趋重要,维护好基础设备即网络交换机的信息安全,不仅需要相关技术人员的高度重视,对于已知的网络风险,在网络源头即交换机的安全配置上,狠下功夫,确保安全,同时也需要继续深入研究,积极发现一些潜在的安全风险,积极采取有效的安全加固措施,确保信息网络的安全。

参考文献

[1]范静,陈睿.基于网络交换机安全措施的研究和实现[J].华东电力,2014,42(5):1048-1049.endprint

猜你喜欢
加固措施安全威胁
建筑工程结构检测及加固措施
WIFI无线网络技术及安全问题研究
校园无线网络的安全问题及应对策略
关于计算机网络信息安全及防护策略探究
大数据时代的微信安全文化建构
浅谈公路软土地基的加固措施与施工方法
公路桥梁墩(台)基础病害分析及加固措施