基于交换机的网络安全体系构建

周晓彬+陈武

摘要：信息化时代背景下，网络信息技术在各个领域的普及应用更加广泛，人类生活、生产都离不开网络，然而在复杂多变的环境下，网络在为人类带来便利的同时，其网络安全也备受考验。如何能够更加有效的预防网络交流中的黑客攻击、网络安全所衍生出来信任危机，成为当前网络管理的首要问题。作为网络重要组成部分，交换机安全直接影响网络安全，解决网络安全问题，要从交换机方面开始探讨，该文就以此为内容，对基于交换机的网络安全体系构建进行几点分析。

关键词：交换机技术；局域网；安全系统；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）01-0055-02

在网络技术高度普及的今天，网络环境也日渐复杂，日常网络交流、信息传输共享过程中，被黑客攻击和干扰的情况增多。在网络技术日渐发达的过程中，黑客技术也在不断发展，防火墙技术一般只是针对内部网络进行保护，而目前一些黑客会使用Cain，Dsniff等技术进行局域网攻击，并对网络信息进行恶意传播，这大大威胁到了广大人民群众的利益。此时，交换机为核心的网络安全体系构建显得更加紧迫。

1 交换机相关概述

在计算机网络中，交换机占据核心地位，发挥着不可取代的作用，在当前网络环境日渐复杂的今天，病毒、黑客对计算机网络产生了巨大威胁，以交换机为核心的网络安全问题也开始受到管多关注。提高交换机本身的安全性能，是网络安全建设的重中之重。

将电信信息进行转发的主要网络设备就是交换机，并且也在市场中得到了广泛的推广和运用，并且也在计算机共享网络资源和传输资源中具有非常重要的作用和意义。另外，网络信息还应该满足保密和完整以及安全三个方面的需求。所以，在使用交换机的过程中，应该满足一下三个方面的要求：第一，要制定一套合理的用户使用权限，将网络信息的区域进行有效划分，从而保证网络访问的安全性；第二，要降低交换机在网络数据中受到干扰问题的出现，并且还需要考虑其中的安全性和高效性；第三，要和其他的网络设备进行结合，从而提高在运用交换机过程中的自我保护功能和防干扰的现象。

2 交换机安全问题研究

交换机在网络中工作在数据链路层，属于二层设备，提供了網络互联的等功能。它根据源MAC学习，根据新的MAC进行转发，按照每一个数据帧中的MAC地址决策信息转发。交换机是网络常用设备之一，也是网络必备设备之一，作为网络的基础构件，它的安全性着实成为许多工程师及网管人员的首要关注点。

交换机作为一种网络互联设备，它的默认状态旨在强化对内保护和内部开放通信的安全性。企业内部的交换机用于提供通信、转发游有用信息，这种提供通信的设备，往往安全性配置最低，这使得它们更容易遭到恶意攻击。如果攻击时在企业网内部设备的二层上发起的，那么通常在为检测到异常之前，网络中的其他设备就马上被攻陷了。同样，非恶意用户的一些行为也会导致网络中断，例如，用户在谁端口连入交换机或集线器的行为，或者把自己的笔记本配置为DHCP服务器的行为，尽管不是恶意的，但仍可能导致网络中断。所以，网络管理员必须采取安全保护行为，就跟ACL为上层提供安全保护一样，建立一个策略，并配置适当的特性，以便在维护日常网络运营的同时防范潜在的恶意威胁。

3 基于交换机的网络安全体系

基于以上对交换机以及其安全问题的研究，对基于交换机的网络安全体系构建进行具体分析：

3.1 划分VLAN以提高网络安全

VLAN就是虚拟局域网，就是一组设备和用户之间的关系，也可以被称之为广播域，而一般都是在参考模型的第二个阶段和第三个阶段，并且VLAN技术也是一项非常灵活的技术。另外，他不会被物理位置的原因而受到限制，都是在同一个网络之间将设备和用户的数据进行流通，这个过程大部分都是由路由器的第三个阶段完成任务，从而满足各方面应用的需求。但是，我国现阶段大部分运用的都是以太网，并且自身的安全系数也非常低，在使用过程中经常会出现一些问题，基于此为了提高以太网安全，可以将用户组进行分组，ING运行网络的账户与ID，同时利用增加的虚拟局域网，将用户的每一个工作组都进行排列。将虚拟局域网进行合理的划分，就可以实现对关闭范围进行统一管理的最终目标，这就是将虚拟局域网和广播风暴进行有效隔离的作用。但是虚拟局域网的账号是没有一样的，这样就会导致在虚拟局域网的情况下，会阻断对数据的传输，这就需要加入路由器，才能实现正常的运作。因此，建立一个合理的虚拟局域网环境，不仅能够实现对数据和设备的统一管理，还可以全方面地提高网络运作过程中的安全性。

3.2 设置访问控制列表

控制访问过程中，必然会涉及对于网络的安全管理，可以说控制访问具有关键作用，控制访问过程能够最大化避免用户利用非法手段访问，相关技术人员，可以设定符合网络控制的列表，对于积极的访问控制技术要权利配合，常见的控制有属性控制与网络权限控制，这样一来，利用交换机，提高对于防火墙功能的辅助效果，加强对于安全数据的过滤功能，提高防范网络病毒的效率，例如：常见的MAC地址以及TCP/UDP端口，通过利用这些项目，实施有效的访问限制，不仅实现了过滤能力，同时也提高了网络安全系数，利用列表ACL提高对于网络安全的屏蔽，会大大实现数据的有效传输，会实现对于安全性能的有效限制。

3.3 通过NetFlow来提高网络安全性

虚拟局域网在实际运作的过程中，服务器经常会受到多个方面的攻击，会造成一定的影响，所以，常常会因这些导致网络无法正常运行，在严重的情况下，会对安全性造成很大影响，了此，相关工作的开展过程就可以合理的运用NetFlow，并且在路由器和交换机中进行合理的应用，从而实现网络可以避免对服务器系统和电脑病毒的侵犯等等，最终有效的降低网络在运行中的危险性。在这个运行的过程中，主要包括三个方面：第一，病毒探测器。第二，采集器。第三，报告系统。在NetFlow系统应用的过程中，主要是由以上几个方面组合而成的，并且还可以突出运用NetFlow的功能性。另外，在网络运行的过程中不仅仅是单一一种交换机，交换机的数量问题也要考虑。而交换机就可以运用NetFlow的同时，提高网络运行的安全性，而其中的流量监管系统，还可以对一些异常的问题和情况进行处理，主要包括对源头和大小以及危害等各个方面进行处理。所以，在网络后台运行的工作人员，就可以合理的运用NetFlow，从而能够及时发现网络中的问题和现象，最终提高网络安全的系数。endprint

3.4 加强安全认证

通过物理连接端口支持网络的正常运行，也这是传统局域网中一个非常显著的特点，但是在这同时，也就加大了安全隐患。一些没有经过授权的网络设备和用户，就可以直接通过物理连接端口连接传统局域网，这样就会给局域网造成一定程度上的破坏和影响。所以，为了可以有效提高局域网的安全运行，就需要合理的运用IEEE 302.1x，从而有效避免局域网出现的安全隐患，还可以达到一个非常完美的连接和融合。另外，如果在第二个阶段的智能交换机中运用IEEE 302.1x，就可以对用户的信息进行全方面的审核，从而完成对局域网端口的安全认证。IEEE 302.1x不仅可以允许每一个网络端口的动态配置访问，还可以对风险进行有效的控制，从而认证下一个服务器的访问请求。

3.5 加强交换机的端口安全

网络端口中实施的安全措施，最重要的目的就是實现保证网络运行的安全，其中的主要结构是由MAC地址和网络交换机端口组合而成的，从而实现对网络虚拟端口和流量的严格控制和管理，最终有效提高网络交换机端口的安全性能。另外，将交换机端口与MAC地址绑定以后，就需要将数据库的管理系统进行有效的关联。所以，在实际访问的过程中，如果主机的MAC实际的地址与交换机的信息不符合，，那么网络端口就会自动关闭，从而保护网络的安全。

4 结束语

信息化时代，人们生产与生活都离不开网络，网络彻底颠覆了人们生活与生产方式，为人们提供了巨大便利，与此同时，计算机网络完全问题也日渐严峻。随着网络的普及，网络环境也更加复杂，研究计算机网络安全，构建更加完善的网络安全防护体系，显得更为紧迫。交换机作为网络系统的核心，其在网络安全体系构建中所占比重很大，做好交换机安全，能够大大提高整个网络安全系数。本文首先对交换机相关概念进行分析，接着研究了交换机安全问题，最后，从VLAN、设置访问控制列表、NetFlow应用、加强安全认证、加强交换机的端口安全等五个方面对基于交换机的网络安全体系构建策略展开探讨，希望能够更好地维护网络建设发展，为人们创造更加和谐、安全、稳定的网络环境。

参考文献：

[1] 钟维琴.基于三层交换机的局域网构建[J].机电工程技术，2017（1）.

[2] 陈鸣，陶小妹，胡超，等.基于网络功能虚拟化的网络试验平台的设计与实现[J].计算机学报，2017（2）.

[3] 张晓峰.交换机端口安全防护措施在内网中的应用[J].电子技术与软件工程，2017（5）.endprint