涉密网络交换机安全防护技术研究

王陆然

（航空工业空气动力研究院，辽宁 沈阳 110000）

引言

随着我国社会经济的发展，计算机网络已经在我国人民生活中进行普及，并且人们对于网路中的安全也越来越重视。特别是政府以及军区等涉及到涉密文件的单位，对于这些单位来说，网络安全已经成为重要问题。交换机是网络中的主要核心设备，并且交换机自身的安全性与网络整体的安全性有着直接的关系。所以，为了有效避免因为网络关系所带来的影响，并有效的帮助涉密网络稳定使用，需要通过一定的方式来对交换机的安全技术以及策略进行有效研究，这样可以有效的增加涉密网络的安全性以及稳定性。

一、交换机管理防范技术

（一）采用口令加密策略

在交换机进行使用中往往是通过密码以及验证来进行登录，这样可以确保使用的权限以及合法性，并且密码在交换机中拥有两种保存方式，主要分为明文加密以及密文加密方式[1]。明文密码在进行输入中可以通过查看的配置文件来明确的看出，而不同的是密文密码是不能通过查看配置文件来进行识别的。为了更加有效的保证涉密网络的安全性，可以通过对enablesecret 命令的设置来进行特权模式的密码设置。并且在进行密码设置时需要采用高强度的密码来进行设置，可以采用字母和数字混合密码，或者是设置大小写以及符号的方式来进行密码的设置。为了更安全的进行密码的使用，也可以通过Servicepassword-encryption命令来对全部的密码进行保密，这样可以有效的提高密码的安全性。

（二）采用安全的远程管理方式

在网络中的多数管理人员都会采用Telnet 命令来对交换机进行远程管理。但是，在进行Telnet 命令的使用中存在一个非常危险的问题，主要是以明文的方式来进行用户名以及口令的输入[2]。这样很容易被攻击者盗取口令，从而导致网络受到严重的攻击。所以，为了更加好全的使用对其进行了SSH 协议，并在进行通讯时对用户名以及口令设置了保密情况，这样可以更加有效的提高了对非法用户窃取口令的控制，从而为网络管理人员提供了更加有效的远程管理方式。并且采用远程管理方式可以有效的发现危险，并且对于出现的问题可以及时有效的进行处理，这样可以更好的避免出现不必要的损失，同时还可以有效的确保管理人员在进行控制中不会出现突发情况，并且通过明文的方式可以有效的对口令进行保护，这样可以将损失降到最小。

二、VLAN 划分安全防范技术

（一）基于端口的VLAN 划分

虚拟局域网被称为VLAN，VLAN主要是一种通过将区域网内的设备逻辑进行一个网段的划分，从而更加有效的实现了虚拟工作组的新兴技术。因为VLAN 具有一定的高强度的灵活性并且不会受到物理位置的控制，所以用户和设备的主要通信是在同一种网络中进行的。并且在端口中进行VLAN 的划分是作为常见和最有效的VLAN 划分方法。同时它是由交换机中的物理端口进行区分为若干个组，并且每组都构成了一个虚拟网络。

VLAN 在进行划分中可以对广播的范围进行限制。在相同网段中，VLAN 的内部广播与单播流量在被恶意攻击时并不会向其他VLAN 进行转发，这主要是因为广播风暴被VLAN 隔开了，并且不相同的VLAN 之间无法进行相互的联系，如果想要进行联系需要借助路由器来进行联系。所以，在涉密网络中可以将交换机不同端口根据应用类型来进行访问特权的限制，分进行VLAN 的分类，这样可以有效的实现涉密网络的安全保障[3]。

（二）VTP 防护技术

VLAN 中继协议简称为VTP，VTP 是一种消息协议，主要是在第2 层的中继帧来进行网络中VLAN 管理，并对VLAN 的添加以及删除和重命名进行有效管理，同时还需要维持整个网络VLAN 设置的相同性。往往一个VTP 域是有多台交换机进行组成，并且在同一个VTP 域中所有的交换机可以共享VLAN 信息。交换机在VTP 域中有三种进行工作的方式，被称为服务器模式和客户模式以及透明模式。默认服务模式只有一个被当作VTP 域名被指定或者是在获知后，所具有的VLAN 信息才能被传递到整个VTP域当中。并且在传递中往往是间隔5 分钟或者是因为VLAN 配置出现一定变化时，就会产生VTP 通告，并且在VTP 中包含了VLAN 配置版本，在高版本当中所出现的通告VLAN 信息会比原本具备的信息进行更新。攻击人在向VTP 域中的服务器模式交换机发送配置版本较高的VTP 通告，从而致使所有的交换机的VLAN 版本所具有的信息都会与攻击人的电脑中存在的VLAN 版本信息进行同步。这样攻击者在进行攻击时就会把所有鄙视默认VLAN 从VLAN 数据中进行转移，从而使其他用户在相同的VLAN 当中。为了更加有效的保障VTP 域的安全性，VTP 域在使用之前必须制定密码[4]。

（三）交换机中继链路防护技术

如果在一个VLAN 中连接多个交换机，则必须需要使用继链路(Trunk Link）的方式来进行连接。如果中继链路中出现一个协议叫作动态链路协议(Dynamic Trunk Protocol)。但是如果在使用中出现不当使用时，会成为攻击者的目标。攻击者可以采用模拟交换机软件来对DTP 协议进行启动，同时还会与其他交换机协商中建立中继链路，从而在其他交换机的所有VLAN，并与其中任意一个进行联系。为了更加有效的保证涉密网络中交换机VLAN 的安全保证，需要将交换机中所有的中继段口设置成只能同过专门的VLAN 进行使用，比对没有使用的端口进行关闭。同时，所有的用户端口都需要设置成非链路模式并对DTP 协议进行关闭，这样可以有效的避免攻击者利用中继链路进行非法的使用。

（四）NS 的安全功能

NS 中最主要的安全功能就是访问控制。我们可以从两个方面来理解访问控制的内涵。一方面是指对用户端的资源进行保护。目前，这种保护主要是由防火墙来实现的。这种防火墙保护通常会位于比较靠近资源的部分，和服务实体所提供的访问控制相比，不是特别精细。另一方面就是通过限制用户使用的方式来保护通信资源。这种措施会位于比较靠近用户的部位。就目前计算机网络使用的实际情况来看，还无法实现这一。功能，其中最主要的原因就是计算机网络具有无连接的特点，所以无法对用户滥用信息进行有效控制。NS 中的网络公共信息服务是由一类比较特殊的ES 所提供的，和用户最终的ES 的安全需求具有很大程度的一致性。因为ES 提供的信息具有公开性的特点，所以只需要保证数据能够被完整传输即可，不需要考虑数据保密的要求。除了提供安全服务以外，网络实体也和ES具有同样的系统完整性需求，确保该实体的功能和所依赖的数据不被非法篡改。网络实体间的对等实体认证也是非常重要的，这些实体间交换的控制信息的安全对于网络基础设施的正常运行至关重要。与端系统相似，网络访问控制决策、网络活动的审计、认证、加解密、数据完整性所需的密钥由网络中的管理实体完成。

三、基于交换机端口的MAC 地址绑定

在对交换机端口的MAC 地址绑定技术与保障涉密网络内部安全的主要保障条件，MAC 的主要原理是将交换机的端口与允许通过的端口访问网络与MAC 地址相互进行绑定，这样才能对端口的网络流量进行有效控制与管理。并且在进行网路访问中需要将MAC 地址与交换机端口绑定的MAC 地址不同，出现这种情况之后交换机将会强制关闭此端口，只有网络管理人员对该端口进行重新激活之后才能正常使用。这样可以更加有效的阻止不良用户试图通过其他用户活动的网络端口来进行自己机器的连接，从而获得涉密网络的使用权限。

四、设置访问控制列表

访问控制列表简称为ACL，ACL主要是在交换机接口上的指令列表。并且这些列表可以帮助交换机接受哪一种类的分组，或者是不能进行哪一种类的分组。接受和拒绝都是属于常规的规范，例如原地址、目标地址以及TCP/UDP 端口号等等。访问控制列表主要可以分为标准访问控制以及扩展访问控制[5]。标准访问控制主要是根据分组中的原地址匹配以及拒绝和允许使用。扩展访问控制主要是根据协议类型和原地址以及目的地址以及源端口、目的端口，所建立连接等拒绝操作或者是允许操作。所以，网络管理人员可以通过对网络进行访问控制列表进行控制规范，对特殊使用人员以及特殊数据来进行检测，这样可以更加有效的保证涉密网络的安全使用。

五、健全涉密网络的安全保密制度

按传统话来说，没有规矩不成方圆。不管是做什么事都要在一定法律条件下进行规范，所以有效保证健全的涉密网络保密措施是非常重要的。只要建立有效的安全保密系统，这样才能更好的保证涉密网络交换机的安全，同时对一些非法侵入保密信息的人员进行严厉的惩罚，从而对不法侵入人员给予一定警告。建立涉密网络的安全保密制度，需要从一定的法律角度入手，这样可以有效的对保密工作进行有效的管理和分配，并且可以明确不同部门的工作内容，可以更加有效的保证涉密网络交换机的安全防护。同时还需要对涉密网络安全保密制度进行不断的完善，如在完善中发现一定的问题，需要及时的进行挽救，这样可以将损失进行减少。同时在进行涉密网络交换机安全防护中还需要提高工作人员对新知识的知识储备，这样才能更好的保证工作人员对涉密网络交换机进行有效的管理，并且在管理中对于工作不专业的人员需要进行一定的惩罚，这样才能更加高效的保证涉密网络交换机的安全。

六、结语

总而言之，涉密网络的安全是短时间不可能有效完成的研究课堂，同时还是一项较为困难的内容，交换机作为涉密网络的主要核心部分，在涉密网络中存在较为重要的地位，相同的来存在较多的安全隐患。如果没有有效对交换机的安全进行防范，交换机可以会成为攻击者主要攻击涉密网络的工具。所以，需要对交换机进行一定的安全控制，从而更加有效的保障整个的涉密网络安全。现如今，涉密网络的安全已经成为信息时代人人关注的问题，为了更加有效的保证涉密网络的安全，主要可以从多方面进行入手，本文主要为其他研究人员提供一定的研究依据，从而更好的帮助其进行发展。