网络交换机安全加固措施的实现

侯丽娟

摘 要 随着信息网络的不断发展及延伸应用，信息网络安全日趋重要，而网络中的主要组成部分网络交换机的安全性能要求也越来越高。本文针对信息网络系统中网络交换机面临的安全威胁，提出几种网络交换机的安全加固措施，有效提升信息网络安全。

关键词 网络交换机；安全威胁；加固措施

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2017）201-0117-02

一般而言，信息网络的组网离不开网络交换机，网络交换机可以说是信息网络的主要部分，分别部署于从接入层到核心层，当网络交换机存在安全风险时，网络攻击者就会通过系统漏洞，对网络系统进行攻击，就会直接影响到信息网络的安全稳定运行，这也是本文研究的现实意义所在，从网络交换机自身的安全性能着手，提高网络数据传输的安全性，有效地防止病毒和黑客的恶意入侵。

1 网络交换机简介

从概念定义上来看，网络交换机可以被看作是一种能够扩大网络覆盖范围的器材，可以为子网络提供出更多的连接端口，从而方便连接上更多的计算机。伴随着信息化技术在企业的不断深入应用，交换机以其性价比高、活动灵活，操作简单，还有易于实现等一系列优点，已成为了局域网组网技术中非常重要的组成部分，从接入层、汇聚层、甚至核心层，并且发挥着相当重要的作用。网络交换机除了发挥其数据转发功能外，在黑客攻击和病毒侵扰下，仍能继续保持其高效的数据转发速率，不受到攻击的干扰，显得尤为重要[ 1 ]。

2 网络交换机面临的安全威胁

在长期的工作实际中以及现存的网络安全事件报道中，根据交换机的工作原理，可以看出，目前网络交换机面前的主要安全威胁有MAC地址泛洪攻击、DOS攻击、ARP攻击等安全威胁。

MAC地址泛洪攻击，攻击者利用交换机的工作原理即MAC地址学习机制，伪造的大量的MAC地址数据包，导致CAM被大量非法用户的数据信息填满，而正常用户的MAC地址条目将无法写入CAM表，使网络交换机选择广播的方式传输数据，从而获取其他人的报文信息。

DOS攻击即拒绝服务攻击，DOS攻击主要是分布式攻击，在攻击时，会充分运用一些互联网带宽工具，集中力量对主机进行攻击，使得局域网系统所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

ARP攻击是一种专门针对以太网地址协议解析的攻击技术，攻击者能够通过网络去修改数据的封装包，进而导致用户的计算机系统不能够正常地进行连接工作，具体的攻击行为是ARP泛洪攻击和ARP欺骗。

3 网络交换机安全加固措施的实现

3.1 加强硬件安全及版本升级

信息網络是信息化深化应用的基础，在信息化深化应用的今天，信息安全问题日趋重要，信息系统的基础网络安全也不可小觑，因此针对网络交换机的安全风险进行防范，避免一些漏洞问题而引发整个信息网络核心数据的失密和失控，首先我们需要确保交换机软件IOS版本的及时更新，版本较低会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量允许的情况下升级到较新的版本，对于一些高端的核心交换机尤其重要，必要情况下可升级设备的FLASH容量，以便于IOS更新版本的下载使用。同时确保信息网络的安全及稳定性，对一些重要节点重要部件，配置为双机或配置一些常用的板卡等等，避免当网络交换机出现故障的时候，网络系统连接的设备及端口都可以正常运行，从而有效地提升信息网络数据传输的安全性和稳定性。

3.2 访问控制设置并启用日志功能

在网络交换机的日常运维中，较为安全的是采用本地维护，但是当必须开启远程运维时，如何确保交换机自身访问控制的安全性，不给不法分子留下漏洞，就需要对登录方式及访问控制上进行安全加固。首先，确保所有访问控制的线路，不管是Console口还是Vty口登录，确保密码的复杂度需要符合安全性要求，且使用MD5加密方法对其加密。

其次，尽可能少的使用远程管理，假如是需要远程管理的话，禁用telnet访问，选择SSH远程管理方式，及采用访问控制的方式（即只允许某台客户端对其进行远程管理）以及配置不同权限的用户对访问权限进行限制，且配置相应的尝试登录次数及时间限制，超过配置的参数后，锁定该用户登录。

再次，启用日志功能。若交换机没有足够的空间，为所管理的网络交换机指定统一的日志服务器，在日志文件中能统一的记录登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。这样一旦出现了网络运行故障的话，可以方便操作人员准确调取交换机设备的故障信息，便于故障的分析以及预控。

3.3 端口、服务最小化开放原则

为了避免给攻击者留下漏洞可攻，在交换机的配置上，我们一般采取端口、服务最小化开放原则，即不需要开放的端口，不给予开放，不需要的服务，严格关闭，仅保留所需要的端口及承载业务所必需的网络服务。例如在实际工作中，为了防止MAC地址泛洪攻击，对于接入交换机层限定接入端口的数量，即每一接入端口一般情况下仅允许一台客户机接入，假如有多用户接入的需求，也将严格设置接入数量，不需要使用的端口采用关闭措施。

3.4 网络准入控制实现

网络准入控制的目的主要是为了能够有效控制App攻击，防止非法用户的恶意入侵，解决访问地址冲突的问题，从而提高网络交换机的安全性，具体可以通过802.1x网络准入控制、IP-MAC绑定技术、以及在交换机上配置DHCP Snooping检测来实现对网络的准入控制。一般可以根据公司的实际情况，采取不同的准入控制措施，也可以结合起来应用。在实际工作中，一般可以采用IP-MAC地址绑定结合交换机上配置动态ARP检测，对于IP-MAC地址绑定工作可以通过DHCP服务器来实现绑定功能，在配置上操作上来说也稍微简单，因此该方法配置及维护相对而言较易实现。

3.5 ACL配置

为了确保交换机稳定安全的运行，在三层网络交换机配置上，通常采用配置相应的ACL，对蠕虫端口进行屏蔽，关闭不安全的服务避免被入侵者利用。同时为了安全起见，可以根据每个网段的业务访问情况，精确配置ACL，进一步减少安全风险。

4 结论

综上所述，在信息技术深入应用的今天，信息安全问题已成重要的安全问题，因此作为信息技术的基础，网络安全也日趋重要，维护好基础设备即网络交换机的信息安全，不仅需要相关技术人员的高度重视，对于已知的网络风险，在网络源头即交换机的安全配置上，狠下功夫，确保安全，同时也需要继续深入研究，积极发现一些潜在的安全风险，积极采取有效的安全加固措施，确保信息网络的安全。

参考文献

[1]范静，陈睿.基于网络交换机安全措施的研究和实现[J].华东电力，2014，42（5）：1048-1049.endprint