网络交换机的安全防护技术研究

摘要：互联网时代到来以后，网络环境日趋复杂，网络系统中包含的网络设施越来越多，尤其是网络交换机的配置，可以提供更多的连接端口，满足子网之间的连接需求。虽然我国的网络技术取得了显著的发展，但因为网络本身的开放性，使得在网络交换机的使用过程中，常常会存在一定的安全风险，为创造安全的网络环境，在网络交换机中的安全防护技术应用尤为重要。基于此，本文重点分析了网络交换机中的几种安全防护技术，对提高网络交换机的安全性有着重要的作用。

关键词：网络交换机；安全防护；技术应用

近年来，随着各行各业发展过程中对网络技术的应用，人们越来越意识到了网络安全的重要性，尤其是网络交换机作为一种联网设备，在使用的过程中面临着来自各个方面的安全风险，如果缺乏对各类安全风险的有效防控，在网络环境和设备遇到了安全威胁后，造成的损失巨大。在网络技术不断发展的过程中，人们已经将安全防护作为了网络交换机的重点工作，陆续出现了多种的安全防护技术，这些技术的应用，有效降低了网络交换机的安全风险，对信息安全传输、非法入侵防御都有重要的作用。

1网络交换机常见的安全风险

1.1ARP攻击

网络交换机在运行和使用的过程中，处于极端复杂的网络环境下，这就使得网络交换机常常会遇到诸多因素的干扰，其中，ARP攻击十分常见，这种攻击对网络交换机的正常使用有着严重的危害。根据网络交换机中ARP攻击的原理，主要表现在：TCP/IP协议栈中往往包含了多个层级，其中，ARP仅仅为其中的一个网络层，在网络环境下，ARP可将特定的IP地址解析出来，快速生成MAC地址，其在网络环境中的作用，决定了ARP往往会受到TCP/IP协议的影响，尤其是如果其中存在有漏洞的情况下，黑客可能会利用这些漏洞来进行相应的ARP病毒发送，由于网络交换机与网络系统中其他设备之间的关联关系，这些ARP病毒可能会快速进入到计算机系统内部，向计算机系统发送大量的ARP诈骗数据包，当出现了这一现象后，网络环境中将发生通道阻塞、设备承载过大的问题，很难保障网络条件下的通信质量与安全，如果处理不及时将引发大面积瘫痪现象[2]。

1.2MAC地址攻击

网络交换机的使用过程中，MAC地址攻击的出现频次也相对较高，但根据这种攻击的特点，更多地是以海量诈骗数据包的发送为主。结合其攻击原理：经由网络交换机的运行情况和功能特点，在交换机接收到了数据帧以后，将同步生成MAC学习源，依据学习源的MAC地址来构建MAC地址表，在形成了该地址表以后，可进行MAC地址表的查找，经由学习来确认在该地址表中的各个MAC地址是否有对应的传输目标，如果发现MAC地址有传输目标，可直接选用单独转发的模式，但如果都没有传输目标，则采用广播到全部接口的方式。当在网络交换机的使用过程中发生了泛洪地址攻击的现象，交换机会将其学习到的MAC地址直接在地址表中保存下来，由于MAC地址表的容量非常有限，攻击将呈现出以下特点：虚拟MAC地址持续产生，使得MAC地址表在很长一段时间内都处于被填满的条件下，网络交换机很难在这种条件下学习新的MAC地址，此时，网络交换机很难自动区分MAC地址是否具有目标，一般会直接自动默认MAC地址为无目标地址的状态，直接将数据帧广播到全部的接口中，当黑客恰好处于这一广播范围内时，就能够截获传输过程中的数据帧信息，引发网络攻击行为[3]。从根本上看，MAC地址攻击实际上利用的是虚拟MAC地址的数据包攻击方式，这些诈骗数据包占据了正常的MAC地址表空间，当用户无法识别出这种异常占用和攻击行为时，将蒙受巨大的损失。

2网络交换机的安全防护技术

2.1MAC地址接入限制

网络交换机的安全风险巨大，为有效实现安全防护，应根据风险类型来采取有针对性的防护技术。网络系统内的数据传输网络非常复杂，其中包含了多个接口和出口，如果在系统使用的过程中没有做好网络与业务系统之间的安全防护，必将加剧安全风险的发生。在网络交换机中，MAC地址实际上是网络设备接入的ID信息，通过MAC地址，网络交换机可正常完成数据的转换，与此同时，经由对设备ID信息的识别，也就可维持正常的数据传输。在涉及数据传输时，一旦网络交换机难以找到MAC所对应的条目，该数据帧将作为广播帧来进行相应的处理，由于在MAC地址对照表中只能够存储特定数量的条目，一旦其存储量达到了容量，新的条目无法被添加到其中，在这种条件下的异常攻击和访问较为常见。针对这一方面的攻击现象，为了实现安全防护，一般可通过限制网络交换机端口接入的源MAC地址数量来实现，经由这种限制处理的方式，可大大减少地址泛洪问题的出现。MAC地址开展接入认证也对预防这种攻击非常有效，在这种安全防护技术的应用过程中，主要是将用户的MAC地址作为用户名与密码，在将用户接入网络时，将同步进行数据帧的发送，与此同时，网络设备对用户的用户名与密码加以分析，这一分析过程也就是认证的过程。

2.2网络数据加密

网络交换机的安全防护过程中，往往包含了多种防护技术，网络数据加密也是相对有效的防护技术，经由这一技术的规范化应用，可给数据传输创造相对安全的网络环境。在很多的企业体系中，所涉及的很多数据都为保密信息，这些信息和数据是企业决策的重要依据，一旦发生数据泄漏，可能会给企业造成巨大的损失。在网络交换机的使用过程中，终端网络接入点、路由器连接点、核心网络连接路径都是需要关注的重点方面，如果能够结合网络交换机的各个特点来进行数据加密技术的应用，就可大大提高网络系统的安全性。在很多大型企业内部，网络交换机是信息传输的中介，比如，机密文件和数据都是经由交换机来传输的，通过网络数据加密，就可构建更为安全的网络密钥，进而在通信的过程中实现用户名、口令的双重加密。典型的加密模型如图1所示。

2.3VLAN划分安全防护技术

在一些网络交换机的安全防护技术中，也会采用VLAN安全划分技术，在此技术的具体应用过程中，一般是将局域网中的各种设备依据相应的逻辑来进行不同网段的划分，在经由这种划分处理以后，各个网段都可形成一个虚拟网络，在网络系统的运行过程中，这些虚拟网络可保持虚拟工作的状态。由于VLAN安全划分技术的有效性，在当下的网络交换机安全防护中，这一技术的应用范围非常广，在使用了这一安全技术后，经由VLAN划分的端口，只有在同网段内才可实现数据传输，在不同的网段之间，数据传输无法正常开展，一旦某一网段遇到了非法入侵的情况，其他网段的运行和数据传输都不会受其干扰[4]。

2.4VTP防护技术

网络交换机的安全防护领域中，往往包含了多种多样的技术，VTP防护技术的应用，同样也可起到安全防护的作用。对很多企业而言，所创设的网络体系中包含有网络交换机，利用中继协议，就能够对虚拟局域网加以重新组建、删除或者重命名，进而来进行相应的网络优化。有关人员在对中继协议进行虚拟局域网设置的过程中，要将局域网信息传递给全部的交换机，这些交换机在接收到了这些信息以后，会自动对自身的配置信息加以调整，确保其信息能够符合VLAN的要求。对一个VTP而言，其中可以有一台网络交换机，也可有多台网络交换机，全部的网络交换机可保持信息和数据的共享。通常情况下，VTP包含有多种的工作模式，主要有VTPServer、VTPClient和VTPTransparent，网络交换机的初始默认配置为VLAN1，也就是说，VTP模式为服务器[5]。整个的运行过程中，VTPServer负责对VTP域的全部VLAN信息列表加以维护，与此同时，兼具对VLAN的建立、删除或修改功能，可及时将通告信息发送并转发出去，与虚拟局域网的相关配置信息保持一致，在配置工作结束以后，最终的信息保存在NVRAM中。VTPClient同样可对VLAN信息列表起到重要的维护作用，但是其在关于VLAN的配置信息方面，无法进行VLAN的建立、修改和删除，可转发通告同步虚拟局域网配置，但配置信息无法保存。端口隔离如图2所示。

2.5中继链路防护技术

在很多主体中，经由网络交换机的使用和配置，可有效实现全网融合，在构建了全网融合的环境以后，不仅提高了数据的整体传输效率，更可保持不同模块之间的信息共享，虽然如此，也同步带来了较大的安全风险。在全网融合环节，一般配备有多台交换机，这些交换机起着相同的作用，每个交换机上都会依据实际的情况来进行VLAN的划分，为确保不同处于不同交换机上的VLAN之间可正常通信，提高通信安全性和便捷性，就可利用中继链路技术来实现，这一技术在应用后，可对网络交换机的安全防护起到一定的作用。实际上，中继链路中存在一个特殊的协议，就是动态链路协议，在该协议辅助下，不同交换机上，同ID的VLAN之间可正常通信，当在网络环境中中继链路遭遇了不明攻击或者异常入侵时，可能会引起数据丢失，不法分子在这一情况下可能会利用模拟网络交换软件来进行DTP协议的启动，在启动后与其他网络交换机协商构建中继链路，当完成了这一处理后，攻击者可会直接学习各个网络交换机的VLAN，并与之开展通信。针对此类安全威胁，在使用中继链路防护技术的过程中，可将网络交换机上的全部中继接口都进行对应的设置，将其设置为只允许专用的VLAN通过的模式并关闭全部未使用的端口。

2.6ARP攻击防护

对于网络交换机中所面临的ARP攻击，在安全防护处理的过程中，一般可采取以下的防护手段：（1）由专业人员对交换机连接主机间的网络信任关系建立前提，如果信任关系仅仅是在IP或者MAC地址的基础上构建的，意味着在网络交换机中存在着一定的漏洞，面临的ARP攻击风险较大，针对这一现象，可在网络中安装DHCP服务器，并在网关与客户端上绑定IP与MAC，修复交换机中的漏洞。IP与MAC绑定环节，严禁DHCP之间的冲突现象，一旦存在冲突，需进行了调解以后再绑定。（2）在交换机内进行静态ARP映射表的构建，并形成了这一部分以后，可有效克服原先主机刷新映射表时的权限限制，将ARP维持在相对稳定的状态下。在经由这一处理以后，外部局域网信息一般很难进入其中，虽然这一防护方式的操作相对简单，实现容易，但是其在安全防护方面存在着一定的限制。也就是说，当主机需频繁进行局域网的更换时，不能采用这一防护方式。（3）不再使用ARP，并将ARP作为永久条目直接保存于映射表内，这种做法对预防ARP攻击非常有效，但用户的部分权益受损。（4）安装防火墙或者网络监控。

2.7口令加密

网络交换机中的安全防护中，口令加密也可进一步起到安全防护的作用，具体来说，就是对一个空白的网络交换机开展登录权限设置，全部用户一旦要介入该交换机，都要进行密码验证，如果输入的密码不正确，意味着该用户可能为非法访问，这种方式下，对有效减少异常访问非常有限，在口令加密的过程中，可采用明文密码+密文加密的方式。

3结束语

网络交换机在使用的过程中，虽然给网络接入带来了极大的便捷，但与此同时也增大了网络安全威胁，因此，网络交换机的使用中，不可忽视安全防护，应结合网络交换机的使用环境，选择恰当的安全防护技术来进行安全优化。

参考文献：

[1]杜爱华.ACL技术在民航管理信息网安全防护中的应用[J].电脑知识与技术：学术版，2019，15（9Z）：2.

[2]李健容.浅谈程控交换机服务器的安全防护方案[J].中国新通信，2018，20（10）：175.

[3]董如意，孟范立.交换机系统日志与监控配置研究与实践[J].技术与教育，2018，32（4）：5.

[4]张云龙，陈方，赵萌.基于网络交换机安全措施的研究和实现[J].数字化用户，2019，25（014）：81.

[5]许贤，叶水勇，蔡翔，等.调度三区和信息四区边界安全防护研究与实践[J].国网技术学院学报，2016，19（6）：5.

作者:刘怡钧 单位:中国移动通信集团天津有限公司