论文部分内容阅读
摘要:大众生活与工作逐渐与信息网络建立了密切的关联,现如今,信息网络充斥在人们的生活视野中,其安全性受到广大关注,比如以网络交换机为例,安全性能日益重要。下文将围绕网络交换机展开论述,探讨其遭遇的安全威胁,然后分析几项安全加固措施,使得网络交换机能够运行顺利,提高信息网络的安全性。
关键词: 网络交换机;安全加固;策略
引言:受网络交换机的影响,信息网络能够重组,因此针对信息网络来说,网络交换机是非常重要的,存在于接入层到核心层。[1],如果网络交换机安全性能受到威胁,存在安全风险就会产生系统漏洞,从而为网络攻击者创造了侵犯条件,进而开始攻击网络,致使信息网络难以稳定运行,这是本文主要研究的方向。以网络交换机为例,将其安全性能为切入点,可以为网络数据传输安全性创造有利的条件,从而避免被黑客和病毒入侵。
一、网络交换机简介
站在概念定义的角度,网络交换机是一种能够令网络覆盖范围得以扩大的设备,可以使子网络获得更多的连接端口,这样可以轻松连接计算机。[2]截至目前,企业开始广泛应用信息化技术,交换机的优点非常多,不仅操作简单,而且活动灵活,且性价比高,最为主要的是易于实现,是局域网组网技术关键部分,不论是接入层,还是汇聚层,亦或是核心层,其作用是非常重要的。网络交换机不仅具有数据转发功能,即使受到黑客攻击,也不会降低数据转发速率,而且不会干扰,这一点显得弥足珍贵。
二、网络交换机面临的安全威胁
通过一些现有的网络安全事件中,结合交换机工作原理,我们可以发现最大的安全威胁来自于ARP、DOS攻击以及MAC地址泛洪攻击,对于网络攻击者而言, MAC地址學习机制为他们提供了可乘之机,这相当于交换机的工作原理,使得攻击者能够伪造很多MAC地址数据,这就使得CAM被不法数据信息填满, MAC正常用户难以在CAM表中录入地址条目,广播成了网络交换机传输数据主要方式,还能获得他人的报文信息。以DOS攻击为例,这是一种分布式攻击,也是拒绝服务攻击,在攻击的过程中,会借助互联网带宽工具,大肆攻击主机,令局域网系统一切现存的网络资源被消耗,这样合法用户很难请求通过。以ARP攻击为例,主要对以太网地址协议解析进行干扰,在网络的作用下,攻击者能够更改数据封装包,致使用户计算机系统难以实施连接工作,主要攻击行为是ARP欺骗、ARP泛洪攻击。
三、网络交换机安全加固措施的实现
(一)加强硬件安全及版本升级
如果想深度应用信息化,应以信息网络为主,时至今日,信息化深化应用相比以往逐渐加深,信息安全问题重要性到达一个新高度,和信息系统相关的网络安全问题也被提上征程。[3]这就意味着我们应防范网络交换机的安全风险,最大限度减小由于漏洞问题而造成核心数据的失控,及时更新交换机IOS版本,如果版本过低,会存在不稳定性。
比如在设备FLASH容量允许时,可以在原版本基础上进行升级,尤其是高端核心交换机,这是不可缺少的步骤,在特殊情况下,将设备的FLASH进行升级,以便下载IOS版本。与此同时,也是为了提高信息网络的稳定性。针对于比较重要的部件,配置是双机or常用板卡时,为了不影响网络交换机的正常运行,减少其发生故障的几率,使得网络系统连接端口可以继续运行,这样便提高了信息网络数据传输的稳定性。
(二)访问控制设置并启用日志功能
在维护网络交换机运行的过程中,通常采取本地维护的方式,如果需要开启远程运维,需要考虑交换机访问控制是否足够安全,是否不会让不法分子钻空子,这就应对访问控制和登录方式采取高端的加固措施。[4]无论是Vty口登陆,还是Console口登陆,设置密码时,要具有足够的安全性,可以通过MD5方法进行加密。
比如除了特殊情况,应减少远程管理的使用次数,针对于远程管理而言,拒绝使用telnet访问,可以选择访问控制的方式、SSH远程管理方式,也可以选择访问控制方式,再或者由配置不同权限的用户限制访问权限,应配置合理的时间限制,在此基础上还要配置相应的登陆次数等,达到一定配置参数后,将该用户登录进行锁定。除此之外还可以使用日志功能。如果交换机空间不够充分,网络交换机有必要配备日志服务器,如此一来,凭借搜寻日志文件就能或之登录过该设备的用户名,还可以查询登录时间,并且可以查询登录该设备后用户的一系列命令和操作等,但可以获得充足的依据去发现潜在的攻击者。如此一来,如果出现网络运行故障,操作人员可以第一时间调取设备故障数据,依据这些信息进行分析和预控。
(三)端口、服务最小化开放原则
为了避免出现漏洞,使得攻击者有可乘之机,如果端口不需要开发,则不对其进行开发,对于一些不必要的服务,采取不打开的原则,只保留需要开放的端口。
比如在开展日常工作的过程中,为了避免MAC地址被泛洪攻击,每个接入端口只接入一台客户机,如果存在多用户接入的情况,需要合理设置接入数量,对于没有必要应用的端口,可以进行关闭处理。
(四)ACL配置
为了提高交换机运行的稳定性,避免入侵者利用不安全的服务,在三层网络交换机配置上,应屏蔽蠕虫端口,这就需要选择配置相应的ACL。与此同时,为了进一步提高安全性,应结合每个网段业务访问状况,科学的配置ACL,这样能够减少安全风险。
结语:现如今,信息技术被广泛应用,信息安全问题逐渐被大众所重视,对于信息技术而言,网络安全是其基础,其重要性与日俱增,要想令网络交换机的信息安全得到保障,技术人员对此要引起足够的重视,避免潜在的网络风险“兴风作浪”,做好交换机安全配置的工作,提高其安全性能,还需要继续研究,深入挖掘潜在的风险,然后选择科学的措施,提高信息网络的安全性。
参考文献
[1]范静,陈睿.基于网络交换机安全措施的研究和实现[J].华东电力,2014(5):1048-1049.
[2]侯丽娟,网络交换机安全加固措施的实现[J].科技传播,2017(24):117-118.
[3]高彦,陈晓燕.基于局城网的安全加固策略研究[J].电子测试,2018(10):123.
作者简介:
郑桐贺(1983-),男,汉族,辽宁铁岭,学士,讲师,主要研究方向:网络设备管理,云计算等。
关键词: 网络交换机;安全加固;策略
引言:受网络交换机的影响,信息网络能够重组,因此针对信息网络来说,网络交换机是非常重要的,存在于接入层到核心层。[1],如果网络交换机安全性能受到威胁,存在安全风险就会产生系统漏洞,从而为网络攻击者创造了侵犯条件,进而开始攻击网络,致使信息网络难以稳定运行,这是本文主要研究的方向。以网络交换机为例,将其安全性能为切入点,可以为网络数据传输安全性创造有利的条件,从而避免被黑客和病毒入侵。
一、网络交换机简介
站在概念定义的角度,网络交换机是一种能够令网络覆盖范围得以扩大的设备,可以使子网络获得更多的连接端口,这样可以轻松连接计算机。[2]截至目前,企业开始广泛应用信息化技术,交换机的优点非常多,不仅操作简单,而且活动灵活,且性价比高,最为主要的是易于实现,是局域网组网技术关键部分,不论是接入层,还是汇聚层,亦或是核心层,其作用是非常重要的。网络交换机不仅具有数据转发功能,即使受到黑客攻击,也不会降低数据转发速率,而且不会干扰,这一点显得弥足珍贵。
二、网络交换机面临的安全威胁
通过一些现有的网络安全事件中,结合交换机工作原理,我们可以发现最大的安全威胁来自于ARP、DOS攻击以及MAC地址泛洪攻击,对于网络攻击者而言, MAC地址學习机制为他们提供了可乘之机,这相当于交换机的工作原理,使得攻击者能够伪造很多MAC地址数据,这就使得CAM被不法数据信息填满, MAC正常用户难以在CAM表中录入地址条目,广播成了网络交换机传输数据主要方式,还能获得他人的报文信息。以DOS攻击为例,这是一种分布式攻击,也是拒绝服务攻击,在攻击的过程中,会借助互联网带宽工具,大肆攻击主机,令局域网系统一切现存的网络资源被消耗,这样合法用户很难请求通过。以ARP攻击为例,主要对以太网地址协议解析进行干扰,在网络的作用下,攻击者能够更改数据封装包,致使用户计算机系统难以实施连接工作,主要攻击行为是ARP欺骗、ARP泛洪攻击。
三、网络交换机安全加固措施的实现
(一)加强硬件安全及版本升级
如果想深度应用信息化,应以信息网络为主,时至今日,信息化深化应用相比以往逐渐加深,信息安全问题重要性到达一个新高度,和信息系统相关的网络安全问题也被提上征程。[3]这就意味着我们应防范网络交换机的安全风险,最大限度减小由于漏洞问题而造成核心数据的失控,及时更新交换机IOS版本,如果版本过低,会存在不稳定性。
比如在设备FLASH容量允许时,可以在原版本基础上进行升级,尤其是高端核心交换机,这是不可缺少的步骤,在特殊情况下,将设备的FLASH进行升级,以便下载IOS版本。与此同时,也是为了提高信息网络的稳定性。针对于比较重要的部件,配置是双机or常用板卡时,为了不影响网络交换机的正常运行,减少其发生故障的几率,使得网络系统连接端口可以继续运行,这样便提高了信息网络数据传输的稳定性。
(二)访问控制设置并启用日志功能
在维护网络交换机运行的过程中,通常采取本地维护的方式,如果需要开启远程运维,需要考虑交换机访问控制是否足够安全,是否不会让不法分子钻空子,这就应对访问控制和登录方式采取高端的加固措施。[4]无论是Vty口登陆,还是Console口登陆,设置密码时,要具有足够的安全性,可以通过MD5方法进行加密。
比如除了特殊情况,应减少远程管理的使用次数,针对于远程管理而言,拒绝使用telnet访问,可以选择访问控制的方式、SSH远程管理方式,也可以选择访问控制方式,再或者由配置不同权限的用户限制访问权限,应配置合理的时间限制,在此基础上还要配置相应的登陆次数等,达到一定配置参数后,将该用户登录进行锁定。除此之外还可以使用日志功能。如果交换机空间不够充分,网络交换机有必要配备日志服务器,如此一来,凭借搜寻日志文件就能或之登录过该设备的用户名,还可以查询登录时间,并且可以查询登录该设备后用户的一系列命令和操作等,但可以获得充足的依据去发现潜在的攻击者。如此一来,如果出现网络运行故障,操作人员可以第一时间调取设备故障数据,依据这些信息进行分析和预控。
(三)端口、服务最小化开放原则
为了避免出现漏洞,使得攻击者有可乘之机,如果端口不需要开发,则不对其进行开发,对于一些不必要的服务,采取不打开的原则,只保留需要开放的端口。
比如在开展日常工作的过程中,为了避免MAC地址被泛洪攻击,每个接入端口只接入一台客户机,如果存在多用户接入的情况,需要合理设置接入数量,对于没有必要应用的端口,可以进行关闭处理。
(四)ACL配置
为了提高交换机运行的稳定性,避免入侵者利用不安全的服务,在三层网络交换机配置上,应屏蔽蠕虫端口,这就需要选择配置相应的ACL。与此同时,为了进一步提高安全性,应结合每个网段业务访问状况,科学的配置ACL,这样能够减少安全风险。
结语:现如今,信息技术被广泛应用,信息安全问题逐渐被大众所重视,对于信息技术而言,网络安全是其基础,其重要性与日俱增,要想令网络交换机的信息安全得到保障,技术人员对此要引起足够的重视,避免潜在的网络风险“兴风作浪”,做好交换机安全配置的工作,提高其安全性能,还需要继续研究,深入挖掘潜在的风险,然后选择科学的措施,提高信息网络的安全性。
参考文献
[1]范静,陈睿.基于网络交换机安全措施的研究和实现[J].华东电力,2014(5):1048-1049.
[2]侯丽娟,网络交换机安全加固措施的实现[J].科技传播,2017(24):117-118.
[3]高彦,陈晓燕.基于局城网的安全加固策略研究[J].电子测试,2018(10):123.
作者简介:
郑桐贺(1983-),男,汉族,辽宁铁岭,学士,讲师,主要研究方向:网络设备管理,云计算等。