交换机端口安全防护措施在内网中的应用

龙源期刊网 http://www.qikan.com.cn

交换机端口安全防护措施在内网中的应用

作者:张晓峰

来源:《电子技术与软件工程》2017年第21期

摘 要随着社会经济的快速发展,我国的科学技术发展迅猛,社会网络化、信息化程度不断加深,人们在生活和工作中也越来越依赖网络技术,同时对网络安全也提出了更高的要求。全网安全的核心为内网,在整体网络安全中,内网安全始终都是出发点和基石,其中在内网安全中,最关键的则是交换机,因此可以说交换机在一定程度上决定着内网安全体系。本文主要是从划分VLAN、交换机端口与主机IP以及MAC地址三方绑定、端口控制流量、三层交换机上配置ACL、关闭不用的端口五个方面详细的分析和研究了交换机端口安全防护措施在内网中的应用。

【关键词】交换机 端口绑定 安全防护措施 内网 应用

在内网连接中,交换机作为重要的设备,具有枢纽作用,同时在内网安全体系构造中,还具有一定的决定性作用。无论交换机的质量、性能如何,如果在使用过程中没有妥善维护和管理的话,那么都会对其工作状态产生直接的影响。虽然科学技术的进一步发展,目前交换机的安全功能都比较丰富,并且在网络构建过程中,如果能够充分的利用交换机的安全性能,并在此基础上加强安全设置,就能够建立起强健、安全的网络系统,保证用户信息安全。 1 划分VLAN

目前在各个领域和行业中都已经广泛的应用VLAN技术,使用者能够把一个物理LAN按照逻辑划分成多个广播域,其中需要注意的是,划分VLAN的标准是逻辑,而不是物理,因此各个工作站能够分布在不同的物理空间内。内网划分VLAN能够对虚拟工作组进行灵活组建,网络安全大大增强。通常情况下,两个或若干个VLAN相互之间是不能实现直接通信的,如果想实现通信的话,则还需要设置三层路由器或交换机。对VLAN进行划分,就能够对接收信息的工作站数进行有效限制,避免网络由于广播风暴而产生网络堵塞。划分VLAN的常见方式主要有三种,即根据网络层定义划分、根据MAC地址划分、根据交换机端口划分。图1为VLAN划分示意图。

2 交换机端口与主机IP以及MAC地址三方绑定

一般在内网中常用的防护措施就是双方绑定MAC地址和IP地址,这样主机与内网连接的任何一个端口都能够正常使用网络。但随着网络技术的进一步发展,可以直接利用工具软件修改MAC地址和IP地址。一旦IP地址被盗用的权限比较高,就会大大增加网络安全隐患,甚至对用户造成严重的经济损失,因此双方绑定的安全性已经不能满足用户需求了。利用交换机端口与MAC地址和IP地址进行三方绑定,一旦计算机连接网络之后,交换机中的安全监控系统就会对计算机中的MAC地址、IP地址以及端口信息进行匹配,如果是未授权的或外来的计

龙源期刊网 http://www.qikan.com.cn

算机,就会直接禁止计算机访问网络资源或自动关闭端口。因此在这种防护措施中,虽然网络管理的工作量会有所增加,但网络防护安全更高。 3 端口控制流量

当前人们已经广泛使用P2P工具,但是如果在办公区应用这种软件的话,会大大增加网络管理员的工作难度。这主要是由于P2P的软件种类比较多,全方位的限制是不切实际的,如果有若干个人同时使用该软件的话,就会在很大程度上直接影响到其他人的网络应用效果。通过控制交换机上网端口,限制数据传输速度,避免用户消耗过多的宽带资源,就能够有效的避免整个网络以及交换机受到大容量数据信息的冲击。对上网流量大小产生限制的方法比较多,但在交换机中由于具备网络管理功能,能够与端口直接连接,进而有效控制上网流量,如果端口性质较为特殊的话,还能够根据实际情况调整控制程度。 4 三层交换机上配置ACL

网络资源通过受到ACL访问输入、输出的限制,能够有效避免网络设备被当做攻击跳板或非法访问。一般ACL主要是在路由器中应用,但是在大型企业中,三层交换机由于具有路由器功能,因此被得到广泛应用。在三层交换机上配置的ACL,通常被称为IP ACL。交换机能够按照ACL中的规则表顺序执行,并对所有从端口进入的数据包进行有效处理,进而能够实现允许或拒绝某范围中的IP、某个IP进行通信。 5 关闭不用的端口

一般在默认状态下,交换机的端口都是呈开放状态的,其中接入的设备只要配置了正确IP就能够正常访问网络。交换机接口接入设备,并成功绑定MAC地址和IP地址后,局域网中及时接入了未授权设备,也不能正常访问网络;如果端口没有绑定,未授权设备则有可能对网络资源进行访问,这样不仅仅会冲突网络IP地址,甚至会在局域网内部代入相应的网络病毒,造成内网出现瘫痪现象。 6 结语

综上所述,在内网中应用交换机端口安全防护措施,能够显著的提高内网的安全性。在网络IP地址划分中,VALM技术也具有重要的作用,通过应用VALM技术来划分复杂的网络结构,也能够大大的节省地址空间,同时增强网络划分的合理性和灵活性。 参考文献

[1]周小丽.Zxj10程控交换机129服务器的安全防护措施[J].电脑迷,2016(06):43. [2]安学民,杨尉薇,郝金花.企业局域网IP地址和物理地址及交换机端口自动绑定的方法[J].山西电力,2015(06):44-47.

龙源期刊网 http://www.qikan.com.cn

[3]张晋华,沙琳娜,孙洋,唐红,苏丽娟.基于交换机端口安全与QOS技术的网络管理体系[J].电脑知识与技术,2015,11(04):43-47.

[4]梁彪.基于网络准入控制的内网安全防护方案探讨[J].广西电力,2014,37(06):59-62. [5]莫洪林.浅析交换机端口隔离在校园网防范ARP攻击中的应用[J].信息安全与技术,2011(06):49-50+53. 作者单位

中移铁通有限公司邯郸分公司 河北省邯郸市 056009

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4