网络交换机的威胁攻击及安全防范技术研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络交换机的威胁攻击及安全防范技术研究
发表时间:2017-10-18T18:07:12.253Z 来源:《电力设备》2017年第15期作者:杜新民王超亮王磊倪忠德王新永
[导读] 摘要:网络交换机是一种网络扩大设备,它可以帮助在原来有限网络接口的基础上增加众多的连接端口,增加局域网终端的连接数量。
(中国船舶工业系统工程研究院北京海淀 100094)
摘要:网络交换机是一种网络扩大设备,它可以帮助在原来有限网络接口的基础上增加众多的连接端口,增加局域网终端的连接数量。因此,无论在政府机关、企事业单位、高校还是在各个科研单位中,随着网络规模的不断扩大,这种网络扩大设备的使用也变得越来越多。但是,政府、科研单位、企业等都属于具有一定保密性质的单位,他们的内部数据不能被泄露,否则将可能给他们带来不可预计的损失,因此网络交换机的安全变的非常重要,要充分做好网络交换机的防范工作。本文的重点就是讲述网络交换机的安全威胁以及防范措施。
关键词:络交换机;安全威胁;安全防范
网络交换机在实际使用过程中有着安全、简单、灵活、成本低等特点,可以在各个领域中得到广泛应用。网络交换机又被分成局域交换机、广域交换机两种,其中局域交换机主要在一些企业、行政机关、科研单位中的内部网络中应用,并进行文件、信息的传输工作。
而广域交换机主要在中国移动、电信、网通网络运营商中应用。网络交换机的应用范围较广,在实际应用时常常会受到多种因素的影响,导致网络交换机中还存在着一定的安全漏洞,这对计算机用户来说造成了一定的威胁。
1 网络交换机的工作原理
网络交换机是一个扩大网络的设备,能够为网络中的子网络提供更多的网络接口,从而连接更多的电脑,达到尽可能扩大网络的目的。网络交换机主要由硬件和软件两部分组成。其中,硬件按照功能可分为:(a)数据交换部分,包括主交换芯片、对外接口输出等;(b)控制管理部分,包括主CPU、调试网口、配置口等。软件部分采用平台化、模块化的设计模式,整体分为:(a)平台层,主要负责和用户相关的业务逻辑处理;(b)系统抽象层,主要负责用户数据到驱动的映射;(c)驱动层,主要负责业务逻辑和硬件逻辑的交互。
网络交换机通过运用其在数据链路层的工作原理来实现数据的高速独立传播,虽然不同的电脑连接在一个共同的网络终端设备,但并不相互影响,而是分别传播发送,就像是连通一个交叉口的几条道路。网络交换机就是那个交叉口,要发送的信息数据就是要走在这几条分开道路的行者,虽然从同一个入口进入,但是在不同的线路上并行传播,所以相互之间并不会产生直接冲突,而是独立传输。
2 络交换的安全威胁
2.1毒安全威胁
现阶段,网络病肆虐,网络用户使用者一不留神就导致PC机存留大量的病毒,如果这些病毒不能及时控制就会导致在用户的网络区域中泛滥,占据着用户的网络宽带,造成网络拥堵的现象发生。在这种情况下,还会产生以下几种异常现象:
2.1.1单播类异常报文
这种报文是指在出现异常现象时,系统就会将该异常现象进行不停的发送对应的网络交换机中,而网络交换机的内部系统就会出现文件存储异常现象发生。严重的话还会使网络交换机中存在着大量的病毒,从而对网络地质进行攻击,造成不可挽回的损失;
2.1.2广播类异常报文
这类异常形式主要通过广播报文的形式对相关的网站、网站进行异常攻击,从而导致网站在运行时不会接收到文件,如果不能对该现象开展及时处理就会导致整个网络的传输系统瘫痪,不能正常使用。
2.2未授权交换机端口威胁
一些企业在发展过程中,常常会在自身内部的网络系统中传输重要的机密文件、信息,而这些机密文件信息是不可以外泄的,一旦这些信息被一些非法分子获取,就会对整个企业造成巨大的经济损失。因此,在网络交换机使用过程中一旦出现了未经授权的计算机连接网络交换机的端口中,就会对整个局域的内部网络系统处于一种安全隐患中。比如说,一些工作人员在工作期间将自己的计算机带入到公司进行文件数据,但是他们并不知道自己的计算机存在问题,从而在连接过程中出现问题。
2.3VLAN中攻击威胁
在网络正常运行期间,通过网络交换机设备所划分出来的VLAN都具有一定的网络安全的保护作用。如果没有对应的使用线路的话,VLAN之间的计算机是很难进行通信工作,从而导致其中存在着一定的安全隐患问题。然而,利用DTP,VLAN中的攻击就会以持续的形式出现,并对计算机所连接的交换器进行攻击,从而交换机中的功能很难被发挥出来。
3 网络交换机的安全防范
3.1 网络病毒攻击的安全防范
网络病毒通常会造成大量的流量,如果能够发现通过网络交换机的流量出现异常就可以很容易发现网络中存在病毒。出于安全防范的考虑,通常应对网络交换机的每个端口进行流量限制,这样就算一旦感染了病毒,也不用担心网络会在短时间内瘫痪。针对单播类异常报文,运营商往往采用网间控制报文协议来进行防范;针对广播和组播类异常报文,通常会对网络交换机的端口进行隔离,从而限制报文的单项发送,减少对主机和网络的影响。随着网络的传播,大家应该形成对网络病毒的初步认识,尽可能不从网上下载或者点击不熟悉的页面,避免造成病毒感染,从而导致网络交换机的异常。
3.2 VLAN中继攻击的安全防范
对网络交换机进行安全设置可防止VLAN中继攻击:一是网络交换机的所有中继端口都需要使用VLANID,通过明确的设置,对没有安排端口的DTP进行全面禁止;二是将交换机的IP/MAC设置为非授权访问模式。
3.3 VTP协议攻击的安全防范
为保证VTP域的安全,VTP域可以设置密码,VTP域中所有网络交换机必须要设置成同样的密码。在VTP域中的网络交换机配置了同样的密码后,VTP才能正常工作。而无法或错误识别密码的网络交换机将无法获知VLAN消息。
3.4 地址解析协议攻击的安全防范
针对ARP攻击的安全防范,需要将MAC地址和IP地址进行绑定,同时限制同一个IP地址所在的MAC地址可以同时发送报文的数量,防止众多具有攻击性的报文被发送。通过限制MAC数量、绑定IP和MAC地址,可过滤掉很多不符合条件的异常报文。