网络交换机的安全防护技术分析

网络交换机的安全防护技术分析

白倩惠，张宇,黄微喻

山西省临汾市气象局 山西省襄汾县气象局

摘要：作为重要的网络设备，网络交换机在当今的网络通讯中占有举足轻重的地位。利用网络交换机可以扩展网络的范围，为子网提供所需的接口，让更多的电脑可以互相连接。它作为网络技术中的重要组成部分，可以增强接入层和汇聚层，既可以进行数据的传输，又可以降低网络攻击的危害。所以，必须要保证网络安全，有效地阻止一些不法行为的发生。本文就网络交换机的安全防护技术展开分析，以期为其进一步发展提供一定的帮助。

关键词：网络交换机；安全防护；分析

网络交换机不仅能够进行数据转发，同时在网络攻击者的不断干扰下，还能够保持高效率的数据转发功能。基于此，以网络交换机的性能为切入点，以提高网络信息在传输过程中的稳定性，防止网络攻击者的入侵。

1网络交换机概述

1.1网络交换机的具体内涵

网络交换机是现代社会的科学技术水平发展到一定阶段的产物，它主要是通过为子网络提供更多的连接端口来实现扩大网络目的的一种设备。随着现代社会的不断发展，网络交换机以其高度灵活和相对简单的操作方式被广泛应用于各个行业和领域的发展过程中。而应用网络交换机最为常见的就是内联网络的建设。电子信息和网络技术的发展使得现代社会越来越朝着信息化的方向发展，在这种情况下，网络交换机具有更加广阔的发展空间。

1.2网络交换机的分类

根据不同的划分方法，网络交换机有许多种类：从宏观角度来看，网络交换机可以分为广域网交换机以及局域网交换机；从网络构成方式来看，网络交换机可以被划分为接入层交换机、汇聚层交换机、核心层交换机；根据传输介质和传输速度又能够将网络交换机划分为以太网交换机、快速以太网交换机、千兆以太网交换机等多种类型，同时还带有一定的环境要求；从应用规模上又可以划分为企业级交换机、部门级交换机和工作组交换机等等。

1.3网络交换机的工作原理

网络交换机是一个扩展网络的设备，能够为网络中的子网络提供更多的网络接口，从而连接更多的电脑，达到尽可能扩大网络的目的。网络交换机主要由硬件和软件两部分组成。其中，硬件按照功能可分为：（a）数据交换部分，包括主交换芯片、对外接口输出等；（b）控制管理部分，包括主CPU、调试网口、配置口等。软件部分采用平台化、模块化的设计模式，整体分为：（a）平台层，主要负责和用户相关的业务逻辑处理；（b）系统抽象层，主要负责用户数据到驱动的映射；（c）驱动层，主要负责业务逻辑和硬件逻辑的交互。

网络交换机通过运用其在数据链路层的工作原理来实现数据的高速独立传播，虽然不同的电脑连接在一个共同的网络终端设备，但并不相互影响，而是分别传播发送，就像是连通一个交叉口的几条道路。网络交换机就是那个交叉口，要发送的信息数据就是要走在这几条分开道路的并行者，虽然从同一个入口进入，但是在不同的线路上并行传播，所以相互之间并不会产生直接冲突，而是独立传输。

2网络交换机存在的安全风险

2.1ARP攻击

ARP攻击是网络交换机中的常见安全风险，其原理为：因为ARP是TCP/IP协议栈中的一个网络层，能将某个IP地址解析，生成对应的MAC地址，所以受TCP/IP协议中的一些漏洞影响，导致“黑客”可以通过漏洞发送ARP病毒，病毒会通过网络交换机进入计算机，随后发送大量的ARP诈骗数据包，这时首先会造成网络通道阻塞、网络设备的承载过重、网络的通信质量不佳的影响，不及时处理可能导致用户网络瘫痪。其次因为ARP所处网络中的主机能够自动向其他主机发送ARP应答消息，而其他主机不会检测应答消息报文的真实性，将直接在本机ARP缓存中写入报文，生成ARP缓存表，这时受ARP缓存表的可更改性影响，“黑客”可以更改缓存表中的IP、MAC地址，所以能对用户机发送一些其他病毒来达到非法目的，实现攻击目的。

2.2MAC地址攻击

MAC地址攻击在网络交换机中同样常见，因为其主要攻击形式是发送海量的诈骗数据包，所以也被称为MAC泛洪地址攻击，其原理为：首先根据网络交换机的工作原理可知，当交换机接收到数据帧后，其会生成MAC讯息源，并根据讯息源的MAC地址建立MAC地址表，随后开始查找MAC地址表，确认地址表内所有MAC地址是否有传播目标，如果有则单独转发，如果没有则广播到所有接口。其次依照网络交换机工作原理，MAC泛洪地址攻击会利用交换机将学习到的MAC地址保存在MAC地址表中，且MAC地址表容量有限的特点进行攻击，即不断生产虚拟的MAC地址，使得MAC地址表始终处于被填满的状态，这样网络交换机就不能再学习新的MAC地址，说明交换机不再具备区分MAC地址是否有目标，这时交换机就会默认将MAC地址视作无目标地址，会将数据帧广播到所有接口当中，只要“黑客”的结构处于广播范围内，其就可以获取数据帧信息，实现入侵网络的目的。

3网络交换机安全防护技术

3.1设置复杂的登录用户名和密码

目前，企业网交换机提供了多种用户登录，访问设备的方式，主要有Console、SNMP、Telnet、SSH以及HTTP等方式，方便网络管理员对交换机进行管理的同时，也给交换机自身安全带来隐患。交换机可以设置为只输入密码登录，这样攻击者只要知道交换机的管理IP地址，再破解掉密码就可以对交换机进行非法管理。密码复杂度的问题这里不再赘述，登录用户名在交换机配置命令允许的情况下，同样可以使用大小写字母、数字加特殊字符的组合来设定。这样将交换机设置为用户名字加密码的登录方式，那么攻击者不光要破解密码，还需要破解交换机的登录用户名。这在很大程度上增加了交换机非法登录的难度，保证交换机的远程管理安全。

3.2改善机房远程监控技术手段

为了能够深入提升机房管理的科学性先进性水平，需要积极大胆启用涉及诸多领域的先进科学技术，其中网络远程控制技术所能发挥出的积极作用尤其明显，通过科学有效应用网络远程控制技术能够在很大程度上改变机房管理的传统落后全流程管控方式，很多线上线下的常规重复性工作，可以通过网络远程控制技术予以跨纬度解决，能够极大提升机房管理工作的整体效率及效果，为机房管理实际工作及整体模式的强化深化创造出积极有利条件并奠定坚实有力基础保障。

3.3未经授权主机接入网络交换机端口攻击的安全防范

在政府机关、科研机构和企事业单位等局域网内部，每一个员工都应该分配一个固定的IP，这样就算有员工接入到网络交换机中，由于没有合适的IP，就无法连接到网络中。此外，网络管理员应该统计本单位的计算机MAC地址，从而对网络交换机进行设置，只有单位内部的MAC地址才可进行网络的访问，以有效防范未经授权主机接入网络交换机，进而避免对内部网络造成严重的安全威胁。同时，网络管理员可根据本单位内部的涉密程度，对未经过授权的机器接入到网络交换机中的行为进行处理。

结束语：

综上所述，做好网络交换机的安全防护技术，对保障网络用户的信息安全具有重要的作用。通过交换机管理防范技术、VLAN划分安全防范技术、基于交换机端口的MAC地址绑定、网络交换机的安全加固措施四个方面的网络交换机的安全防护技术的分析来为网络交换机的安全防护提供借鉴的经验，对促进我国网络通信技术水平的提高具有重要的作用。

参考文献：

[1]侯丽娟.网络交换机安全加固措施的实现[J].科技传播，2017，9（24）：117-118.

[2]李健,李小虎,焦志勇.网络交换机安全加固策略探讨[J].中国新通信,2020,22(21):131-132.

[3]郑楠.网络交换机的分析与研究[J].石化技术,2020,27(10):198+237.

[4]肖红谊. 基于接入层交换机的安全及病毒防护.电力系统及自动化,2017-12.

[5]周斌. 网络交换机的概念及其交换方式.教育学,2011-06.