浅谈基于交换机技术增强局域网网络安全策略.docVIP

浅谈基于交换机技术增强局域网网络安全策略摘要：随着信息技术的发展，信息资源的保密性和完整性越来越受到人们的重视，传统的防火墙用于阻止外网计算机对内部网络的恶意攻击已无法确保网络的安全性。综上，作为整个网络核心所在的交换机，理所当然地承担起网络安全的一部分责任，该文就基于交换机技术增强局域网网络安全策略方面进行了阐述。 关键词：交换机技术；局域网；网络安全 中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4344-02 在这个黑客入侵风起云涌，病毒肆虐网络时代，特别是近年来黑客使用dsniff、Cain或其他windows、Linux系统下界面友好的工具，可以轻而易举地将任何流量转向他的个人计算机，从而破坏流量的保密性和完整性，再加上局域网内部的信任危机，传统的防火墙用于阻止外网计算机对内部网络的恶意攻击已无法确保网络的安全性。基于上述情况，作为整个网络核心所在的交换机，理所当然地承担起网络安全的一部分责任，如何利用交换机相关协议、特性来增强局域网网络安全已成为构建局域网时人们考虑的问题。 1交换机的作用 交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。 2交换机技术增强局域网网络安全策略 2.1划分虚拟局域网VLAN 2.1.1 VLAN概念 虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活。 2.1.2 VLAN划分方法 VLAN的划分可依据不同原则，主要有3种划分方法： 基于端口的划分：此种方法是利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。以交换机端口来划分网络成员，其配置过程简单明了。从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 基于MAC地址划分：这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。 基于网络层划分：此种划分VLAN的方法是根据每个主机的网络层地址或协议类型划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 2.1.3 VLAN的作用 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。 2.2 802.1x加强安全认证 在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样就造成了局域网内潜在的安全威胁。IEEE 802.1x正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。 802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。802.1X允许访问端口的动