交换机和路由器等网络设备安全问题研究.docVIP

交换机和路由器等网络设备安全问题的研究 　　摘 要： 计算机网络安全是计算机网络设计中非常重要的一部分。主要探讨网络设备中最重要的交换机和路由器的安全问题，分析影响网络安全的各种因素，提出若干解决网络设备尤其是交换机和路由器的安全问题的方法和策略。 　　关键词： 网络设备；安全问题；路由器；交换机 　　中图分类号：TP393 文献标识码：A 文章编号：1671－7597（2011）0810079－02 　　 　　目前计算机网络已经深入到了各个领域，由此也衍生出了很多安全问题。而网络整体安全涉及的非常宽泛，如黑客攻击、ARP欺骗、窃听、拒绝攻击等。网络之间的互联设备即网络设备是所有信息的中转站，自身的安全性非常重要，如果网络设备安全受到危胁，会影响网络的正常使用，如速度降低、网络中断，严重时会导致整个网络瘫痪，后果不堪设想。 　　计算机网络安全工作艰巨又复杂，它涉及到计算机网络中所有的网络设备，每一种网络设备都根据自己所在层次、特性及网络拓扑等对计算机网络安全起着一定作用。OSI参考模型有一个最主要的功能就是使不同类型的主机实现相互之间的数据信息传送，它分为七层，最低层物理层的主要功能是发送和接收BIT；第二层数据链路层的主要功能是保证信息物理传送、流量控制并进行差错校验；第三层网络层的主要功能是负责设备寻址，并为信息选择最佳路径；第四层传输层主要功能是将数据分段并重组；第五层会话层主要功能是负责建立、管理、终止实体间的会话连接；第六层表示层主要功能是为应用层提供数据及代码的转换；第七层应用层最主要的功能负责计算机与用户进行实际通信。每一层次都有相应的网络设备，而最重要的网络设备就是路由器和交换机。 　　1 网络设备存在的安全问题 　　网络攻击总是利用操作系统的安全漏洞或通信协议的安全漏洞来进行的。我们现在使用的网络大多是采用TCP/IP协议，TCP/IP协议具有互联能力强、网络技术独立、支持多种应用协议等特点。而TCP/IP协议本身存在着一些缺陷导致了网络的不安全。 　　TCP/IP协议在制定时，没有考虑安全因素。TCP/IP协议数据流采用明文传输，数据信息很容易被在线窃听、篡改和伪造；攻击者可以在一定范围内直接修改节点的IP地址，冒充可信节点进行攻击；攻击者也可以利用源路由选择欺骗IP数据包进行非法连接；攻击者同样可以利用RIP协议在网上发布错误路由信息，利用ICMP的重定向信息欺骗路由器或主机，实现对网络的攻击；或利用TCP序列号的预测性，攻击者可以构造一个IP包对网络的某个可信节点进行攻击。 　　网络设备本身的安全性考虑也有不周全的地方，涉及到的主要安全问题有两类：设备物理层面的问题和用户控制层面上的疏漏。 　　2 交换机的功能及安全策略 　　随着网络数据量的增加，网络带宽成为了网络通信的瓶颈，网络通信高峰时还容易造成网络拥塞，它表现为网络超时、响应时间不同步、应用程序的响应变慢及同所连接服务器断开等等。第二层交换技术的进步促进了网络的稳定性，改变了以往的网络设计方式，为提高带宽、加快网络数据传输起到了非常大的作用。通常所说的交换指的是第二层交换，也就是说交换机的转发策略是建立在数据链路层的基础之上的，交换机是网络环境中重要的核心转发设备，是保证整个内部网络安全的关键。它使用专用的集成电路（ASIC）创建和维护过滤表、能够创建专用的冲突域，并在每个端口上提供独立的带宽，因此使数据传输变得非常有效。其主要有三种交换功能： 　　1）地址学习：在交换机中有一个地址表，用来记忆一个接口上收到的所有帧的源MAC地址。 　　2）转发/过滤：当某一接口收到传来的帧时，交换机查看其目的MAC地址，并根据地址表将帧转到指定地点。 　　3）避免环路：交换机之间创建了很多连接，其目的是为了提供冗余，这会导致网络中可能会产生环路，为了防止环路产生，交换机提供了生成树协议。 　　传统的交换机基本上没有什么安全性可言，而高性能的安全交换机能防止来自网络内部的安全威胁。它主要特征是具有自动监听、自动协商、链路汇聚、流量控制的能力，通过对用户数据包进行监视、记录和分析，利用VLAN控制、入侵检测技术、安全日志等功能，有效的防止了入侵和非法访问，从而控制了网络内部攻击。 　　所以，理想的高性能安全交换机所具有的安全功能和策略应包括以下几方面： 　　首先是要支持第二层安全协议，保证数据在底层进行传输的安全。 　　其次是能防止拒绝服务攻击（简单的说是利用合理的服务请求占用过多CPU资源，使合法用户得不到响应，严重时会导造网络瘫痪）的威胁。使其在不影响正常网络运转的情况下，智能地检测和阻止恶意流量。 　　第三是虚拟局域网（VLAN）功能，VLAN技术是交换网络中最重要的技术之一，VLAN工作在二层或者三层交换机上，它解