基于交换机配置行为网络可信性评估.docVIP

基于交换机配置行为网络可信性评估 　　摘 要：21世纪是信息化的时代，人们的生产和生活都离不开计算机网络，而随着网络应用越来越多，计算机网络也呈现出了多样性、异构性和复杂性的特点，网络安全问题受到了越来越多的关注。本文以交换机的配置行为为基础，对信息安全问题产生的原因进行了分析，并提出了相应的解决方案，对交换机，构成的网络的普遍网络组织结构进行了介绍，并分析了可信网络的评估要素，以及网络可信性评估的框架。 　　关键词：可信性；交换机；网络 　　中图分类号： TP393 文献标识码： A 文章编号： 1673-1069（2016）14-149-2 　　0 引言 　　局域网具有易管理、易扩展、高速率、高可靠性的优点，在企业中应用得比较广泛，能够满足企业内部的通信、共享和管理的需求，这也进一步推进了网络互连设备交换机的发展。在交换机使用的过程中必须对安全问题予以高度的重视，保护系统中的数据和网络中的软件和硬件，从而保障企业信息的可用性、完整性和保密性。 　　1 信息安全产生的原因以及解决方案 　　在以往的研究中，如何提高网络传输效率是研究者的主要关注点，但是随着互联网的发展，网络环境日益更新，暴露出了更多的网络信息安全问题，网络的可信度也一再降低。网络信息安全的本质就是对信息安全进行保护，其保护对象既包括系统中的数据，也包括软件和硬件，通过网络信息安全能够使软件和硬件避免恶意或偶然原因而遭到破坏，避免系统数据由于网络攻击而泄漏和更改，从而保障系统能够正常运行，避免信息服务突然中断给客户带来损失[1]。 　　网络具有开放性，很多因素都会对网络安全造成影响，例如网络管理漏洞、操作系统漏洞、网络体系结构重建、不良内容、垃圾软件、计算机病毒、主动攻击、人为误操作等，其中既有人为因素，也有客观因素。对于这些网络安全问题，当前有比较普遍的解决方案主要是安全接入与隔离、VPN 技术、数据加密技术、网络防病毒技术、入侵检测技术、防火墙技术等。鉴于当前越来越多的企业开始应用局域网具有较好的应用效果，交换机能够支持的功能越来越多，交换机之间有了越来越大的关联程度，一定程度上也加大了安全管理的难度。一些企事业单位对局域网交换机的可信性具有较高的要求，但是当前尚未形成对交换机按照预期方式工作的保障，这就需要对监测网络中交换机的异常行为、行为结果和行为过程进行预期和管理，从而提高其可信性。 　　2 基于交换机配置行为的网络可信性评估的相关技术 　　2.1 交换机及其相关技术 　　交换机的基本硬件包括内存、存储器（Flash和NVRAM）、接口模块、交换引擎、CPU。开启交换机之后就会先进行加电自检，也就是对硬件进行检测，然后运行引导程序，加载操作系统，并运行配置文件。交换机的基本功能是转发数据帧，大部分交换机也能够对VLAN功能进行支持。交换机从某个端口中接收网络数据帧，然后对其进行基本处理，在该过程中如果数据有错误就会被交换机丢弃，对于无错误的数据帧，交换机会以其VLAN处理规则为依据对其进行处理。对于没有VLAN标签的数据帧，会由交换机为其打上本地标签。如果数据帧MAC地址不存在交换机的地址列表中，交换机就会自动生成该源MAC地址数据转发表项。如果交换机没有VLAN的目的转发端口，就会对数据帧进行丢弃，否则其可以从端口进行转发。最后交换机会通过端口将数据帧转发出去。当前一些品牌交换机的功能也在不断增加，其配置参数、配置命令和支持功能也有所差别[2]。 　　2.2 交换网络结构 　　分布式网络是交换机运行的主要网络环境，网络的状态会受到交换机的不同连接方式的影响，从而影响网络的维护和管理。当前交换网络的一般组织结构主要有两种：层次化网络结构、扁平化网络结构。层次化网络结构也就是将网络整体划分为各组织单位，从而形成不同的层次，各种交换机能够完成不同的工作，不同层次交换机不会相互干扰，其具有配置简单、故障排除便利、结构清晰的优点，在广域网络和大型局域网络中应用的比较普遍。扁平化的网络结构则是以网络结构设计为基础，合并汇聚层和核心层，能够有效地减少网络设备，从而降低其对网络资源的消耗，管理相对便利，一定程度上也提高了交换网络的安全性。 　　2.3 可信网络评估的要素 　　在网络可信评估的过程中要使用到3个关键要素，分别为评估指标的描述、网络状态的描述和交换机配置的描述，网络的现状主要使用网络状态进行描述，交换机的关键因子和配置形式则由交换机配置进行描述，对网络环境的需求则由评估指标进行描述。 　　3 基于交换机配置行为的网络可行性评估框架 　　3.1 评估框架 　　交换机的配置决定了交换机的功能，而且还能对网络环境中其他交换机的功能进行改变。配置对象受到配置命令的影响会被细分为配置子对象，其属性值会受到配置命令的影响而改变，