唐中海

摘要：随着计算机网络科学技术的发展和应用，计算机网络安全环境越来越糟糕，网络病毒、黑客攻击和软件漏洞越来越疯狂，每年因此造成企业和个人大量经济损失。针对这种情况，部署安全交换机就显得尤为重要。下面就安全交换机技术做简单的介绍。

关键词：网络安全；安全交换机；发展前景

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）02-0035-02

Technology of Security Switch

TANG Zhong-hai

（Wanbo Institute of Science and Technology， Hefei 230031， China）

Abstract： With the development and application of science and technology of computer network， the environments of computer network security are getting worse. There are more and more network virus， hacker attacks and software vulnerabilities in network， which have caused huge economic losses to enterprises and individuals each year. In view of this situation， it is particularly important to install security switches. The following will give a brief introduction on technology of security switch.

Key words： network security； security switch； development prospect

IT技術的发展推动着网络技术的发展，针对网络安全的应用需求也越来越迫切。目前，来自企业内部网络的非授权访问和病毒传染超过80%以上，比如办公自动化、ERP管理、多媒体教学、FTP服务器、Email服务器、WWW服务等各种网络应用是主要被传染和攻击的对象，要从根本上杜绝内部攻击和非授权访问，必须加强企业内部网络的安全防范技术与安全管理，而承担安全管理与安全防范技术的核心设备就是交换机。因此，交换机的功能不再局限于数据存储与转发、服务质量QoS等，更多的是需要在交换机中集成增加虚拟局域网、入侵检测、DHCP监听、访问控制列表ACL（Access Control List）等功能，做到整体网络安全防护。

1 安全交换机功能

作为网络数据交换的核心设备，数据存储转发是交换机最主要的作用，交换机在数据传输异常或者遇到黑客攻击时，容易造成负载过重，严重的情况下，甚至宕机现象，为了防止病毒或黑客攻击造成的影响，降低交换机的负荷，保障网络的稳定安全，必须在交换机上增加安全防范措施。交换机作为普遍使用的网络互连设备，就必须针对访问网络数据的用户进行权限审核。同时，交换机还需要配合路由器、防火墙、或者入侵检测系统，对非授权访问、网络攻击等行为进行监控和阻止。

1.1 具有802.1x安全认证技术

在企业内部网络中，如果网络交换机很容易被非授权用户连接，从而进入网络内部，就容易造成非授权用户严重侵害合法用户的权利，所以验证用户的合法接入非常重要。IEEE 802.1x 协议可以集成到二层智能交换机中，能够提供对连接到局域网的用户进行身份验证、授权的手段，保障授权用户接入。

基于端口的访问控制协议802.1x在局域网中得到广泛应用。例如思科3750交换机和华为Said900等系列交换机。在支持802.1x 的本地用户数据库、远程服务器认证方式的同时，还支持802.1x 的动态虚拟局域网连接技术。拥有某用户账号的用户无论在内部网络的何处连接网络，在802.1x和虚拟局域网的双重控制基础上，都会有基于端口配置的虚拟局域网的限制，从而保障始终连接此账号在指定的虚拟局域网内，不仅方便移动用户对资源的操作，并保障了资源应用的安全性。

1.2具有入侵检测系统（IDS ）

入侵检测技术是为了保证计算机系统安全面而设置的一种能够及时发现并报告计算机网络系统中未被授权或行为异常的技术，是一种检测违反安全策略行为的技术。

入侵检测系统被视为防火墙之后的第二道安全门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于行为异常模式，IDS采用报表的方式进行统计分析，通过对入侵行为的过程和特征的研究，与已知恶意软件的特征进行对比，在检测出安全隐患的同时，向预警系统报警，发送到交换机上，并进行准确的断开端口操作。

1.3 具备分布式拒绝服务（DDoS）攻击技术

分布式拒绝服务（Distributed Denial of Service）攻击是指借助Client/Server技术，联合多台计算机作为攻击平台，向目标服务器发动拒绝服务的攻击方式。 “可用性”、“完整性”、“保密性”是网络信息安全的三要素，拒绝服务攻击针对的攻击形式就是攻击网络服务器的“可用性”，让目标服务器系统不能正常提供用户访问服务，从而造成网络服务瘫痪。安全交换机联合入侵检测技术，在不影响其他用户正常访问服务器链接的情况下，智能检测并阻止非法恶意流量，防止网络受到分布式拒绝服务攻击的威胁，从而保障网络服务器的正常使用。

1.4具有划分虚拟局域网技术（VLAN）

虚拟局域网（Virtual Local Area Network），是在交换式局域网基础上，通过软件的方式，构建可跨越不同物理网段的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许不同地理位置的网络用户加入到同一个逻辑子网中。

VLAN技术提供了一种安全管理手段，实现了控制终端之间的互通。VLAN是安全交换机的核心功能，可以通过绑定IP/MAC地址功能限制用户的非授权网络连接，而且可以跨越一个或多个与物理位置无关的交换机。虚拟局域网（VLAN）可以通过如交换机端口、终端设备MAC地址、IP地址等多种方式划分，技术成熟，容易实现。

1.5服务质量（QoS）

QoS可以对网络中传输的数据帧进行分类、标记、控制和调度，可以最大限度地减少Dos攻击，通过分类和控制限制流量。可以预防因为广播、组播以及单播的数据流量过大，从而造成的交换机带宽负载异常，避免交换机的带宽被无限制滥用从而保障网络安全稳定的运行。

1.6具有访问控制列表技术（ACL）

在网络中，防火墙将保护区和非保护区隔离，阻止非授权用户对受保护网络的资源进行访问。基于访问控制列表（ACL）技术是提供防火墙技术的一个典型手段。

访问控制列表（ACL）主要用于缓解网络攻击和控制网络流量，网络管理员可以使用ACL在交换机上基于各种不同的参数定义和控制不同种类的流量，制定网络访问策略，针对用户或数据流进行限制操作，将交换机端口附加通信规则，根据过滤规则来过滤数据包，决定转发或丢弃。这样不仅能够保障交换机的有效使用，还能进行网络安全防护。

1.7 具有DHCP监听能力

DHCP监听能够过滤从网络主机或其他网络互连设备的非DHCP报文，交换机通过这种特性控制用户端口只发送DHCP请求，并将来自用户终端的其他DHCP报文丢弃。DHCP监听信任端口是连接到已知DHCP服务器或者分布层交换机之间的上行链路端口。交换机在这种方式中，只允许受信任的DHCP服务器通过DHCP申请来分配IP地址，这就避免用户通过建立私人DHCP服务器来分配非授权的IP地址。

2 配置安全交换机

安全交换机工作在数据链路层，一般处于网络拓扑的汇聚层，功能强大的也作为核心层设备使用，比如思科交换机Catalyst 6500系列，就是将安全功能放在核心来实现的。在核心层交换机上可以集中控制管理并配置安全策略，方便网络管理员的管理与控制。

根据安全交换机在网络拓扑中的位置不同，需要设计并嵌入不一样的安全技术和策略，从核心层到汇聚层再到访问层，要求每层交换机配置安全控制机制和防范策略，保障非授权用户无法访问网络，同时控制授权用户，做到规范使用网络资源，避免授权用户攻击网络，占用网络带宽，造成网络拥堵，不能正常使用的现象。

3 安全交换机的发展

在网络安全环境越来越不稳定的今天，建立一个安全稳定、可靠运行的网络尤为重要，通过安全交换机部署，可以提高网络安全性、可靠性和可用性具有重要的作用。所以说，安全交换机已经成为网络互连必不可少的网络互连设备之一。

综上所述，安全交换机将会大范围的应用在网络的各个环节，它们将保障网络安全可靠地运行，通过对网络用户行为的控制和限制，保证网络资源的安全有效地得到共享。

参考文献：

[1] 邵波，王其和.计算机网络安全技术及应用[M].电子工业出版社，2005，

[2] 罗森林，高平.信息系统安全与对抗技术实验教程[M].北京理工大学出版社，2007.

[3] 李偉.网络安全实用技术标准教程[M].清华大学出版社，2010.

[4] 潘瑜.计算机网络安全技术[M].科学出版社，2011.

[5] 谢希仁.计算机网络[M].电子工业出版社，2013.