网络安全：交换机安全设置

1.局域网监听的工作原理

目前局域网一般采用的是“以太网”技术，使用的协议是“以太网协议”，该协议有一个致命的缺陷：从局域网中的某个主机A发送数据信息给主机B，不是点到点的发送，而会把数据包发送到局域网内的所有主机。在正常情况下，只有局域网内的主机B才会接收这个数据包。而其他主机在收到数据包时，会查看这个数据包的目的地址与自己不匹配，则会把数据包丢弃。

如果在局域网内主机C处于监听模式，则主机C就可获取这个数据包，查看到该数据包的内容，对该数据内容的进行分析处理。

2.防范局域网监听实施措施

1）采用加密技术，实现密文传输通过加密技术的使用，窃听者所获取到的数据是被加密过的，显示的是乱码，窃听者即使获取到数据包也无法解密。

传输的加密手段很多，如IPSec协议。局域网网管人员只需要配置好IPSec策略，局域网内部的用户不需要额外的动作。

2）利用路由器对网络进行物理分段。利用路由器来分离广播域，就可以起到很好的防范局域网监听的问题。通过路由器进行网络分段，把数据包控制在一个较小的范围内，不仅可以节省网络带宽，提高网络的性能，而且当局域网在遇到DDoS等类似攻击时，可以减少其危害性。

3）利用交换机对局域网实现网络分段（即划分VLAN）。利用交换机将局域网划分为多个小的网段（即VLAN），让数据包在各个VLAN传输，而减少网络侦听的可能性。

对交换机的安全设置可从以下几个方面来实施。

（1）使用VLAN划分逻辑网段

VLAN（Virtual Local Area Network）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段。

VLAN增加了网络连接的灵活性，可以控制网络上的广播，也增加网络的安全性。(www.xing528.com)

VLAN划分的方法有很多种，包括基于端口划分的VLAN、基于MAC地址划分VLAN、基于网络层协议划分VLAN、根据IP组播划分VLAN、按策略划分VLAN和按用户定义、非用户授权划分VLAN。VLAN最常见的划分方式是基于端口划分。

（2）基于交换机的访问控制列表安全策略

可通过对交换机建立各种过滤规则的方式来实现整个网络分布实施接入安全性的需求。

通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。

通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。

（3）禁用SNMP

简单网络管理协议（Simple Network Management Protocol，SNMP）是在IP网络管理网络节点（服务器、工作站、路由器、交换机及Hubs等）的一种标准协议。SNMP是一种应用层协议，也是Internet主机上最常见的服务之一。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。

问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。即使用户改变了通信字符串的默认值，由于SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串。

根据SANS协会（http：//www.sans.org）的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一。为了避免SNMP服务为网络带来的安全风险，最有效的办法是禁用SNMP服务。

（4）使用SSH进行远程管理

SSH是Secure SHell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通信时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网管人员进行远程的安全网络管理。