浅论局域网交换机安全管理

谭凤洁，高玉梅

国网黑龙江省电力有限公司鸡西供电公司

浅论局域网交换机安全管理

谭凤洁，高玉梅

国网黑龙江省电力有限公司鸡西供电公司

对于现代局域网而言，交换机的功能无异于网络系统的大脑，交换机在局域网系统乃至整个网络系统中都占具着极为重要的地位。作为网络信息交换与共享的中转站，交换机也成为网络黑客攻击网络系统和窃取信息的主要目标，因此交换机的安全在网络安全管理中不可忽视，如何加强交换机安全管理，保障局域网信息的安全，成为了越来越受到关注的问题。

局域网；交换机；网络安全

电子计算机的广泛应用和互联网技术的飞速发展，使局域网受到了越来越多的关注，局域网办公也作为现代化办公的一种模式被广泛应用，局域网连接的计算机工作组在资源共享与小组信息交流中发挥着十分重要的作用，不但提高了信息资源的利用率，也大大加快了工作效率。由于网络安全问题在全球范围内受到的重视不断加强，对局域网安全管理工作的要求也越来越高。

一、局域网常见安全威胁

病毒威胁。局域网的出现为每一个用户提供了方便，同时也为病毒传播提供了方便。网络病毒危害日甚，尤其是蠕虫病毒，发作时能够使整个网络陷于瘫痪，更有人利用病毒进行恶意攻击，以获取非法利益。

黑客入侵。黑客作为一个特殊的群体，其对网络的攻击行为是网络安全的一大威胁，黑客通过技术手段可以对目标网络系统实行各种各样的攻击，其攻击形式复杂多变，且攻击技术不断更新，极大增加了网络安全防护的困难程度。黑客入侵不仅可以从网内入侵系统还可能从外部网络对系统进行攻击。

安全认证漏洞。随着网络规模越来越大，网络用户中经常发生IP地址盗用、IP地址冲突、帐号盗用等，给局域网的安全带来巨大的隐患。

管理漏洞。网络安全威胁不仅出现在防护技术与设备方面，管理方面疏忽产生的漏洞也会导致局域网安全受到威胁，对网络安全的管理不重视、管理制度不健全、管理措施落实不到位、管理工作失衡以及对网络安全管理方面的投入不足导致管理工作无法发挥应有作用，都可能会导致局域网安全问题的出现。

二、加强局域网安全管理

局域网安全涉及很多方面，传统的防护技术组成主要是通过杀毒软件和防火墙完成拦截网络病毒入侵以及病毒查杀的工作，较重视系统入侵的检测。现代网络中交换机与路由器的使用频繁，且因其对网络安全的重要性，成为网络安全管理中的关键部分。为应对网络安全威胁大部分交换机与路由器都有相对丰富的安全功能，从其出厂开始便开始了安全防护的过程，要充分发挥交换机与路由器的安全性能就要对其安全功能的设置及工作方式有足够的了解，充分保证其安全功能的发挥。

密码设置方面。在初始登录交换机和路由器时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数限制，而且以加密方式存储。交换机及路由器在掉电，热启动、冷启动，升级IOS、硬件或一个模块失败的情况下都必须是安全的，而且在这些事件发生后应该不会危及安全并恢复运作，因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间。

抵挡系统攻击方面。交换机和路由器在使用中对于各种形式的系统攻击应有一定的抵挡能力，如拒绝服务式的Dos攻击，以及蠕虫病毒攻击等，要确保受到攻击时系统能够正常运行，并且对攻击做出正确的反应，同时对于攻击的反应要在网络安全日志中有所记录。这要求交换机与路由器在屏蔽攻击IP与受到攻击的抵御能力上要不断加强。

漏洞与权限的管理方面。首先要了解代码漏洞可能出现的情况，对于漏洞的检查，与系统安全升级以及补丁的安装都应及时进行，确保网络安全。在权限管理方面，基于角色的管理给予管理员最低程度的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理它们。管理权限可赋予设备或其他主机，控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器来实现。

远程连接加密方面。远程连接也是交换机在使用中容易出现安全威胁的一个环节，为确保信息传输安全，在使用交换机进行远程连接时要对协议进行加密。作为专为远程连接登录会话与其他网络工作服务时提供安全保护的SSH协议，在远程连接中可以有效的保护信息传输的安全，防止信息泄露。

三、加强交换机安全的措施

交换机安全防护工作主要有两方面，一方面从硬件的安全入手对网络安全进行保护，另一面要控制好访问的各环节权限，防止非法访问与越权访问造成网络资源的非法盗用。

硬件安全的管理主要是对网络服务器、计算机系统、网络打印机等硬件与通信链路的安全进行的保护；对用户的使用权限于身份进行验证，防止越权操作；确保整个计算机网络系统处在良好的工作环境中。

对访问权限的控制是网络安全防护的一种主要手段，对于保护网络安全发挥着重要作用，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等。

四、交换机管理

现阶段主要的交换机访问方式有控制台端口访问、远程登录访问、web登录访问以及通过专用的网络管理软件进行访问。

控制台端口的访问相对比较简单，通过交换机与路由器出厂时自带的控制台端口进行连接，连接成功后输入用户名与密码才能对交换机进行访问。这种访问方式只能在交换机旁进行，在交换机管理权限中处于最高级别。

远程登录访问是在交换机已经连接在网络中，且已设置好IP地址等基本配置的情况下，使用Telnet远程登录到交换机中，对其进行访问、配置的一种方式，这种方法经常在网络设备的维护和网络管理操作中使用。远程登录访问在管理权限上要略小于控制台访问。

另一种常用的访问方式是web登录访问，在IP地址已经设置好且SNMP协议已经启用的情况下，可以通过电脑的浏览器对交换机进行登录及访问，他的特点是权限小，但管理操作较为方便。

专用网络管理软件是针对大中型网络的管理需要研发的，他对交换机的访问与管理也是需要通过SNMP协议来完成，由于专用网络管理软件的开发具有一定的针对性，因此其在管理功能上具有更大的优越性。

总之，对于局域网交换机的安全管理是维护网络安全，保护网络系统的正常运行以及网络信息资源的安全使用的重点所在，在日常的网络安全管理中必须要给与足够的重视，并且要加强网络安全防护技术的革新，不断提高网络安全防护能力，为互联网的发展提供安全保障。

[1]吴江,陈万,杨明,郑定琛,孙进.浅析黑客对局域网攻防策略[J].电脑知识与技术,2011(06)