路由器交换机网络设备的安全问题探究

路由器交换机网络设备的安全问题探究

刘金成

深圳市智开科技有限公司 518100

【摘要】随着时代的发展，互联网在人们的生活中越来越普及，也成为人们工作、生活不可缺少的一部分，在政府、军事、经济等公共管理也被广泛运用。计算机网络安全则显得至关重要。计算机网络安全是计算机网络设计中非常重要的一部分，在这里主要探讨下网络设备中最重要的交换机和路由器的安全问题。

【关键词】网络安全；网络设备；交换机；路由器

目前计算机网络已经深入到了各个领域，由此也衍生出了很多安全问题。而网络整体安全涉及的非常宽泛，如黑客攻击、ARP欺骗、窃听、拒绝攻击等。网络之间的互联设备即网络设备是所有信息的中转站，自身的安全性非常重要，如果网络设备安全受到危胁，会影响网络的正常使用，如速度降低、网络中断，严重时会导致整个网络瘫痪，后果不堪设想。

计算机网络安全工作艰巨又复杂，它涉及到计算机网络中所有的网络设备，每一种网络设备都根据自己所在层次、特性及网络拓扑等对计算机网络安全起着一定作用。OSI参考模型有一个最主要的功能就是使不同类型的主机实现相互之间的数据信息传送，它分为七层，最低层物理层的主要功能是发送和接收BIT;第二层数据链路层的主要功能是保证信息物理传送、流量控制并进行差错校验;第三层网络层的主要功能是负责设备寻址，并为信息选择最佳路径;第四层传输层主要功能是将数据分段并重组;第五层会话层主要功能是负责建立、管理、终止实体间的会话连接;第六层表示层主要功能是为应用层提供数据及代码的转换;第七层应用层最主要的功能负责计算机与用户进行实际通信。每一层次都有相应的网络设备，而最重要的网络设备就是路由器和交换机。

一、网络设备中交换机、路由器的简单介绍

网络设备及部件是连接到网络中的物理实体,网络设备又包括中继器、网桥、路由器、网关、防火墙、交换机等设备。

1、交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

2、路由器工作在OSI体系结构中的网络层，是在网络层实现互连的设备。路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。

二、网络安全面临的问题

随着计算机网络的普及，在各个领域上计算机成为不可或缺的工作手段，由此也衍生出了很多安全问题。而网络整体安全涉及的非常宽泛，如恶意程序、ARP欺骗、窃听、漏洞攻击、假消息攻击等。网络设备是连接到网络中的物理实体,自身的安全性非常重要，如果网络设备安全受到危胁，会影响网络的正常使用，严重时会导致整个网络瘫痪，后果不堪设想。我们网络安全面临着诸多问题，影响网络安全的攻击、入侵工具和工具包的复杂性在增加，入侵的数量和入侵的效率也在增长，虽然我们的专业人士数量也在增加，可远远不能满足我们Internet用户数的增长速度。全社会的信息安全意识淡薄，对于我国目前网络安全的现状没有客观清醒的认识，少数人认为我国信息化程度不高，互联网用户的数量也不多，信息安全的问题现在还不严重，这种错误的认识已经成为我国网络安全的严重隐患。

三、网络设备中的交换机如何做好安全防范措施

交换机在网络设备中占有重要的地位，通常是整个网络的核心所在。作为核心的交换机要承担起网络安全的重要责任。因此，交换机必须具备专业安全产品的性能，做好安全防范是网络建设中必须考虑的因素。交换机最重要的作用就是转发数据，，交换机要能保持其高效的数据转发速率，在黑客攻击和病毒侵扰下才能防止攻击的干扰。虚拟局域网在安全防范上有重要的作用。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以把网络分成一个一个独立的区域，控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机，与它们的物理位置无关，设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。

交换机采用访问控制列表ACL来实现包过滤防火墙的安全功能，增强安全防范能力。访问控制列表以前只在核心路由器才获使用。ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让黑客找不到网络中的特定主机进行探测，从而无法发动攻击。

四、网络设备中的路由器如何加强安全防范措施

路由器作为局域网与广域网连接的主要手段，具有判断网络地址和选择路径的功能，能在多网络互联环境中建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网。因此，路由器所提供的主要功能是为经过路由器的每个数据包寻找一条最佳路径，并将其传送到目的端。它的主要优点是实现逻辑环境，并在此环境下自动选择最佳路径。由于应用需求及网络技术的提高，路由器的功能除了在广域网上提供最短、最优、最高带宽路径外，还提供包过滤、多播、服务质量、防火墙、流量控制和拥塞控制等网络管理功能。

路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。

输入端口对数据链路层进行封装和解封，通过输入包的目的地址决定目的端口，提供服务质量;参加对公共资源的仲裁协议。

输出端口也支持对数据链路层的封装和解封，实现复杂的调度算法以支持优先级等要求。

交换开关技术包括总线、交叉开关和共享存储器。主要是用来提供数据通路。

路由处理器计算转发表实现路由协议，并运行对路由器进行配置和管理的软件，处理目的地址不在线卡转发表中的包。

路由器工作于网络层，当两台连在不同子网上的计算机需要通信时，必须经过路由器转发，而在网络背景下安全性意味着要防止外来的攻击和控制差错及设备带来的影响，因此，路由器的包过滤技术对网络安全起着重要的作用，它可以充当防火墙，可以应用于配有RADIUS系统的拨号连接功能。

控制对网络资源的访问是最受关注的网络技术，有些路由协议提供的技术可以看成是安全策略的一部分，在正在通告的路由上插入过滤器可以使某些路由不会在网络中不需要的部分进行通告。有些路由协议可以鉴别运行同一种协议的路由器，这种鉴别机制是路由协议特有的功能，这种机制可以防止未授权路由器参与该路由协议，不管这些设备是意外的或有意的参与该协议，鉴别机制都可以提高网络的安全性。

路由器访问控制列表是使用包过滤技术的一种内部防火墙技术。随着网络技术的发展，路由器在安全技术方面的应用更加广泛，在计算机安全领域中，以访问控制列表为基础的过滤技术占有的地位越来越重要。利用访问控制列表可以对通过认证的用户进行授权访问。访问控制列表提供了一种机制，它根据预先定义好的规则，制定网络相关安全策略。比如源地址、目的地址和应用程序协议和端口号等，来通知路由器是否接收或拒绝数据包，从而保证网络资源不被非法使用和非常访问，访问控制列表还可以与Radius服务器相结合实现安全访问，是一种较好的策略。

总之，从网络安全的角度来讲，研究基于网络设备的安全防范措施可以有效地维护网络安全、保护网络资源。

参考文献

[1]徐斌，利用网络设备的安全特性确保网络安全[J].电力信息化，2005，第3卷，第7期.

[2]张庆、宋芬、沈国良，网络设备安全措施分析与研究[J].网络安全技术与应用，2008.8.