ネットワーク全体のコアとして、ネットワークスイッチの最も重要な役割は、データを転送することです。ウイルスの侵入と攻撃者の脅威の下で、ネットワークスイッチは、攻撃の干渉を受けずに、その効率的なデータ転送レートを維持するためには、ネットワークスイッチのセキュリティ構成またはセキュリティのアップグレードを行う必要がありますローカルネットワークスイッチのセキュリティ保護を達成するために、内部ローカルネットワークのセキュリティを強化します。
(一)サイバーウイルス攻撃に対するセキュリティ対策です
ネットワークウイルスは多くのトラフィックを消費するため、スイッチを介したトラフィックに異常があれば、ウイルスの存在に気づきやすくなります。セキュリティの観点から、スイッチのポートごとに通信量を制限することで、ウイルスに感染しても短時間でネットワークがダウンする心配はありません。ユニキャスト類の異常なニュースに対して、事業者はよく網間制御ニュースプロトコルを採用して防止します;ブロードキャストやマルチキャストのような例外メッセージは、通常、ネットワークスイッチのポートを分離してメッセージの送信を制限し、ホストとネットワークへの影響を軽減します。ネットワークの伝播に伴い、皆さんはネットワークウイルスについての初歩的な認識を形成すべきです。できる限り慣れないソフトをダウンロードしたり、慣れないページをクリックしたりしないようにして、ウイルス感染によるネットワークスイッチの異常を避けるようにします。
(二)VLAN中継攻撃のセキュリティ対策です
1つは、ネットワークスイッチのすべての中継ポートがVLAN IDを使用する必要があります。明確な設定により、ポートが配置されていないDTPを全面的に禁止します。2つ目は、スイッチのIP/MACを非許可アクセスモードにすることです。
(三)VTPプロトコル攻撃のセキュリティ対策です
VTPドメインのセキュリティのため、VTPドメインにパスワードを設定することができます。VTPドメイン内のすべてのネットワークスイッチは同じパスワードに設定する必要があります。VTPドメインのネットワークスイッチに同じパスワードを設定すると、VTPが正常に動作します。パスワードを認識できない、または誤ったネットワークスイッチはVLANメッセージを知ることができません。
(四)アドレス解決プロトコル攻撃に対するセキュリティ対策です。
ARP攻撃へのセキュリティ対策としては、MACアドレスとIPアドレスを結びつける必要がありますが、同時に、同じIPアドレスにMACアドレスを置くことで、多数の攻撃的なメールが送られないようにすることができます。MACの数を制限し、IPやMACアドレスをバインディングすることで、多くの例外的なメッセージをフィルタリングすることができます。
(五)ツリープロトコル攻撃のセキュリティ対策の生成です
STP攻撃に対するセキュリティ対策には、ルートディレクトリ保護とBPDU保護強化コマンドを使用して、ネットワーク内のメインブリッジの位置を変更せずにSTPのドメイン境界を強化する必要があります。STPの収束速度が遅いという問題を解決するために、高速STPを使用するようにネットワークスイッチ上で構成することができ、ネットワークの再収束の過程でネットワークループが発生することを避けることができます。
(6)ネットワークスイッチポートへの不正ホストアクセス攻撃に対するセキュリティ対策です。
官公庁や研究機関、企業などのローカルネットワークでは、社員一人ひとりに固定のIPが割り当てられているため、スイッチに接続している社員がいても、適切なIPがなくて接続できません。また、ネットワーク管理者は、ネットワークスイッチを設定するために、ユニットのコンピュータのMACアドレスを統計する必要があります。ユニット内のMACアドレスだけがネットワークにアクセスすることができます。許可されていないホストがネットワークスイッチにアクセスすることを効果的に防ぐために、内部ネットワークに深刻なセキュリティ脅威をもたらすことを避けるためです。同時に、ネットワーク管理者は、そのユニット内の干渉の度合いに応じて、許可されていないマシンがネットワークスイッチにアクセスする際の挙動を処理することができます。例えば、許可されていない机器がネットワークスイッチにアクセスすると、ネットワークスイッチは直ちにそのネットワークのすべてのインターフェースを閉鎖したり、許可されていない机器がアクセスするインターフェースを制限したりします。これらの防止措置は、ユニットの干渉の程度に応じて設定する必要があります。例えば、ユニット内のインターネット接続机器は、どのインターフェースだけを制限して使用できないように設定することができます。しかし、機密文書のネットワークであれば、直ちにすべてのネットワークを遮断しなければならない。危機的な状況では、直ちに当該機器のすべての保存装置を破壊し、これ以上の機密文書が流出しないようにしなければならない。