安全交換機(jī)有很多值得學(xué)習(xí)的地方，這里我們主要介紹安全交換機(jī)基本功能的綜合分析，近幾年，我國(guó)信息化建設(shè)得到了迅猛地發(fā)展，帶寬越來(lái)越寬，網(wǎng)絡(luò)速 度翻了幾倍，E-Mail在網(wǎng)間的傳遞流量呈現(xiàn)指數(shù)增長(zhǎng)，IP語(yǔ)音、視頻等技術(shù)極大地豐富了網(wǎng)絡(luò)應(yīng)用。

但是，互聯(lián)網(wǎng)在拉近人與人之間距離的同時(shí)，病毒、黑客也隨之不請(qǐng)自到。病毒的智能化，變種、繁殖的快速，黑客工具的“傻瓜”化加上洪水般的泛濫趨 勢(shì)，使得企業(yè)的信息系統(tǒng)變得脆弱不堪，隨時(shí)面臨癱瘓甚至被永久損壞的危險(xiǎn)。在此形勢(shì)下，企業(yè)不得不加強(qiáng)對(duì)自身信息系統(tǒng)的安全防護(hù)，期望得到一個(gè)徹底的、一 勞永逸的安全防護(hù)系統(tǒng)。但是，安全總是相對(duì)的，安全措施總是被動(dòng)的，沒(méi)有一個(gè)企業(yè)的安全系統(tǒng)能夠得到真正100%的安全保證。

病毒原理、入侵攻防技術(shù)發(fā)展的研究分析表明，單一的防病毒軟件往往使得網(wǎng)絡(luò)的安全防護(hù)并不完善，網(wǎng)絡(luò)安全不能再靠單一設(shè)備、單一技術(shù)來(lái)實(shí)現(xiàn)已成為業(yè) 界共識(shí)。在“軟硬結(jié)合”、“內(nèi)外相應(yīng)”等業(yè)界近來(lái)廣為推廣的安全策略下，安全交換機(jī)作為網(wǎng)絡(luò)骨干設(shè)備，自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。

交換機(jī)自身更要安全

安全交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)，而是計(jì)算機(jī)就有被攻擊的可能，比如非法獲取安全交換機(jī)的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會(huì)受到DoS攻 擊，比如前面提到的幾種蠕蟲(chóng)病毒。此外，交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù)、ARP、建路由表，維護(hù)路由協(xié)議，對(duì)ICＭP報(bào)文進(jìn)行處理，監(jiān)控交換機(jī)， 這些都有可能成為黑客攻擊交換機(jī)的手段。傳統(tǒng)安全交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強(qiáng)調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互聯(lián)，加上TCP/IP協(xié)議本身的開(kāi)放 性，網(wǎng)絡(luò)安全成為一個(gè)突出問(wèn)題，網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機(jī)密信息被泄露，重要數(shù)據(jù)設(shè)備被攻擊，而安全交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，其原來(lái)的安全特性已 經(jīng)無(wú)法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的交換機(jī)需要增加安全性。

在網(wǎng)絡(luò)設(shè)備廠商看來(lái)，加強(qiáng)安全性的安全交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善，除了具備一般的功能外，這種安全交換機(jī)還具備普通交換機(jī)所不具有的安全策 略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，限制非法訪問(wèn)，進(jìn)行事后分析，有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展。實(shí)現(xiàn)安全性的 一種作法就是在現(xiàn)有安全交換機(jī)中嵌入各種安全模塊。現(xiàn)在，越來(lái)越多的用戶都表示希望安全交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能。

交換機(jī)輕松實(shí)現(xiàn)網(wǎng)絡(luò)安全控管

安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性，比普通安全交換機(jī)具有更高的智能性和安全保護(hù)功能。在系統(tǒng)安全方面，交換機(jī)在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實(shí) 現(xiàn)了安全機(jī)制，即通過(guò)特定技術(shù)對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密、控制；在接入安全性方面，采用安全接入機(jī)制，包括802.1x接入驗(yàn)證、 RADIUS/TACACST、MAC地址檢驗(yàn)以及各種類型虛網(wǎng)技術(shù)等。不僅如此，許多交換機(jī)還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機(jī) 則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。目前交換機(jī)中常用的安全技術(shù)主要包括以下幾種。

流量控制技術(shù)

把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機(jī)具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī) 與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包，以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。 不過(guò)，交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無(wú)法區(qū)分哪些是正常流量，哪些是 異常流量。同時(shí)，如何設(shè)定一個(gè)合適的閾值也比較困難。

訪問(wèn)控制列表（ACL）技術(shù)

ACL通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)或被用作攻擊跳板。ACL是一張規(guī)則表，安全交換機(jī)按照順序執(zhí)行這些規(guī)則， 并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過(guò)。由于規(guī)則是按照一定順序處理的， 因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)至關(guān)重要。

現(xiàn)在，業(yè)界普遍認(rèn)為安全應(yīng)該遍布于整個(gè)網(wǎng)絡(luò)之內(nèi)，內(nèi)網(wǎng)到外網(wǎng)的安全既需要通過(guò)防火墻之類的專業(yè)安全設(shè)備來(lái)解決，也需要交換機(jī)在保護(hù)用戶方面發(fā)揮作 用。目前，絕大多數(shù)用戶對(duì)通過(guò)安全交換機(jī)解決安全問(wèn)題抱積極態(tài)度，近75%的用戶打算今后在實(shí)踐中對(duì)交換機(jī)采取安全措施，希望通過(guò)加固遍布網(wǎng)絡(luò)的安全交換 機(jī)來(lái)實(shí)現(xiàn)安全目標(biāo)。

“安全”需要出色的體系結(jié)構(gòu)

完美的產(chǎn)品首要要有個(gè)出色的體系結(jié)構(gòu)設(shè)計(jì)。現(xiàn)在，很多安全交換機(jī)產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過(guò)功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，使用 最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。

DCRS-7600系列IPv6萬(wàn)兆路由交換機(jī)除采用上述的全分布式體系結(jié)構(gòu)設(shè)計(jì)外，還具有非常出色的安全性功能設(shè)計(jì)，可有效地防止攻擊和病毒，更 適合大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問(wèn)的網(wǎng)絡(luò)，更加適合以太網(wǎng)的城域化發(fā)展。它的S-ARP（安全ARP）功能可有效防止ARP-DOS攻擊；Anti- Sweep（防掃描）功能可自動(dòng)監(jiān)測(cè)各種惡意掃描行為，實(shí)施報(bào)警或者采取其他安全措施，如禁止網(wǎng)絡(luò)訪問(wèn)等，此特性可將很多未知的新型病毒扼制在大規(guī)模爆發(fā) 之前；S-ICMP（安全I(xiàn)CMP）功能可有效防止PING-DOS攻擊，靈活防止黑客利用ICMP Unreachable攻擊第三方的行為；安全智能的S-Buffer功能和軟件IP流量抗沖擊功能可防止分布式DOS攻擊（DDOS攻擊）通過(guò)智能監(jiān)控 并調(diào)整報(bào)文數(shù)據(jù)Buffer和沖向CPU的IP報(bào)文隊(duì)列流量，使得核心安全交換機(jī)在DDOS攻擊下，安然無(wú)恙。