安全交換機有很多值得學習的地方,這里我們主要介紹安全交換機基本功能的綜合分析,近幾年,我國信息化建設得到了迅猛地發展,帶寬越來越寬,網絡速 度翻了幾倍,E-Mail在網間的傳遞流量呈現指數增長,IP語音、視頻等技術極大地豐富了網絡應用。
但是,互聯網在拉近人與人之間距離的同時,病毒、黑客也隨之不請自到。病毒的智能化,變種、繁殖的快速,黑客工具的“傻瓜”化加上洪水般的泛濫趨 勢,使得企業的信息系統變得脆弱不堪,隨時面臨癱瘓甚至被永久損壞的危險。在此形勢下,企業不得不加強對自身信息系統的安全防護,期望得到一個徹底的、一 勞永逸的安全防護系統。但是,安全總是相對的,安全措施總是被動的,沒有一個企業的安全系統能夠得到真正100%的安全保證。
病毒原理、入侵攻防技術發展的研究分析表明,單一的防病毒軟件往往使得網絡的安全防護并不完善,網絡安全不能再靠單一設備、單一技術來實現已成為業 界共識。在“軟硬結合”、“內外相應”等業界近來廣為推廣的安全策略下,安全交換機作為網絡骨干設備,自然也肩負著構筑網絡安全防線的重任。
交換機自身更要安全
安全交換機實際是一個為轉發數據包優化的計算機,而是計算機就有被攻擊的可能,比如非法獲取安全交換機的控制權,導致網絡癱瘓,另一方面也會受到DoS攻 擊,比如前面提到的幾種蠕蟲病毒。此外,交換機可以作生成權維護、路由協議維護、ARP、建路由表,維護路由協議,對ICMP報文進行處理,監控交換機, 這些都有可能成為黑客攻擊交換機的手段。傳統安全交換機主要用于數據包的快速轉發,強調轉發性能。隨著局域網的廣泛互聯,加上TCP/IP協議本身的開放 性,網絡安全成為一個突出問題,網絡中的敏感數據、機密信息被泄露,重要數據設備被攻擊,而安全交換機作為網絡環境中重要的轉發設備,其原來的安全特性已 經無法滿足現在的安全需求,因此傳統的交換機需要增加安全性。
在網絡設備廠商看來,加強安全性的安全交換機是對普通交換機的升級和完善,除了具備一般的功能外,這種安全交換機還具備普通交換機所不具有的安全策 略功能。這種交換機從網絡安全和用戶業務應用出發,能夠實現特定的安全策略,限制非法訪問,進行事后分析,有效保障用戶網絡業務的正常開展。實現安全性的 一種作法就是在現有安全交換機中嵌入各種安全模塊。現在,越來越多的用戶都表示希望安全交換機中增加防火墻、VPN、數據加密、身份認證等功能。
交換機輕松實現網絡安全控管
安全性加強的交換機本身具有抗攻擊性,比普通安全交換機具有更高的智能性和安全保護功能。在系統安全方面,交換機在網絡由核心到邊緣的整體架構中實 現了安全機制,即通過特定技術對網絡管理信息進行加密、控制;在接入安全性方面,采用安全接入機制,包括802.1x接入驗證、 RADIUS/TACACST、MAC地址檢驗以及各種類型虛網技術等。不僅如此,許多交換機還增加了硬件形式的安全模塊,一些具有內網安全功能的交換機 則更好地遏制了隨著WLAN應用而泛濫的內網安全隱患。目前交換機中常用的安全技術主要包括以下幾種。
流量控制技術
把流經端口的異常流量限制在一定的范圍內。許多交換機具有基于端口的流量控制功能,能夠實現風暴控制、端口保護和端口安全。流量控制功能用于交換機 與交換機之間在發生擁塞時通知對方暫時停止發送數據包,以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小,對超過設定值的廣播流量進行丟棄處理。 不過,交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的范圍內,而無法區分哪些是正常流量,哪些是 異常流量。同時,如何設定一個合適的閾值也比較困難。
訪問控制列表(ACL)技術
ACL通過對網絡資源進行訪問輸入和輸出控制,確保網絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規則表,安全交換機按照順序執行這些規則, 并且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)要么允許、要么拒絕數據包通過。由于規則是按照一定順序處理的, 因此每條規則的相對位置對于確定允許和不允許什么樣的數據包通過網絡至關重要。
現在,業界普遍認為安全應該遍布于整個網絡之內,內網到外網的安全既需要通過防火墻之類的專業安全設備來解決,也需要交換機在保護用戶方面發揮作 用。目前,絕大多數用戶對通過安全交換機解決安全問題抱積極態度,近75%的用戶打算今后在實踐中對交換機采取安全措施,希望通過加固遍布網絡的安全交換 機來實現安全目標。
“安全”需要出色的體系結構
完美的產品首要要有個出色的體系結構設計。現在,很多安全交換機產品采用全分布式體系結構設計,通過功能強大的ASIC芯片進行高速路由查找,使用 最長匹配、逐包轉發的方式進行數據轉發,從而大大提升了路由交換機的轉發性能和擴充能力。
DCRS-7600系列IPv6萬兆路由交換機除采用上述的全分布式體系結構設計外,還具有非常出色的安全性功能設計,可有效地防止攻擊和病毒,更 適合大規模、多業務、復雜流量訪問的網絡,更加適合以太網的城域化發展。它的S-ARP(安全ARP)功能可有效防止ARP-DOS攻擊;Anti- Sweep(防掃描)功能可自動監測各種惡意掃描行為,實施報警或者采取其他安全措施,如禁止網絡訪問等,此特性可將很多未知的新型病毒扼制在大規模爆發 之前;S-ICMP(安全ICMP)功能可有效防止PING-DOS攻擊,靈活防止黑客利用ICMP Unreachable攻擊第三方的行為;安全智能的S-Buffer功能和軟件IP流量抗沖擊功能可防止分布式DOS攻擊(DDOS攻擊)通過智能監控 并調整報文數據Buffer和沖向CPU的IP報文隊列流量,使得核心安全交換機在DDOS攻擊下,安然無恙。
