淺論交換機配置中的安全性！

2019-11-05 01:28:25

字體：大中小

供稿：網(wǎng)友

　　近幾年，我國信息化建設(shè)得到了迅猛地發(fā)展，帶寬越來越寬，網(wǎng)絡(luò)速度翻了幾倍，E-Mail在網(wǎng)間的傳遞流量呈現(xiàn)指數(shù)增長，ip語音、視頻等技術(shù)極大地豐富了網(wǎng)絡(luò)應(yīng)用。但是，互聯(lián)網(wǎng)在拉近人與人之間距離的同時，病毒、黑客也隨之不請自到。病毒的智能化，變種、繁殖的快速，黑客工具的“傻瓜”化加上洪水般的泛濫趨勢，使得企業(yè)的信息系統(tǒng)變得脆弱不堪，隨時面臨癱瘓甚至被永久損壞的危險。在此形勢下，企業(yè)不得不加強對自身信息系統(tǒng)的安全防護，期望得到一個徹底的、一勞永逸的安全防護系統(tǒng)。但是，安全總是相對的，安全措施總是被動的，沒有一個企業(yè)的安全系統(tǒng)能夠得到真正100%的安全保證。

　　病毒原理、入侵攻防技術(shù)發(fā)展的研究分析表明，單一的防病毒軟件往往使得網(wǎng)絡(luò)的安全防護并不完善，網(wǎng)絡(luò)安全不能再靠單一設(shè)備、單一技術(shù)來實現(xiàn)已成為業(yè)界共識。在“軟硬結(jié)合”、“內(nèi)外相應(yīng)”等業(yè)界近來廣為推廣的安全策略下，交換機作為網(wǎng)絡(luò)骨干設(shè)備，自然也肩負著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。

　　交換機自身更要安全

　　交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機，而是計算機就有被攻擊的可能，比如非法獲取交換機的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。此外，交換機可以作生成權(quán)維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICＭP報文進行處理，監(jiān)控交換機，這些都有可能成為黑客攻擊交換機的手段。

　　傳統(tǒng)交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互聯(lián)，加上TCP/IP協(xié)議本身的開放性，網(wǎng)絡(luò)安全成為一個突出問題，網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機密信息被泄露，重要數(shù)據(jù)設(shè)備被攻擊，而交換機作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，其原來的安全特性已經(jīng)無法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的交換機需要增加安全性。

　　　　在網(wǎng)絡(luò)設(shè)備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，限制非法訪問，進行事后分析，有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開展。實現(xiàn)安全性的一種作法就是在現(xiàn)有交換機中嵌入各種安全模塊。現(xiàn)在，越來越多的用戶都表示希望交換機中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能。

　　交換機輕松實現(xiàn)網(wǎng)絡(luò)安全控管

　　安全性加強的交換機本身具有抗攻擊性，比普通交換機具有更高的智能性和安全保護功能。在系統(tǒng)安全方面，交換機在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實現(xiàn)了安全機制，即通過特定技術(shù)對網(wǎng)絡(luò)治理信息進行加密、控制；在接入安全性方面，采用安全接入機制，包括802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛網(wǎng)技術(shù)等。不僅如此，許多交換機還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。

　　目前交換機中常用的安全技術(shù)主要包括以下幾種。

　　流量控制技術(shù)

　　把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對超過設(shè)定值的廣播流量進行丟棄處理。不過，交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設(shè)定一個合適的閾值也比較困難。

　　訪問控制列表（ACL）技術(shù)

　　ACL通過對網(wǎng)絡(luò)資源進行訪問輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，交換機按照順序執(zhí)行這些規(guī)則，并且處理每一個進入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么答應(yīng)、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對位置對于確定答應(yīng)和不答應(yīng)什么樣的數(shù)據(jù)包通過網(wǎng)絡(luò)至關(guān)重要。

　　現(xiàn)在，業(yè)界普遍認(rèn)為安全應(yīng)該遍布于整個網(wǎng)絡(luò)之內(nèi)，內(nèi)網(wǎng)到外網(wǎng)的安全既需要通過防火墻之類的專業(yè)安全設(shè)備來解決，也需要交換機在保護用戶方面發(fā)揮作用。目前，絕大多數(shù)用戶對通過交換機解決安全問題抱積極態(tài)度，近75%的用戶打算今后在實踐中對交換機采取安全措施，希望通過加固遍布網(wǎng)絡(luò)的交換機來實現(xiàn)安全目標(biāo)。　

　　“安全”需要出色的體系結(jié)構(gòu)

　　完美的產(chǎn)品首要要有個出色的體系結(jié)構(gòu)設(shè)計。現(xiàn)在，很多交換機產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計，通過功能強大的ASIC芯片進行高速路由查找，使用最長匹配、逐包轉(zhuǎn)發(fā)的方式進行數(shù)據(jù)轉(zhuǎn)發(fā)，從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力。

上一篇：網(wǎng)絡(luò)交換機故障輕松排除技法

下一篇：LAN多層交換技術(shù)及應(yīng)用的發(fā)展