安全交换机：加强网络中安全最薄弱环节

　　一、网络系统中安全最薄弱的环节是以太网交换机

　　在病毒和网络泛滥的今天，网络安全已经成为网络技术主管关注的头等问题。病毒和网络，可能针对网络系统的各个部分：

　　以由器为目标；

　　以交换机为目标；

　　以网络为目标；

　　以用户电脑为目标；

　　以服务器为目标；

　　路由器限速怎么解除以应用程序为目标；

　　简单分析一下：由器的安全，通过由安全技术、ACL技术和VPN等技术，一般都部署的比较好；用户端，由于个人防火墙的迅速发展，用户安全意识的提高，用户端安全提升起来很容易；服务器和网络安全，一般通过防火墙、IDS和专业VPN设备来，这些网络安全设备正日趋成熟；而应用程序安全，则主要通过入侵检测系统以及多种加密措施来解决。

　　在整个网络系统中，最薄弱的环节是以太网交换机。在2003年冲击波病毒最的时候，很多网络运营商的网络都出现了大面积长时间中断的情况，其典型症状是交换机死机。因此2005年，运营商已经在交换机选型招标采购中将交换机相关安全性能指标作为必选项，安全交换机已经成为设备供应商必须尽快解决的问题。

　　所谓安全交换机，就是当交换机作为一个网络结点加入到网络中时，网络的脆弱性不会增加。相比之下，传统的非安全交换机加入到网络中时，除了做数据转发外，往往还成为病毒等网络不安全因素的主要工具。在遭受时，还会因为自身的脆弱而影响网络的正常运行。运营商在和规划网络时，希望加入的任何一个结点都是安全的，并要求在交换机等汇聚层设备上（当然最好在接入层设备上，总之，越靠近用户越好）上有一层安全屏障。而对于企业网，很多病毒和都是从内部发起和，这时候防火墙往往为力。这就需要企业内部网的交换机能够能够提供一定的安全防护功能。在这种需求的驱动下，交换机的安全成为新一代交换机的必备属性，具有这种属性的交换机通常被人们称作安全交换机。

　　可以说，安全交换机并不是一个虚幻的，是用户实实在在的需求，也是网络发展的必然结果。其安全特性最终将会在具体的网络应用中得到检验。

　　二、安全交换机的主要安全功能

　　在传统的交换功能的基础上，安全交换机融入了以下关于网络安全的因素。正是这些因素的作用，才为用户网络提供了有力的。

　　1）病毒过滤技术：

　　现在的互联网上着各种各样的病毒，对网络设备和最终用户造成很大的安全危害。可造成设备资源被病毒包大量消耗资源，使设备不能正常收发协议包，导致网络业务中断。在控制网络病毒的网络安全方面，启用二到七层灵活多样的ACL功能是比较有效的。ACL条目多达1000条，可以根据病毒特征灵活的进行控制以过滤病毒，达到有效的控制网络的访问，控制网络流量，优化网络配置，提供安全接入控制。对于目前常见的一些典型病毒，ACL的操作如下：

　　对于交换机ACL功能，首先要看在三层交换机还是二层交换机上实现。三层交换机上实现比较容易，而支持ACL的二层交换机则不多。另外，ACL实现还要看是基于硬件还是基于CPU实现，前者效率高对交换机的交换转发性能影响小，后者则对交换机的性能造成重大影响，特别是配置的ACL条目较多的情况下。安全交换机中，基于硬件的内置的ACL已经成为一个重要的组成部分。

　　2）基于ACL的报文过滤技术

　　报文分类功能非常灵活，不仅支持根据IP报文的五元组（源地址、目的地址、源端口号、目的端口号和协议类型）建立过滤规则，还可以区分报文中与业务和控制相关的所有链层、网络层以及应用层信息。

　　链层信息可区分报文源和目的MAC地址、VLANID、802.1p优先级、是否带VLAN标签；

　　网络层信息可区分源和目的IP地址网段、IP协议类型、IP优先级、tos值、dscp优先级、分片报文；

　　应用层信息可区分源和目的端口号（TCP/UDP）、TCP状态标志域。

　　ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对对于确定允许和不允许什么样的数据包通过网络至关重要。

　　ACL的一个用途是用于防DOS。DoS的方式有很多种，最基本的DoS就是利用合理的服务请求来占用过多的服务资源，从而使用户无法得到服务的响应。对网络造成的影响就是使网络中着大量的无用的数据包，高流量无用数据，造成网络拥塞，使主机无法正常和通讯，无法及时处理所有正常请求，严重时会造成系统死机，如果对象是交换设备时，没有防功能的设备往往会停止对正常用户的数据进行处理。安全交换机采用的防DOS技术采用预分类方法通过分析网络流量、自动过滤非法数据，免除对控制平面造成的非法，从硬件和软件等多方面有效的防范和解决该类问题，使得设备对大量扫描予以防护和。

　　3）CPU过载技术

　　如果交换机的CPU被恶意或者病毒发作而瘫痪，那么就可能导致网络数据转发的中断；同时网络管理员也要能够通过telnet、集群网管、web网管等手段管理网络中的交换机。而交换机与网络管理员的数据交互需要交换机上CPU进行应答，如果交换机的CPU被恶意、病毒给瘫痪，那么该交换机对管理员而言，就处于不可管状态。基于的这些原因，需要对CPU进行防护。在网络出现严重问题或病毒大规模爆发的恶劣情况下，安全交换机由于采用了CPU技术，使得设备本身更聪明，依然能够学习识别恶意数据和正据，并设备的核心――CPU的正常工作，设备心脏只接受和执行有效命令，交换机也就能不间断的转发和处理正常流量和协议，有效规避了CPU负担过重导致的停机或死机。

　　4）风暴控制功能

　　以太网交换机进行数据转发的一个特点就是包会在VLAN内除了包的入端口之外的所有端口进行转发，包在网络中大量传递，就会在网络中形成风暴，占用大量带宽，影响正据的转发，在组环网的时候这种情况尤其严重。包太多也会对交换机的CPU造成负荷过重，如果对风暴不加以控制会给网络的稳定和安全带来很大的危害。

　　另外，查找不到目的MAC地址的单播数据(DLF)在网络中也是以方式传输的，这样的数据也一样可以导致风暴。安全交换机提供了多种风暴的解决方法：

　　a）提供硬件级的包、DLF数据限速功能，例如可以交换机每秒钟只转发100个包。

　　b）通过VLAN划分来包的传递范围，缩小域。例如可以把交换机的每个端口分别配置在不同的VLAN内。

　　c）对于组二层环网的情况，我们可以用以太网环或生成树（STP）技术来组网，通过阻塞环上的某一端口在逻辑上把环给断开，在被阻塞的端口上是不收发数据包的。

　　d）对于包送CPU的情况，我们只把协议包和应该处理的包送CPU，并且通过预判断机制来过滤恶意包。

　　虚拟局域网是安全交换机必不可少的一个功能，也是应用相当广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以在二层或者三层交换机上实现有限的域，它可以覆盖多个网络设备，与它们的物理无关，设备之间好像在同一个网络间通信一样，这样使得企业的网络管理变得简单、直观。

　　虚拟局域网可以用来把用户划分成若干小组，仅仅允许用户使用他们需要的网络资源。VLAN基于端口的VLAN、MAC地址及由访问列表等原则划分，了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能用户的非授权网络访问，从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建，隔离了，缩小了范围，可以控制风暴的产生。对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理的网络用户划分为一个逻辑网段。

　　6)基于802.1X的接入控制技术

　　802.1x协议是一个符合IEEE802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受用户接入，网络安全的目的。

　　7）交换机与IDS系统的联动

　　企业交换机与IDS系统的联动是一个非常实际而又不会增加投资费用的理想方案。由于黑客和病毒都是依赖网络平台进行，将IDS作为系统，与交换机进行联动，就能在网络平台上切断黑客和病毒的途径，实现意想不到的安全效果。具体来说，企业交换机与IDS系统的联动是指在运行的过程中，交换机将各种数据流的信息给安全设备，IDS可以根据信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。这项技术得到绝大多数用户的认可，但在实践中还没有得到广泛的应用。

　　三、安全交换机的选购

　　任何一个使用传统交换机的网络结点均可以采用安全交换机进行替换。并且，安全交换机具有传统交换机的所有功能，可以作为一个的网元存在于运营商的网络和企业网中。加入安全交换机之后，可以有效地遏制非法流量在网络中的，即可以节省运营网络资源，又可以网络的畅通无阻。最重要的一点是，安全交换机自身拥有免疫能力，在遭受的时候，如DOS，它通过驱动抗模块，保障设备的正常运用。不会象传统的交换机那样由于自身的脆弱影响网络的健壮性。

　　目前市场换机的品种多样，安全交换机和传统交换机均混杂其中。这给人们的选购带来了一定的困难。但要进行区分还是有一定的办法的。用户应该首先查看相关的手册，并通过超级终端等工具进行基本配置，看是否具有这些功能。当应用到具体的网络中时，可以通过查看相关的统计记数看这些条目是否发生作用。在有病毒的中，安全交换机的表现非常明显，它依然能够正常工作，不会出现死机或瘫痪。还可以通过端口的自环来检测抗风暴的能力，安全交换机抗风暴的能力很强，它可以通过速率风暴，或可以通过环检测直接解除环。总之，在相同的中，安全交换机和传统交换机的表现差别还常明显的。

　　安全交换机已经成为一些主流设备厂商开拓市场的杀手锏，但是由于各厂商对安全交换机的理解有不同，所推出的的安全交换机特色各有偏重。因此，在采购的过程中，应该根据自身的网络特征和需求来进行选择。如Cisco安全LAN交换体系强调VLAN技术的合理灵活运用，ACL技术对IP访问控制和协议的过滤，端口安全，802.1x认证等，另外Cisco还提出了NACNetworkAdmissionControl技术。惠普网络在“适应性边缘架构”技术策略中将安全作为适应性边缘架构的关键一环，它采用VirusThrottle技术，可以在流量进入LAN和通过网络交换机时侦测到蠕虫病毒的活动，及时遏制病毒传染，确保网络管理员防患于未然，在病毒前做出响应并采取相应措施。而华为3Com则在其三层交换机S3500系列上集中体现了其交换机的安全特性，为用户实现特定的安全策略、探测与防范非法以及事后分析，提供了报文过滤、流量限速、端口隔离、地址绑定、风暴、安全访问、日志等全方位的安全手段，另外华为3com交换机的安全功能还支持交换机和IDS设备的联动。烽火网络安全交换机最大的特色在于除其三层交换机具有安全功能外，针对靠近用户二层交换机的安全需要更为迫切，其S2000系列二层交换机安全功能尤为突出。烽火网络二层安全交换机，具有智能行为检测技术，系统时，重要数据还可以被系统处理；硬件实现ACL功能可以根据网络使用需要定义过滤功能作用的时间范围，可以很方便的实现各种访问控制策略，以太网环的50ms倒换技术解决环网风暴和链或设备故障快速倒换，以及病毒过滤、CPU、抗DOS、数量、速率的控制，端口环回检测、代理防范技术等。

　　尽管融入了安全的因素，但是主流厂商并没有因为安全功能的提升而提高了设备的价格，相反，经过近几年的发展，安全交换机的价格正不断呈现出下降的趋势。可以预见，那些不具备安全功能的传统交换机在较短的一段时间内将退出市场。