新聞中心

EEPW首頁(yè) > 消費(fèi)電子 > 設(shè)計(jì)應(yīng)用 > 安全成交換機(jī)的基本功能

安全成交換機(jī)的基本功能

——
作者: 時(shí)間:2006-07-10 來源:chinaitlab 收藏
 
  近幾年,我國(guó)信息化建設(shè)得到了迅猛地發(fā)展,帶寬越來越寬,速度翻了幾倍,E-Mail在網(wǎng)間的傳遞流量呈現(xiàn)指數(shù)增長(zhǎng),IP語(yǔ)音、等技術(shù)極大地豐富了應(yīng)用。 但是,互聯(lián)網(wǎng)在拉近人與人之間距離的同時(shí),病毒、黑客也隨之不請(qǐng)自到。病毒的智能化,變種、繁殖的快速,黑客工具的“傻瓜”化加上洪水般的泛濫趨勢(shì),使得企業(yè)的信息系統(tǒng)變得脆弱不堪,隨時(shí)面臨癱瘓甚至被永久損壞的危險(xiǎn)。在此形勢(shì)下,企業(yè)不得不加強(qiáng)對(duì)自身信息系統(tǒng)的防護(hù),期望得到一個(gè)徹底的、一勞永逸的防護(hù)系統(tǒng)。但是,總是相對(duì)的,安全措施總是被動(dòng)的,沒有一個(gè)企業(yè)的安全系統(tǒng)能夠得到真正100%的安全保證。 
   
  病毒原理、入侵攻防技術(shù)發(fā)展的研究分析表明,單一的防病毒軟件往往使得的安全防護(hù)并不完善,網(wǎng)絡(luò)安全不能再靠單一設(shè)備、單一技術(shù)來實(shí)現(xiàn)已成為業(yè)界共識(shí)。在“軟硬結(jié)合”、“內(nèi)外相應(yīng)”等業(yè)界近來廣為推廣的安全策略下,作為網(wǎng)絡(luò)骨干設(shè)備,自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。 
   
  自身更要安全 
   
  實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī),而是計(jì)算機(jī)就有被攻擊的可能,比如非法獲取交換機(jī)的控制權(quán),導(dǎo)致網(wǎng)絡(luò)癱瘓,另一方面也會(huì)受到DoS攻擊,比如前面提到的幾種蠕蟲病毒。此外,交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù)、ARP、建路由表,維護(hù)路由協(xié)議,對(duì)ICMP報(bào)文進(jìn)行處理,監(jiān)控交換機(jī),這些都有可能成為黑客攻擊交換機(jī)的手段。 
   
  傳統(tǒng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā),強(qiáng)調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互聯(lián),加上TCP/IP協(xié)議本身的開放性,網(wǎng)絡(luò)安全成為一個(gè)突出問題,網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機(jī)密信息被泄露,重要數(shù)據(jù)設(shè)備被攻擊,而交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備,其原來的安全特性已經(jīng)無法滿足現(xiàn)在的安全需求,因此傳統(tǒng)的交換機(jī)需要增加安全性。 
   
  在網(wǎng)絡(luò)設(shè)備廠商看來,加強(qiáng)安全性的交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善,除了具備一般的功能外,這種交換機(jī)還具備普通交換機(jī)所不具有的安全策略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā),能夠?qū)崿F(xiàn)特定的安全策略,限制非法訪問,進(jìn)行事后分析,有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開展。實(shí)現(xiàn)安全性的一種作法就是在現(xiàn)有交換機(jī)中嵌入各種安全模塊?,F(xiàn)在,越來越多的用戶都表示希望交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能。 
   
  交換機(jī)輕松實(shí)現(xiàn)網(wǎng)絡(luò)安全控管 
   
  安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性,比普通交換機(jī)具有更高的智能性和安全保護(hù)功能。在系統(tǒng)安全方面,交換機(jī)在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實(shí)現(xiàn)了安全機(jī)制,即通過特定技術(shù)對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密、控制;在接入安全性方面,采用安全接入機(jī)制,包括802.1x接入驗(yàn)證、RADIUS/TACACST、MAC地址檢驗(yàn)以及各種類型虛網(wǎng)技術(shù)等。不僅如此,許多交換機(jī)還增加了硬件形式的安全模塊,一些具有內(nèi)網(wǎng)安全功能的交換機(jī)則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。 
   
  目前交換機(jī)中常用的安全技術(shù)主要包括以下幾種。 

    流量控制技術(shù) 
   
  把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機(jī)具有基于端口的流量控制功能,能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包,以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對(duì)超過設(shè)定值的廣播流量進(jìn)行丟棄處理。 不過,交換機(jī)的流量控制功能只能對(duì)經(jīng)過端口的各類流量進(jìn)行簡(jiǎn)單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無法區(qū)分哪些是正常流量,哪些是異常流量。同時(shí),如何設(shè)定一個(gè)合適的閾值也比較困難。 
   
  訪問控制列表(ACL)技術(shù) 
   
  ACL通過對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問輸入和輸出控制,確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表,交換機(jī)按照順序執(zhí)行這些規(guī)則,并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的,因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡(luò)至關(guān)重要。 
   
  現(xiàn)在,業(yè)界普遍認(rèn)為安全應(yīng)該遍布于整個(gè)網(wǎng)絡(luò)之內(nèi),內(nèi)網(wǎng)到外網(wǎng)的安全既需要通過防火墻之類的專業(yè)安全設(shè)備來解決,也需要交換機(jī)在保護(hù)用戶方面發(fā)揮作用。目前,絕大多數(shù)用戶對(duì)通過交換機(jī)解決安全問題抱積極態(tài)度,近75%的用戶打算今后在實(shí)踐中對(duì)交換機(jī)采取安全措施,希望通過加固遍布網(wǎng)絡(luò)的交換機(jī)來實(shí)現(xiàn)安全目標(biāo)。 
   
  “安全”需要出色的體系結(jié)構(gòu) 
   
  完美的產(chǎn)品首要要有個(gè)出色的體系結(jié)構(gòu)設(shè)計(jì)?,F(xiàn)在,很多交換機(jī)產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì),通過功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找,使用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。 
   
  DCRS-7600系列IPv6萬(wàn)兆路由交換機(jī)除采用上述的全分布式體系結(jié)構(gòu)設(shè)計(jì)外,還具有非常出色的安全性功能設(shè)計(jì),可有效地防止攻擊和病毒,更適合大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問的網(wǎng)絡(luò),更加適合以太網(wǎng)的城域化發(fā)展。它的S-ARP(安全ARP)功能可有效防止ARP-DOS攻擊;Anti-Sweep(防掃描)功能可自動(dòng)監(jiān)測(cè)各種惡意掃描行為,實(shí)施報(bào)警或者采取其他安全措施,如禁止網(wǎng)絡(luò)訪問等,此特性可將很多未知的新型病毒扼制在大規(guī)模爆發(fā)之前;S-ICMP(安全I(xiàn)CMP)功能可有效防止PING-DOS攻擊,靈活防止黑客利用ICMP Unreachable攻擊第三方的行為;安全智能的S-Buffer功能和軟件IP流量抗沖擊功能可防止分布式DOS攻擊(DDOS攻擊)通過智能監(jiān)控并調(diào)整報(bào)文數(shù)據(jù)Buffer和沖向CPU的IP報(bào)文隊(duì)列流量,使得核心交換機(jī)在DDOS攻擊下,安然無恙。 
   
  交換引擎CPU核心保護(hù),可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓;關(guān)鍵協(xié)議綠色通道功能可保障正常、合法、速度合理的關(guān)鍵控制報(bào)文(STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等)在大流量業(yè)務(wù)下不被淹沒,快速處理不中斷;先進(jìn)的LPM技術(shù)可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等;端口信任模式則可檢測(cè)非法DHCP Server、非法Radius Server等,只在信任端口才能接入這些設(shè)備,從而保障網(wǎng)絡(luò)的安全。 

    DCRS-7600系列可基于時(shí)間段設(shè)置安全策略,安全設(shè)置隨時(shí)間而動(dòng),在不同的時(shí)間段自動(dòng)切換為不同的策略;智能化流量控制,可基于ACL進(jìn)行流量分類,比起傳統(tǒng)的基于交換機(jī)端口、ToS、DCSP、CoS、802.1P的分類方式,ACL-X更加精細(xì)和貼近業(yè)務(wù)分類;而安全策略分發(fā)更加靈活,可配置到任意端口、VLAN、VLAN接口,極為靈活。 
   
  基于應(yīng)用的業(yè)務(wù)安全管理SecAPP,使得具有線速業(yè)務(wù)感知的功能,可即時(shí)感知各種高層應(yīng)用業(yè)務(wù)的發(fā)生,而這個(gè)過程絲毫不影響交換機(jī)的轉(zhuǎn)發(fā)性能,所以說是線速的;智能業(yè)務(wù)策略功能可根據(jù)事先設(shè)定的策略,對(duì)各種高層應(yīng)用業(yè)務(wù)進(jìn)行分類,區(qū)分合法業(yè)務(wù)、非法業(yè)務(wù)、受限業(yè)務(wù);深度業(yè)務(wù)控制(基于ACL-X)功能可將分類后的業(yè)務(wù)執(zhí)行不同的安全控制措施,這里要借助強(qiáng)大的ACL-X和QoS,實(shí)現(xiàn)靈活的接入準(zhǔn)入控制或者流量限制。BT是讓人即愛又恨的應(yīng)用,在告訴下載文件的同時(shí),用戶的帶寬則被過度地占用,嚴(yán)重影響其它網(wǎng)絡(luò)應(yīng)用的進(jìn)程,SecAPP對(duì)于限制BT有著最為直接的作用,SecAPP可在不影響交換機(jī)轉(zhuǎn)發(fā)性能的前提下,實(shí)現(xiàn)對(duì)BT、電驢等P2P應(yīng)用業(yè)務(wù)的準(zhǔn)入控制和流量管理,可有管理性地控制用戶帶寬。 
   
  IPv6讓交換機(jī)更安全 
   
  近幾年來,IT技術(shù)得到了迅猛的發(fā)展,用戶日益豐富的應(yīng)用需求以及越來越多終端設(shè)備對(duì)網(wǎng)絡(luò)的需求促使了現(xiàn)有的IPv4類型IP地址已現(xiàn)枯竭之勢(shì)。相關(guān)調(diào)查機(jī)構(gòu)的數(shù)據(jù)顯示,全球可提供的IPv4地址大約有40多億個(gè),估計(jì)在未來5年間將被分配完畢;而我國(guó)的情況更嚴(yán)峻,去年我國(guó)網(wǎng)民已突破8000萬(wàn)。而截止到去年年底,我國(guó)總共申請(qǐng)到的IPv4的地址僅僅6000萬(wàn)左右。一些業(yè)內(nèi)專家明確指出,若不解決IP地址問題,將會(huì)成為我國(guó)乃至世界IT業(yè)界以及其它相關(guān)行業(yè)發(fā)展的瓶頸。于是乎,IPv6成了解決IPv4地址匱乏的靈丹妙藥。 
   
  現(xiàn)有互聯(lián)網(wǎng)采用的IPv4協(xié)議最初設(shè)計(jì)是用于教育科研網(wǎng)和企業(yè)網(wǎng),因此在協(xié)議的設(shè)計(jì)中很少關(guān)注網(wǎng)絡(luò)的安全性,導(dǎo)致目前的互聯(lián)網(wǎng)絡(luò)自身的安全保護(hù)能力有限,許多應(yīng)用系統(tǒng)處于不設(shè)防或很少設(shè)防的狀態(tài),存在著太多的安全隱患,并且情況日趨嚴(yán)重和復(fù)雜。目前的病毒早已不再是傳統(tǒng)的病毒,而是混合了黑客攻擊和病毒特征于一體的網(wǎng)絡(luò)攻擊行為。2003年,系統(tǒng)漏洞問題首次大規(guī)模成為人們關(guān)注的焦點(diǎn),目前,除微軟的系統(tǒng)漏洞外,像某型路由器、數(shù)據(jù)庫(kù)、Linux操作系統(tǒng)、移動(dòng)通信系統(tǒng)以及很多特定的應(yīng)用系統(tǒng)中,均存在大量的漏洞,尤其是在關(guān)鍵應(yīng)用系統(tǒng)中,如金融、電信、民航、電力等系統(tǒng),漏洞一旦被黑客利用,造成的后果將不堪設(shè)想。 
   
  隨著用戶需求和業(yè)務(wù)的不斷發(fā)展,互聯(lián)網(wǎng)安全成為實(shí)現(xiàn)創(chuàng)新業(yè)務(wù)和贏利商業(yè)模式的前提。由于IPv4地址的短缺,無法實(shí)現(xiàn)端到端的安全性,解決的辦法是采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù),或利用端口復(fù)用技術(shù),或使用私有IP地址,以擴(kuò)大公有IP地址的使用率。NAT方式在原來的客戶/服務(wù)器模式的應(yīng)用上可以很好地使用,但新型應(yīng)用越來越多地依賴于對(duì)等方式通信。此外,對(duì)于大量增長(zhǎng)的終端等在線設(shè)備來說,無疑端到端的尋址變得非常重要。由于NAT方式無法保證端到端通信,這就限制了很多新業(yè)務(wù)的開展,嚴(yán)重阻礙了互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。因此,端到端的安全性是未來業(yè)務(wù)的基本特性,只有借助IPv6豐富的地址空間實(shí)現(xiàn)了真正的端到端才能保證下一代互聯(lián)網(wǎng)多種新業(yè)務(wù)的開展和成熟商業(yè)模式的形成。 
   
  IPv6從地址管理及分配方式和技術(shù)本身兩個(gè)層面提供了充分的安全保障。 
   
  地址管理及分配方式 
   
  IPv6本身充分的地址空間可以為每一個(gè)用戶及每一臺(tái)設(shè)備與終端提供唯一對(duì)應(yīng)的IP地址,而IPv4時(shí)代互聯(lián)網(wǎng)地址分配的教訓(xùn)使我們意識(shí)到即使有128位的地址空間,一個(gè)良好的地址管理與分配方案仍然非常關(guān)鍵。 
   
  技術(shù) 
   
  IETF在設(shè)計(jì)下一代互聯(lián)網(wǎng)協(xié)議(IPv6)時(shí),增加了對(duì)網(wǎng)絡(luò)層安全性的強(qiáng)制要求,特別設(shè)計(jì)了IPSec協(xié)議,并規(guī)定所有的IPv6實(shí)現(xiàn)必須支持IPSec。IPSec協(xié)議也可工作于IPv4中,但在IPv4的實(shí)現(xiàn)中是可選的。 
   
  IPv6不但解決了當(dāng)今IP地址匱乏的問題,并且由于它引入了認(rèn)證和加密機(jī)制,實(shí)現(xiàn)了基于網(wǎng)絡(luò)層的身份認(rèn)證,確保了數(shù)據(jù)包的完整性和保密性,因此可以說IPv6實(shí)現(xiàn)了網(wǎng)絡(luò)層安全。 


p2p機(jī)相關(guān)文章:p2p原理


交換機(jī)相關(guān)文章:交換機(jī)工作原理




評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉