四招保障以太网络安全

文/每周电脑报 周雪

今天，万兆以太网交换机的崛起已是不争的事实，这与五年前千兆交换机取代百兆交换机的局面如出一辙。

令人不得不正视的是，在交换机从千兆到万兆的演进过程中，网络安全威胁也在以与万兆以太网交换机相匹配的速度增长。最新调查数据表明，现在的网络攻击手段已由单一的黑客、病毒攻击演变为以红色代码、冲击波、SQL Slammer为代表的混合式攻击，这些因素都使得万兆交换机的安全性问题备受业界瞩目，来不得半点疏忽，记者通过采访得知，万兆交换机的安全保障目前，主要通过入网认证、安全模块安装、实时网络数据监控分析与加强设备稳定性这四方面来实现。

保障安全从认证开始

神州数码网络公司产品总监杨燕群就万兆技术安全问题接受记者采访时表示，目前各大网络设备厂商纷纷把更多安全特性加入到万兆交换机产品中来，力图使万兆交换机本身成为一道保障网络安全的可靠屏障。加入安全防范功能，可有效降低入侵者从SNMP封包中取得企业信息的可能性。限制广播域和内部网段的组内流量，阻断恶意的大容量数据或者病毒的泛滥，实现对用户身份的认证管理，这些手段都可为用户创建一个安全可靠的网络环境，同时也有助于用户提高带宽利用率。

诺盛咨询资深分析师夏昀与杨燕群的观点不谋而合，他告诉记者，目前远程教学、呼叫中心、视频会议、VoIP语音服务、VOD视频点播等对带宽和时延敏感的应用，都要求万兆交换机在保障带宽的同时，还要提供智能化的QoS策略，并以此来保证关键业务的快速、及时转发。而要具备流量访问控制、速度限制、远程管理等智能管理特性的前提就是对使用者身份进行确认，首先要实现智能识别用户的合法性，才能做到最终的合理分配带宽，这也是以太网交换机帮助用户提升网络运行效率的关键所在。

用安全模块灵活组网

据IT实验室相关负责人介绍，今天的核心交换机交换容量已经达到了几百Gbps的水平，可以满足十几个万兆端口和几百个千兆端口的线速转发，所以性能不再是瓶颈，如何很好地在网络融合的趋势下承载业务则是各个网络设备供应商在产品设计初期就要深入思考的问题。

现阶段国内市场的网络融合已经是大势所趋，这种融合不仅是路由和交换技术的融合，还是广域和局域的融合，甚至还包括安全、IDS等技术和交换机技术的融合，它主要体现在核心交换机上直接可以扩展防火墙模块、IDS模块、2.5G/155M POS、ATM、2M等路由器的接口模块，这种融合给在网络中部署各种策略提供了更好的灵活性。比如单独的防火墙只能部署在网络的边缘，在网络出口位置保护内部网络的安全，但70%以上的安全问题往往来源于内部，它无法对内部网络进行有效控制。

而防火墙作为一个模块插到交换机内部之后，就可以灵活地部署在任意两个VLAN之间，极大地提高了部署的灵活性。通过扩展路由器接口，可以更加节省用户的投资，满足更加灵活的组网需求，也能提升整个网络的安全性。

须加强监控分析能力

随着万兆设备在网络核心的大规模部署，在推动以太网应用不断向前迈进的同时，一个新课题不期而至，那就是如何解决网络安全管理的瓶颈。由于以太网原来主要用于小型局域网环境，所以其网络管理工具不足以支持公用电信网所需的网络范围管理和视野，自然也就谈不上对网络的监控和安全管理。另外，尽管万兆核心具备强大的数据处理能力，但由于目前汇聚层的交换机多为千兆带宽，因此接入层与核心层之间无法形成一条快速通道，使得核心层的万兆性能优势难以充分发挥。

IT实验室相关负责人表示，更强更丰富的网络监控和管理能力是保障以太网设备有效转发的基础，但在现有的网络环境下仅仅这些设备还是远远不够的，还需要对交换机上运行的业务和所接入的用户进行分析管理，比如针对具体的端口或者IP地址的流量进行统计，来实现用户帐号、密码、IP地址、MAC地址、VLAN等多种元素的绑定，以确保具有资格的用户才能具有网络访问权，从而彻底杜绝各种地址仿冒威胁。

此外，对于因系统安全设置不健全而不能通过认证的用户，交换机可使得这些不安全用户只能访问Free Resource网段，可以从这些网段上下载防病毒软件、系统补丁以及安装安全客户端软件，待其系统符合安全要求，且在用户认证系统中申请开通账号后，方可正常访问其它网络资源，这一举措可以在系统安全性和用户使用便利性之间取得完美的平衡。