安全成交换机的基本功能[1]

近几年，我国信息化建设得到了迅猛地发展，带宽越来越宽，网络速度翻了几倍，E-Mail在网间的传递流量呈现指数增长，IP语音、视频等技术极大地丰富了网络应用。但是，互联网在拉近人与人之间距离的同时，病毒、黑客也随之不请自到。病毒的智能化，变种、繁殖的快速，黑客工具的“傻瓜”化加上洪水般的泛滥趋势，使得企业的信息系统变得脆弱不堪，随时面临瘫痪甚至被永久损坏的危险。在此形势下，企业不得不加强对自身信息系统的安全防护，期望得到一个彻底的、一劳永逸的安全防护系统。但是，安全总是相对的，安全措施总是被动的，没有一个企业的安全系统能够得到真正100%的安全保证。

　　病毒原理、入侵攻防技术发展的研究分析表明，单一的防病毒软件往往使得网络的安全防护并不完善，网络安全不能再靠单一设备、单一技术来实现已成为业界共识。在“软硬结合”、“内外相应”等业界近来广为推广的安全策略下，交换机作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。

　　交换机自身更要安全

　　交换机实际是一个为转发数据包优化的计算机，而是计算机就有被攻击的可能，比如非法获取交换机的控制权，导致网络瘫痪，另一方面也会受到DoS攻击，比如前面提到的几种蠕虫病毒。此外，交换机可以作生成权维护、路由协议维护、ARP、建路由表，维护路由协议，对ICＭP报文进行处理，监控交换机，这些都有可能成为黑客攻击交换机的手段。

　　传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互联，加上TCP/IP协议本身的开放性，网络安全成为一个突出问题，网络中的敏感数据、机密信息被泄露，重要数据设备被攻击，而交换机作为网络环境中重要的转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的交换机需要增加安全性。

　　在网络设备厂商看来，加强安全性的交换机是对普通交换机的升级和完善，除了具备一般的功能外，这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能够实现特定的安全策略，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。现在，越来越多的用户都表示希望交换机中增加防火墙、VPN、数据加密、身份认证等功能。

　　交换机轻松实现网络安全控管

　　安全性加强的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。

　　目前交换机中常用的安全技术主要包括以下几种。

　　流量控制技术

　　把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。 不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。

　　访问控制列表（ACL）技术

　　ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

　　现在，业界普遍认为安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。目前，绝大多数用户对通过交换机解决安全问题抱积极态度，近75%的用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。

　　“安全”需要出色的体系结构

　　完美的产品首要要有个出色的体系结构设计。现在，很多交换机产品采用全分布式体系结构设计，通过功能强大的ASIC芯片进行高速路由查找，使用最长匹配、逐包转发的方式进行数据转发，从而大大提升了路由交换机的转发性能和扩充能力。

　　DCRS-7600系列IPv6万兆路由交换机除采用上述的全分布式体系结构设计外，还具有非常出色的安全性功能设计，可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络，更加适合以太网的城域化发展。它的S-ARP（安全ARP）功能可有效防止ARP-DOS攻击；Anti-Sweep（防扫描）功能可自动监测各种恶意扫描行为，实施报警或者采取其他安全措施，如禁止网络访问等，此特性可将很多未知的新型病毒扼制在大规模爆发之前；S-ICMP（安全ICMP）功能可有效防止PING-DOS攻击，灵活防止黑客利用ICMP Unreachable攻击第三方的行为；安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击（DDOS攻击）通过智能监控并调整报文数据Buffer和冲向CPU的IP报文队列流量，使得核心交换机在DDOS攻击下，安然无恙。