扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
安全交换机有很多值得学习的地方,这里我们主要介绍安全交换机的未来发展方向,当中关村里经销商在推销交换机时,不约而同地加上“安全”一词做修饰语时,却鲜有人能回答几个基本问题:什么样的交换机是安全交换机?交换机“安全”背后的潜台词是什么?它的安全功能可以取代安全产品吗?安全交换机的未来走向怎样? 看来,一些交换机厂商们集体上演了两三年的产品“安全”秀,有些粗糙与匆忙......
做网络集成的陈先生在2005年的一次招标中碰到一件闹心事,在一个中型网络构建的项目就要签署的时候,被该用户的一位领导喊暂缓。原因据说是,与之竞争的另一家集成商的销售找到用户的这位领导,许诺在同样的价格下,将提供安全交换机。
陈先生找过去一看,吓一跳。所谓的“安全交换机”和自己所提供的交换机在性能、功能上是一摸一样,只是将802.1x认证和虚拟局域网VLAN这两功能单独提炼出来,强调是“安全交换机”。
“交换机在几年前就有认证和VLAN这些基本功能了,但人们并没有把它拿出来说是安全。”陈先生说,“我以为用户应该很明白,就没有去强调,没想到差点丢单。”在做了4、5年网络集成的陈先生看来,交换机至少应该是集成了重要安全产品特性(例如防火墙,VPN)才能算得上安全交换机。究竟什么样的交换机可称作安全交换机?其“安全”背后的潜台词是什么?它可以取代安全产品吗?“安全交换机”的未来走向怎样?
概念模糊不清
记者在采访中发现,主流厂商的技术人员对安全交换机被一些厂商和媒体追捧为网络热点产品持保留态度。“安全交换机是一个不准确的概念。” 一位思科工程师说,对于用户来讲,需要的是一个安全的可靠网络,这个网络能够提供高质量的支持数据、语音和视频服务。
在他看来,具备安全功能的交换机只是整合的网络安全方案中的一个设备而已,不同厂商的不同类型的交换机中集成的安全功能各有不同,而思科也从未明确定义过何为安全交换机。
负责思科系统公司数据中心、交换和安全技术业务的高级副总裁Jayshree Ullal女士认为,“孤立”的安全服务不存在,安全正在发展成为为一种嵌入式的网络服务,而思科正在将数据安全以服务器为中心的模式扩展为以网络为中心的保护模式,提出了“数据中心网络化应用”(Datacenter Networked Applications, DNA)。
因此,保障安全永续的业务运行,所需要的是整合的网络安全解决方案,通过丰富的安全产品线和众多融合了安全功能的网络设备,进行关联与防御控制,来提高威胁防御的智能水平,以确保应用安全和数据安全,也就是“自防御网络”。
华为3Com高级产品经理赵晓轩认为,安全是一个非常复杂的概念,狭义的安全包括VPN,防火墙,IDS;而广义的安全则比较泛,如果大家都往这上面套的话,安全交换机就是一个很虚的没有实际意义的概念。
首先,在交换机这个层面上来看,低端产品根本做不到融合防火墙和VPN的等安全功能,高端交换机虽然依靠其自身体系结构的优势,可以通过模块,来叠加安全功能,但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲,国内一些厂商所叫嚷的安全交换机,大部分来得比较牵强。
其次,安全交换机单独作为一个产品概念来营销,未必真的有效。成熟的高端用户往往很清楚,网络安全是一个整体安全的概念,而不可能仅仅依靠设备安全来保证安全,他们需要的是一个端对端的安全解决方案,这个方案包括了VPN,防火墙,甚至杀毒软件,而包括交换机在内的网络设备和这些软件之间要能做到安全联动。
向中小企业用户来推广使用增加了真正安全功能的高端交换机,难度更大。一方面,这些用户本身对于高端交换机需求量不大,性价比是其购买设备的重要驱动力,更何况增加了安全功能的交换机,价格肯定要上去;另一方面,网络设备在低端市场上是一个各司其职的概念,如果要融入安全基因,就会尽量以一种低成本的方式融入。“交换机和一些低端的网络安全设备已经便宜。” 赵晓轩说,“用户不可能为了一个看上去时髦和先进的模糊概念,放弃具有明显的性价比优势的网络安全解决方案。”
“安全”潜台词
“交换机需要具有安全性。”锐捷网络高级产品经理罗自灵的看法得到了思科、华为3Com、神码网络等主流厂商的技术同仁们的认同。普遍的看法认为,交换机的安全性可以分为三个层次:
其一,是交换机自身的安全。交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能。而交换机最基本的安全功能就是,在黑客攻击和病毒侵扰下,能够继续保持其高效的数据转发速率,不受到攻击的干扰。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。