交換器安全技術 如何架設安全的交換器系統

交換器在企業網中佔有重要的地位，通常是整個網路的核心所在。 在這個駭客入侵風起雲湧、病毒肆虐的網路時代，作為核心的交換器也理所當然要承擔起網路安全的一部分責任。 因此，交換器要有專業安全產品的性能，安全已經成為網路建設必須考慮的重中之中。 安全交換器由此應運而生，在交換器中集成安全認證、ACL（Access Control List，存取控制清單）、防火牆、入侵偵測甚至防毒的功能，網路的安全真的需要「武裝到牙齒」 安全交換器三層含義 交換器最重要的作用就是轉發資料 ，在駭客攻擊和病毒侵擾下，交換器要能夠繼續保持其高效的資料轉發速率，不受到攻擊的干擾，這就是交換器所需要的最基本的安全功能。 同時，交換器作為整個網路的核心，應該能對訪問和存取網路資訊的使用者進行區分和許可權控制。 更重要的是，交換器還應該配合其他網路安全設備，對非授權訪問和網路攻擊進行監控和阻止。 安全交換器的新功能 802.1x加強安全認證 在傳統的局域網環境中，只要有物理的連接埠，未經授權的網路設備就可以接入局域網，或者是未經授權的使用者可以通過連接到局域網的設備進入網路。 這樣給一些企業造成了潛在的安全威脅。 另外，在學校以及智慧社區的網路中，由於涉及到網路的計費，所以驗證使用者接入的合法性也顯得非常重要。 IEEE 802.1x 正是解決這個問題的良藥，目前已經被集成到二層智慧交換器中，完成對使用者的接入安全審核。 802.1x協定是剛剛完成標準化的一個符合IEEE 802協定集的局域網接入控制協定，其全稱為基於埠的存取控制協定。 它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的使用者進行認證和授權的手段，達到了接受合法使用者接入，保護網路安全的目的。 802.1x協定與LAN是無縫融合的。 802.1x利用了交換LAN架構的物理特性，實現了LAN埠上的設備認證。 在認證過程中，LAN埠要麼充當認證者，要麼扮演要求者。 在作為認證者時，LAN埠在需要使用者通過該埠接入相應的服務之前，首先進行認證，如若認證失敗則不允許接入；在作為要求者時，LAN埠則負責向認證伺服器提交接入服務申請。 基於埠的MAC鎖定只允許信任的MAC位址向網路中發送資料。 來自任何「不信任」的設備的資料流程會被自動丟棄，從而確保最大限度的安全性。 在802.1x協定中，只有具備了以下三個元素才能夠完成基於埠的存取控制的使用者認證和授權。　 1. 用戶端。 一般安裝在使用者的工作站上，當使用者有上網需求時，啟動用戶端程式，輸入必要的使用者名和口令，用戶端程式將會送出連接請求。 2. 認證系統。 在乙太網系統中指認證交換器，其主要作用是完成使用者認證資訊的上傳、下達工作，並根據認證的結果打開或關閉埠。 3. 認證伺服器。 通過檢驗用戶端發送來的身份標識（使用者名和口令）來判別使用者是否有權使用網路系統提供的網路服務，並根據認證結果向交換器發出打開或保持埠關閉的狀態。 流量控制 安全交換器的流量控制技術把流經埠的異常流量限制在一定的範圍內，避免交換器的頻寬被無限制濫用。 安全交換器的流量控制功能能夠實現對異常流量的控制，避免網路堵塞。 防DDoS 企業網一旦遭到大規模分散式阻斷服務攻擊，會影響大量使用者的正常網路使用，嚴重的甚至造成網路癱瘓，成為服務提供者最為頭疼的攻擊。 安全交換器採用專門的技術來防範DDoS攻擊，它可以在不影響正常業務的情況下，智慧地檢測和阻止惡意流量，從而防止網路受到DDoS攻擊的威脅。 虛擬區域網路VLAN 虛擬區域網路是安全交換器必不可少的功能。 VLAN可以在二層或者三層交換器上實現有限的廣播域，它可以把網路分成一個一個獨立的區域，可以控制這些區域是否可以通訊。 VLAN可能跨越一個或多個交換器，與它們的物理位置無關，設備之間好像在同一個網路間通信一樣。 VLAN可在各種形式上形成，如埠、MAC位址、IP位址等。 VLAN限制了各個不同VLAN之間的非授權訪問，而且可以設置IP/MAC位址綁定功能限制使用者的非授權網路訪問。 基於存取控制清單的防火牆功能 安全交換器採用了存取控制清單ACL來實現包過濾防火牆的安全功能，增強安全防範能力。 存取控制清單以前只在核心路由器才獲使用。 在安全交換器中，存取控制過濾措施可以基於源/目標交換槽、埠、源/目標VLAN、源/目標IP、TCP/UDP埠、ICMP類型或MAC位址來實現。 ACL不但可以讓網路管理者用來制定網路原則，針對個別使用者或特定的資料流程進行允許或者拒絕的控制，也可以用來加強網路的安全遮罩，讓駭客找不到網路中的特定主機進行探測，從而無法發動攻擊。 入侵偵測IDS 安全交換器的IDS功能可以根據上報資訊和資料流程內容進行檢測，在發現網路安全事件的時候，進行有針對性的操作，並將這些對安全事件反應的動作發送到交換器上，由交換器來實現精確的埠斷開操作。 實現這種聯動，需要交換器能夠支援認證、埠鏡像、強制流分類、進程數控制、埠反查等功能 設備冗余也重要 物理上的安全也就是冗余能力是網路安全運行的保證。 任何廠商都不能保證其產品不發生故障，而發生故障時能否迅速切換到一個好設備上，是令人關心的問題。 後備電源、後備管理模組、冗余埠等冗余設備就能保證即使在設備出現故障的情況下，立刻賦予後備的模組、安全保障網路的運行。 安全交換器的佈署 安全交換器的出現，使得網路在交換器這個層次上的安全能力大大增強。 安全交換器可以配備在網路的核心，如同思科Catalyst 6500這個模組化的核心交換器那樣，把安全功能放在核心來實現。 這樣做的好處是可以在核心交換器上統一配置安全性原則，做到集中控制，而且方便網路管理人員的監控和調整。 而且核心交換器都具備強大的能力，安全性能是一項頗費處理能力的工作，核心交換器做起這個事情來能做到物盡其能。 把安全交換器放在網路的接入層或者彙聚層，是另外一個選擇。 這樣配備安全交換器的方式就是核心把權力下放到邊緣，在各個邊緣就開始實施安全交換器的性能，把入侵和攻擊以及可疑流量堵在邊緣之外，確保全網的安全。 這樣就需要在邊緣配備安全交換器，很多廠家已經推出了各種邊緣或者彙聚層使用的安全交換器。 它們就像一個個的堡壘一樣，在核心周圍建立起一道堅固的安全防線。 安全交換器有時候還不能孤軍奮戰，如PPPoE認證功能就需要Radius伺服器的支援，另外其他的一些交換器能夠和入侵偵測設備做聯動的，就需要其他網路設備或者伺服器的支援。 安全交換器的升級 目前市場上出了很多新的安全交換器，它們是一出廠就天生具備了一些安全的功能。 那麼一些老交換器如何能夠得到安全上的保障呢。 一般來說，對於模組化的交換器，這個問題很好解決。 普遍的解決方式是在老的模組化交換器上插入新的安全模組，如思科Catalyst 6500就帶有防火牆模組、入侵偵測IDS模組等等安全模組；神州數碼的6610交換器配備了PPPoE的認證模組，直接插入老交換器就能讓這些「老革命 」解決新問題。 如果以前購置的交換器是固定式的交換器，一些有能力的型號就需要通過升級固件firmware的形式來植入新的安全功能。 安全交換器的前景 隨著使用者對網路環境的需求越來越高，對具備安全功能的交換器的需求也越來越大。 很多使用者認為，花一定的投資在交換器的安全上，對整個網路健壯性和安全性的提高是值得的。 特別是一些行業使用者，他們對網路的需求絕非連通即可。 如銀行、證券以及大型企業，網路病毒爆發一次或者入侵帶來的損失，足以超過在安全交換器上的額外投資。 安全交換器已經成為交換器市場上的一個新亮點。 【相關文章】如何讓網路堅不可摧 交換器安全六則教你如何架設安全的交換器系統【責任編輯：于捷 TEL：（010）68476606】 原文：交換器安全技術 如何架設安全的交換器系統 返回網路安全首頁