淺析安全交換機(jī)的功能及發(fā)展前景

摘 要:隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，也出現(xiàn)了不少的網(wǎng)絡(luò)安全問(wèn)題，如病毒、黑客與多種多樣的危險(xiǎn)漏洞，這會(huì)造成企業(yè)與個(gè)人的經(jīng)濟(jì)損失。因此，安全交換機(jī)的出現(xiàn)適應(yīng)了這一需求。本文作者分析了安全交換機(jī)的功能，展望了其發(fā)展前景。

關(guān)鍵詞:網(wǎng)絡(luò)安全問(wèn)題安全交換機(jī)功能發(fā)展前景

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-198X(2011)09(c)-0117-01

在各企業(yè)網(wǎng)絡(luò)中，交換機(jī)起著非常重要的作用，可以稱(chēng)得上是整個(gè)網(wǎng)絡(luò)的核心。然而隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越嚴(yán)重，如黑客不斷入侵、病毒猖狂肆虐，而交換機(jī)在網(wǎng)絡(luò)安全管理上毋庸置疑的有著重要的責(zé)任。所以，交換機(jī)應(yīng)具有專(zhuān)業(yè)與高效的安全性能，保證整個(gè)網(wǎng)絡(luò)的安全。而安全交換機(jī)的出現(xiàn)正適應(yīng)需求。安全交換機(jī)集多項(xiàng)功能于一體，如安全認(rèn)證、入侵檢測(cè)、防火墻、ACL，更有防毒的功效，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的檢測(cè)與保護(hù)。

1 安全交換機(jī)含義解讀

轉(zhuǎn)發(fā)數(shù)據(jù)是交換機(jī)尤為重要的作用，而交換機(jī)應(yīng)具備的最基本的安全功能即在黑客入侵與病毒肆虐的網(wǎng)絡(luò)環(huán)境下，交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)速率仍舊保持高效水平，且不受攻擊的影響。

其次，交換機(jī)應(yīng)能夠區(qū)分訪問(wèn)與存取網(wǎng)絡(luò)信息的用戶(hù)，并對(duì)其權(quán)限控制。最重要的一點(diǎn)，交換機(jī)還應(yīng)與相關(guān)網(wǎng)絡(luò)安全設(shè)備相配合，及時(shí)監(jiān)控與阻止非授權(quán)的訪問(wèn)與網(wǎng)絡(luò)的攻擊。

2 安全交換機(jī)的功能分析

2.1 入侵檢測(cè)IDS

安全交換機(jī)具有入侵檢測(cè)的功能，其IDS功能的檢測(cè)主要以數(shù)據(jù)流內(nèi)容與上報(bào)信息為根據(jù)，一旦檢測(cè)到網(wǎng)絡(luò)安全事件，則對(duì)其實(shí)行針對(duì)性操作，同時(shí)把反應(yīng)安全事件的動(dòng)作傳送到交換機(jī)上，通過(guò)交換機(jī)來(lái)完成精準(zhǔn)的端口斷開(kāi)操作。這種聯(lián)動(dòng)的實(shí)現(xiàn)，需依托交換機(jī)的多項(xiàng)功能，如認(rèn)證支持、端口鏡像、分類(lèi)強(qiáng)制流等。

2.2 以訪問(wèn)控制列表為基礎(chǔ)的防火墻功能

安全交換機(jī)通過(guò)運(yùn)用訪問(wèn)控制列表ACL來(lái)完成包過(guò)濾防火墻的安全功能，提高安全防御能力。過(guò)去，訪問(wèn)控制列表僅使用于核心路由器。而如今，通過(guò)對(duì)安全交換機(jī)的使用，訪問(wèn)控制過(guò)濾手段的實(shí)現(xiàn)以源/目標(biāo)VLAN、端口、源/目標(biāo)IP、MAC地址、TCP/UDP端口等為基礎(chǔ)。

ACL不僅能夠使網(wǎng)絡(luò)策略的制定者為網(wǎng)絡(luò)管理者，控制個(gè)別用戶(hù)或設(shè)定的數(shù)據(jù)流允許或拒絕的訪問(wèn)權(quán)限，也能夠?qū)W(wǎng)絡(luò)的安全屏蔽進(jìn)行加強(qiáng)作用，防止黑客尋獲網(wǎng)絡(luò)中的特定主機(jī)并發(fā)動(dòng)攻擊。

2.3 有效控制流量

在安全交換機(jī)中，其流量控制功能指限制流經(jīng)端口的異常流量，使其保持在相應(yīng)的范圍內(nèi)，防止無(wú)限制地濫用交換機(jī)帶寬。通過(guò)流量控制可以達(dá)到控制異常流量的目的，以免出現(xiàn)網(wǎng)絡(luò)堵塞的現(xiàn)象。

2.4 802.1x增強(qiáng)安全認(rèn)證

基于端口的訪問(wèn)控制協(xié)的簡(jiǎn)稱(chēng)即為802.1x協(xié)議，與IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議相符合。802.1x通過(guò)認(rèn)證與授權(quán)與局域網(wǎng)連接的用戶(hù)，實(shí)現(xiàn)接入合法用戶(hù)，保障全網(wǎng)安全。

其工作原理:802.1x對(duì)交換LAN架構(gòu)的物理性進(jìn)行利用，從而完成LAN端口上認(rèn)證設(shè)備。LAN端口在認(rèn)證中扮演著兩個(gè)角色--認(rèn)證者與請(qǐng)求者。作為前者，用戶(hù)需利用LAN端口接入有關(guān)服務(wù)前，該端口先對(duì)其認(rèn)證，若認(rèn)證失敗就拒絕接入;作為后者，LAN端口的職責(zé)即將接入的服務(wù)申請(qǐng)?zhí)峤唤o認(rèn)證服務(wù)器。基于端口的MAC鎖定數(shù)據(jù)發(fā)送者僅為信任的MAC地址。自動(dòng)丟棄“不信任”設(shè)備的數(shù)據(jù)流，最大限度地保證其安全性。

2.5 虛擬局域網(wǎng)VLAN

安全交換機(jī)不可忽缺的一項(xiàng)功能即為虛擬局域網(wǎng)。VLAN能夠使有限的廣播域在二層或三層交換機(jī)上得到實(shí)現(xiàn)，將網(wǎng)絡(luò)劃分為單獨(dú)的區(qū)域，同時(shí)對(duì)其控制，檢測(cè)此類(lèi)區(qū)域是否能夠通訊。VLAN可在諸如IP地址、端口、MAC地址等不同形式上產(chǎn)生。VLAN對(duì)每個(gè)VLAN間的非授權(quán)訪問(wèn)有限制作用，并能夠設(shè)定MAC/IP地址綁定，對(duì)用戶(hù)的非授權(quán)網(wǎng)絡(luò)訪問(wèn)進(jìn)行有效限制。

2.6 防DDoS

在實(shí)踐中，我們可以看到若工作網(wǎng)出現(xiàn)大量分布式拒絕服務(wù)攻擊時(shí)，那么會(huì)給用戶(hù)的正常網(wǎng)絡(luò)使用帶來(lái)極大的影響，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓，這不利于正常工作的開(kāi)展。而安全交換機(jī)應(yīng)用專(zhuān)門(mén)的技術(shù)對(duì)DDoS攻擊進(jìn)行防御，并在不影響正常工作的前提下，對(duì)惡意流量進(jìn)行智能檢測(cè)與阻止，從而避免DDoS對(duì)網(wǎng)絡(luò)的攻擊威脅。

由上述我們可以看到安全交換機(jī)的功能是多方面的，值得我們推廣與應(yīng)用，那么我們?nèi)绾螌⑵鋺?yīng)用到所需環(huán)境中呢。

3 安全交換機(jī)的應(yīng)用

3.1 安全交換機(jī)的應(yīng)用

一方面，在網(wǎng)絡(luò)的核心配備安全交換機(jī)，如思科Catalyst 6500。這樣能夠在核心交換機(jī)上對(duì)安全策略進(jìn)行統(tǒng)一配置，以便集中控制，使網(wǎng)絡(luò)管理的監(jiān)控與調(diào)整更為便利。且核心交換機(jī)的能力強(qiáng)，安全性能高，促進(jìn)安全工作的快速開(kāi)展。

其次，在網(wǎng)絡(luò)的匯聚層或接入層中放入安全交換機(jī)。即核心將權(quán)力于邊緣下放，在不同邊緣執(zhí)行安全交換機(jī)的性能，將入侵與攻擊及可疑流量限制邊緣外，保證網(wǎng)絡(luò)的安全。此外，有些安全交換機(jī)也需其設(shè)備的支持。如Radius幫助PPPoE認(rèn)證。

3.2 安全交換機(jī)的升級(jí)

由于市場(chǎng)上安全交換機(jī)不斷更新?lián)Q代，那么怎樣保證老交換機(jī)如的安全？通常，若為模塊化的交換機(jī)，常見(jiàn)的解決方法一般將新的安全模塊插入在老的模塊化交換機(jī)上，如思科Catalyst 6500帶有的安全模塊有入侵檢測(cè)IDS模塊、防火墻模塊等;神州數(shù)碼的6610交換機(jī)有PPPoE的認(rèn)證模塊的配備。若為固定式的交換機(jī)，則需利用升級(jí)固件firmware的方法進(jìn)行新安全功能的植入。

4 安全交換機(jī)的發(fā)展前景

隨著科學(xué)技術(shù)的不斷發(fā)展與更新，用戶(hù)安全意識(shí)的逐步提高，對(duì)網(wǎng)絡(luò)環(huán)境的要求也愈來(lái)愈高，各類(lèi)網(wǎng)絡(luò)安全設(shè)施的需求也逐步上升，尤其是極具安全功能的交換機(jī)。實(shí)際上，在交換機(jī)的安全方面進(jìn)行一定的投資，可以提高整個(gè)網(wǎng)絡(luò)的健壯性與安全性，這也是物有所值的。尤其是不少行業(yè)用戶(hù)，他們?cè)诰W(wǎng)絡(luò)需求方面不僅僅是簡(jiǎn)單的連通。比如證券、金融及大型企業(yè)，一旦遭遇大規(guī)模網(wǎng)絡(luò)病毒的入侵，其導(dǎo)致的經(jīng)濟(jì)損失遠(yuǎn)遠(yuǎn)大于額外投資于安全交換機(jī)的花費(fèi)。因而，安全交換機(jī)在不少企業(yè)中得到應(yīng)用，其發(fā)展前景是廣闊的。

5 結(jié)語(yǔ)

總之，在病毒，黑客不斷入侵的網(wǎng)絡(luò)環(huán)境中，我們需要更具有安全功能的交換機(jī)來(lái)保證網(wǎng)絡(luò)的健康性，使得安全交換機(jī)應(yīng)運(yùn)而生。企業(yè)經(jīng)營(yíng)者應(yīng)對(duì)其功能與發(fā)展前景進(jìn)行全面分析與了解，結(jié)合企業(yè)實(shí)際，討論其在企業(yè)應(yīng)用情況，保證企業(yè)網(wǎng)絡(luò)的順暢與穩(wěn)定。

參考文獻(xiàn)

[1]柳文波.路由器和交換機(jī)的安全策略[J].電腦開(kāi)發(fā)與應(yīng)用，2009(6):20.

[2]周婕.交換機(jī)安全策略解析及安全交換機(jī)的導(dǎo)購(gòu)[J].海軍航空工程學(xué)院學(xué)報(bào)，2008(3):88.

[3]胡宇翔，蘭巨龍，程?hào)|年.核心路由器中安全機(jī)制的分布式設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2008(7):35.

[4]朱培棟，盧澤新，盧錫城.網(wǎng)絡(luò)路由器核心安全技術(shù)[J].國(guó)防科技參考，2000(1):56.