近幾年，我國信息化建設得到了迅猛地發(fā)展，帶寬越來越寬，網(wǎng)絡速度翻了幾倍，E-Mail在網(wǎng)間的傳遞流量呈現(xiàn)指數(shù)增長，IP語音、視頻等技術極大地豐富了網(wǎng)絡應用。但是，互聯(lián)網(wǎng)在拉近人與人之間距離的同時，病毒、黑客也隨之不請自到。病毒的智能化，變種、繁殖的快速，黑客工具的“傻瓜”化加上洪水般的泛濫趨勢，使得企業(yè)的信息系統(tǒng)變得脆弱不堪，隨時面臨癱瘓甚至被永久損壞的危險。在此形勢下，企業(yè)不得不加強對自身信息系統(tǒng)的安全防護，期望得到 一個徹底的、一勞永逸的安全防護系統(tǒng)。但是，安全總是相對的，安全措施總是被動的，沒有一個企業(yè)的安全系統(tǒng)能夠得到真正100%的安全保證?！　?

　　病毒原理、入侵攻防技術發(fā)展的研究分析表明，單一的防病毒軟件往往使得網(wǎng)絡的安全防護并不完善，網(wǎng)絡安全不能再靠單一設備、單一技術來實現(xiàn)已成為業(yè)界共識。在“軟硬結(jié)合”、“內(nèi)外相應”等業(yè)界近來廣為推廣的安全策略下，交換機作為網(wǎng)絡骨干設備，自然也肩負著構(gòu)筑網(wǎng)絡安全防線的重任。

　　交換機自身更要安全　　

　　交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機，而是計算機就有被攻擊的可能，比如非法獲取交換機的控制權，導致網(wǎng)絡癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。此外，交換機可以作生成權維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICＭP報文進行處理，監(jiān)控交換機，這些都有可能成為黑客攻擊交換機的手段。　　

　　傳統(tǒng)交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互聯(lián)，加上TCP/IP協(xié)議本身的開放性，網(wǎng)絡安全成為一個突出問題，網(wǎng)絡中的敏感數(shù)據(jù)、機密信息被泄露，重要數(shù)據(jù)設備被攻擊，而交換機作為網(wǎng)絡環(huán)境中重要的轉(zhuǎn)發(fā)設備，其原來的安全特性已經(jīng)無法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的交換機需要增加安全性。

　　　　在網(wǎng)絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡安全和用戶業(yè)務應用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，限制非法訪問，進行事后分析，有效保障用戶網(wǎng)絡業(yè)務的正常開展。實現(xiàn)安全性的一種作法就是在現(xiàn)有交換機中嵌入各種安全模塊?，F(xiàn)在，越來越多的用戶都表示希望交換機中增加防火墻、VPN、數(shù)據(jù)加密、身份認證等功能?！　?

　　交換機輕松實現(xiàn)網(wǎng)絡安全控管　　

　　安全性加強的交換機本身具有抗攻擊性，比普通交換機具有更高的智能性和安全保護功能。在系統(tǒng)安全方面，交換機在網(wǎng)絡由核心到邊緣的整體架構(gòu)中實現(xiàn)了安全機制，即通過特定技術對網(wǎng)絡管理信息進行加密、控制；在接入安全性方面，采用安全接入機制，包括802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛網(wǎng)技術等。不僅如此，許多交換機還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機則更好地遏制了隨著WLAN應用而泛濫的內(nèi)網(wǎng)安全隱患。　　

　　目前交換機中常用的安全技術主要包括以下幾種?！　?

　　流量控制技術　　

　　把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。 不過，交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難?！　?

　　訪問控制列表（ACL）技術　　

　　ACL通過對網(wǎng)絡資源進行訪問輸入和輸出控制，確保網(wǎng)絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，交換機按照順序執(zhí)行這些規(guī)則，并且處理每一個進入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對位置對于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡至關重要?！　?

　　現(xiàn)在，業(yè)界普遍認為安全應該遍布于整個網(wǎng)絡之內(nèi)，內(nèi)網(wǎng)到外網(wǎng)的安全既需要通過防火墻之類的專業(yè)安全設備來解決，也需要交換機在保護用戶方面發(fā)揮作用。目前，絕大多數(shù)用戶對通過交換機解決安全問題抱積極態(tài)度，近75%的用戶打算今后在實踐中對交換機采取安全措施，希望通過加固遍布網(wǎng)絡的交換機來實現(xiàn)安全目標。　　

　　“安全”需要出色的體系結(jié)構(gòu)　　

　　完美的產(chǎn)品首要要有個出色的體系結(jié)構(gòu)設計?，F(xiàn)在，很多交換機產(chǎn)品采用全分布式體系結(jié)構(gòu)設計，通過功能強大的ASIC芯片進行高速路由查找，使用最長匹配、逐包轉(zhuǎn)發(fā)的方式進行數(shù)據(jù)轉(zhuǎn)發(fā)，從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力?！　?

　　DCRS-7600系列IPv6萬兆路由交換機除采用上述的全分布式體系結(jié)構(gòu)設計外，還具有非常出色的安全性功能設計，可有效地防止攻擊和病毒，更適合大規(guī)模、多業(yè)務、復雜流量訪問的網(wǎng)絡，更加適合以太網(wǎng)的城域化發(fā)展。它的S-ARP（安全ARP）功能可有效防止ARP-DOS攻擊；Anti-Sweep（防掃描）功能可自動監(jiān)測各種惡意掃描行為，實施報警或者采取其他安全措施，如禁止網(wǎng)絡訪問等，此特性可將很多未知的新型病毒扼制在大規(guī)模爆發(fā)之前；S-ICMP（安全ICMP）功能可有效防止PING-DOS攻擊，靈活防止黑客利用ICMP Unreachable攻擊第三方的行為；安全智能的S-Buffer功能和軟件IP流量抗沖擊功能可防止分布式DOS攻擊（DDOS攻擊）通過智能監(jiān)控并調(diào)整報文數(shù)據(jù)Buffer和沖向CPU的IP報文隊列流量，使得核心交換機在DDOS攻擊下，安然無恙?！　?

　　交換引擎CPU核心保護，可有效防止各類非法協(xié)議攻擊導致核心設備交換引擎癱瘓；關鍵協(xié)議綠色通道功能可保障正常、合法、速度合理的關鍵控制報文（STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務下不被淹沒，快速處理不中斷；先進的LPM技術可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等；端口信任模式則可檢測非法DHCP Server、非法Radius Server等，只在信任端口才能接入這些設備，從而保障網(wǎng)絡的安全?！　?

　　DCRS-7600系列可基于時間段設置安全策略，安全設置隨時間而動，在不同的時間段自動切換為不同的策略；智能化流量控制，可基于ACL進行流量分類，比起傳統(tǒng)的基于交換機端口、ToS、DCSP、CoS、802.1P的分類方式，ACL-X更加精細和貼近業(yè)務分類；而安全策略分發(fā)更加靈活，可配置到任意端口、VLAN、VLAN接口，極為靈活?！　?

　　基于應用的業(yè)務安全管理SecAPP，使得具有線速業(yè)務感知的功能，可即時感知各種高層應用業(yè)務的發(fā)生，而這個過程絲毫不影響交換機的轉(zhuǎn)發(fā)性能，所以說是線速的；智能業(yè)務策略功能可根據(jù)事先設定的策略，對各種高層應用業(yè)務進行分類，區(qū)分合法業(yè)務、非法業(yè)務、受限業(yè)務；深度業(yè)務控制（基于ACL-X）功能可將分類后的業(yè)務執(zhí)行不同的安全控制措施，這里要借助強大的ACL-X和QoS，實現(xiàn)靈活的接入準入控制或者流量限制。BT是讓人即愛又恨的應用，在告訴下載文件的同時，用戶的帶寬則被過度地占用，嚴重影響其它網(wǎng)絡應用的進程，SecAPP對于限制BT有著最為直接的作用，SecAPP可在不影響交換機轉(zhuǎn)發(fā)性能的前提下，實現(xiàn)對BT、電驢等P2P應用業(yè)務的準入控制和流量管理，可有管理性地控制用戶帶寬?！　?

　　IPv6讓交換機更安全　　

　　近幾年來，IT技術得到了迅猛的發(fā)展，用戶日益豐富的應用需求以及越來越多終端設備對網(wǎng)絡的需求促使了現(xiàn)有的IPv4類型IP地址已現(xiàn)枯竭之勢。相關調(diào)查機構(gòu)的數(shù)據(jù)顯示，全球可提供的IPv4地址大約有40多億個，估計在未來5年間將被分配完畢；而我國的情況更嚴峻，去年我國網(wǎng)民已突破8000萬。而截止到去年年底，我國總共申請到的IPv4的地址僅僅6000萬左右。一些業(yè)內(nèi)專家明確指出，若不解決IP地址問題，將會成為我國乃至世界IT業(yè)界以及其它相關行業(yè)發(fā)展的瓶頸。于是乎，IPv6成了解決IPv4地址匱乏的靈丹妙藥。　　

　　現(xiàn)有互聯(lián)網(wǎng)采用的IPv4協(xié)議最初設計是用于教育科研網(wǎng)和企業(yè)網(wǎng)，因此在協(xié)議的設計中很少關注網(wǎng)絡的安全性，導致目前的互聯(lián)網(wǎng)絡自身的安全保護能力有限，許多應用系統(tǒng)處于不設防或很少設防的狀態(tài)，存在著太多的安全隱患，并且情況日趨嚴重和復雜。目前的病毒早已不再是傳統(tǒng)的病毒，而是混合了黑客攻擊和病毒特征于一體的網(wǎng)絡攻擊行為。2003年，系統(tǒng)漏洞問題首次大規(guī)模成為人們關注的焦點，目前，除微軟的系統(tǒng)漏洞外，像某型路由器、數(shù)據(jù)庫、Linux操作系統(tǒng)、移動通信系統(tǒng)以及很多特定的應用系統(tǒng)中，均存在大量的漏洞，尤其是在關鍵應用系統(tǒng)中，如金融、電信、民航、電力等系統(tǒng)，漏洞一旦被黑客利用，造成的后果將不堪設想?！　?

　　隨著用戶需求和業(yè)務的不斷發(fā)展，互聯(lián)網(wǎng)安全成為實現(xiàn)創(chuàng)新業(yè)務和贏利商業(yè)模式的前提。由于IPv4地址的短缺，無法實現(xiàn)端到端的安全性，解決的辦法是采用網(wǎng)絡地址轉(zhuǎn)換（NAT）技術，或利用端口復用技術，或使用私有IP地址，以擴大公有IP地址的使用率。NAT方式在原來的客戶/服務器模式的應用上可以很好地使用，但新型應用越來越多地依賴于對等方式通信。此外，對于大量增長的終端等在線設備來說，無疑端到端的尋址變得非常重要。由于NAT方式無法保證端到端通信，這就限制了很多新業(yè)務的開展，嚴重阻礙了互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。因此，端到端的安全性是未來業(yè)務的基本特性，只有借助IPv6豐富的地址空間實現(xiàn)了真正的端到端才能保證下一代互聯(lián)網(wǎng)多種新業(yè)務的開展和成熟商業(yè)模式的形成?！　?

　　IPv6從地址管理及分配方式和技術本身兩個層面提供了充分的安全保障。　　

　　地址管理及分配方式　　

　　IPv6本身充分的地址空間可以為每一個用戶及每一臺設備與終端提供唯一對應的IP地址，而IPv4時代互聯(lián)網(wǎng)地址分配的教訓使我們意識到即使有128位的地址空間，一個良好的地址管理與分配方案仍然非常關鍵。　　

　　技術　　

　　IETF在設計下一代互聯(lián)網(wǎng)協(xié)議（IPv6）時，增加了對網(wǎng)絡層安全性的強制要求，特別設計了IPSec協(xié)議，并規(guī)定所有的IPv6實現(xiàn)必須支持IPSec。IPSec協(xié)議也可工作于IPv4中，但在IPv4的實現(xiàn)中是可選的。　　

　　IPv6不但解決了當今IP地址匱乏的問題，并且由于它引入了認證和加密機制，實現(xiàn)了基于網(wǎng)絡層的身份認證，確保了數(shù)據(jù)包的完整性和保密性，因此可以說IPv6實現(xiàn)了網(wǎng)絡層安全。

文章錄入：csh    責任編輯：csh 

最新評論