【交换机进入安全时代】 国威时代交换机

　　编者按 　　不知道从什么时候开始，交换机作为网络中的主要连通单元，被赋予了保卫网络安全的新职责。因为，人们逐渐发现，交换机已经成为网络中的最薄弱环节，当病毒爆发时，它往往成为病毒传播的主要工具。于是，近年来，几乎所有的网络设备厂商都开始推出安全交换机的概念和产品。在抗击网络攻击的队伍中，又加入了一支新的生力军。
　　
　　交换机是一种技术、市场相对成熟稳定的产品，但是通过增加新的安全元素，又开始焕发出新的生命活力。
　　所谓安全交换机，就是当交换机作为网络结点加入到网络中时，网络的脆弱性不会增加。相比之下，传统的非安全交换机加入到网络中时，除了做数据转发外，往往还成为病毒等网络不安全因素的主要传播工具。在遭受攻击时，还会因为自身的脆弱而影响网络的正常运行。运营商在改造和规划网络时，CIO们希望加入的任何一个结点都是安全的，并要求在交换机等汇聚层设备上（当然最好在接入层设备上，越靠近用户越好）有一层安全屏障。而对于企业网，很多病毒和攻击都是从内部发起和传播的，这时候防火墙往往无能为力。这就需要企业内部网的交换机能够提供一定程度的安全防护功能。在这种需求驱动下，安全性成为新一代交换机的必备属性，具有这种属性的交换机通常被人们称做安全交换机。
　　安全交换机并不是一个虚幻的神话，也不是厂商玩弄的概念“噱头”，而是用户实实在在的需求，也是网络发展的必然结果。其安全特性最终将会在具体的网络应用环境中得到检验。
　　
　　交换机的新职责
　　
　　在传统的交换功能的基础上，安全交换机融入了以下关于网络安全的因素。
　　
　　1．病毒过滤
　　目前的互联网上充斥着各种各样的病毒，对网络设备和最终用户造成了很大的危害：它们造成了设备资源被病毒包大量消耗，设备不能正常收发协议包，导致网络业务的中断。在控制网络病毒的传播以保护网络安全上，启用2～7层灵活多样的ACL功能是比较有效的。ACL条目多达1000条，可以根据病毒特征灵活地进行控制以过滤病毒，达到有效地控制网络的访问、控制网络流量、优化网络配置、提供安全接入控制的目标。
　　对于交换机的ACL功能，首先要看是在三层交换机还是二层交换机上实现。三层交换机上实现比较容易，而支持ACL的二层交换机则不多。另外，ACL的实现还要看是基于硬件还是基于CPU实现，前者效率高，对交换机的交换转发性能影响小;后者则对交换机的性能造成重大影响，特别是在配置ACL条目较多的情况下。在安全交换机中，基于硬件的内置的ACL已经成为一个重要的组成部分。
　　
　　2． 基于ACL的报文过滤
　　ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用做攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许，要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
　　ACL的一个用途是可用于防DoS攻击，采用预分类方法通过分析网络流量、自动过滤非法数据，免除对控制平面造成的非法攻击，从硬件和软件等多方面有效防范和解决该类问题，使得设备对大量扫描予以防护和拒绝。
　　
　　3．CPU过载保护
　　如果交换机的CPU被恶意攻击或者因病毒发作而瘫痪，那么就可能导致网络数据转发的中断，造成整个网络的瘫痪;同时网络管理员也要能够通过telnet、集群网管、web网管等手段管理网络中的交换机。而交换机与网络管理员的数据交互需要交换机上CPU进行应答，如果交换机的CPU被恶意攻击、病毒攻击而瘫痪，那么该交换机对管理员而言，就处于不可管状态。基于上面的这些原因，需要对CPU进行攻击防护。在网络出现严重问题或病毒大规模爆发的恶劣情况下，安全交换机必须采用CPU保护技术，使交换机设备本身更聪明，能够学习识别恶意数据和正常数据，并保证设备的核心――CPU的正常工作，保护设备心脏只接受和执行有效命令，交换机也就能不间断地转发和处理正常流量和协议，有效规避CPU负担过重导致的停机或死机。
　　
　　4． 广播风暴控制
　　以太网交换机进行数据转发的一个特点就是广播包会在VLAN内除了包的入端口之外的所有端口进行转发，广播包在网络中大量传递，就会在网络中形成广播风暴，占用大量带宽，影响正常数据的转发，在组环网的时候这种情况尤其严重。广播包太多也会对交换机的CPU造成负荷过重，如果对广播风暴不加以控制会给网络的稳定和安全带来很大的危害。
　　另外，查找不到目的MAC地址的单播数据(DLF)在网络中也是以广播方式传输的，这样的数据也一样可以导致广播风暴。
　　
　　安全交换机则提供了多种解决广播风暴的方法：
　　（1）提供硬件级的广播包、DLF数据限速功能，例如可以限制交换机每秒钟只转发100个广播包。
　　（2）通过虚拟局域网（VLAN）的划分来限制广播包的传递范围，缩小广播域。例如可以把交换机的每个端口分别配置在不同的VLAN内。
　　（3）对于组二层环网的情况，可以用以太网环或生成树（STP）技术来组网，通过阻塞环上的某一端口在逻辑上把环给断开，在被阻塞的端口上是不收发数据包的。
　　（4）对于广播包送CPU的情况，只把协议包和应该处理的广播包送CPU，并且通过预判断机制来过滤恶意攻击包。
　　
　　表 各种安全交换机功能对比
　　
　　5．虚拟局域网（VLAN）
　　虚拟局域网络是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以覆盖多个网络设备，与它们的物理位置无关，设备之间好像在同一个网络间通信一样，这样使得企业的网络管理变得简单、直观。
　　虚拟局域网可以用来把用户划分成若干小组，仅仅允许用户使用他们划分的网络资源。VLAN基于端口的VLAN、MAC地址及路由访问列表等原则划分，限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问，从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建，隔离了广播风暴，缩小了广播范围，可以控制广播风暴的产生。对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用等将不同地理位置的网络用户划分为一个逻辑网段。
　　
　　6．基于802.1x的接入控制
　　802.1x协议是一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。
　　
　　7．交换机与IDS的联动
　　企业交换机与入侵检测系统（IDS）的联动是一个非常实际而又不会增加投资费用的理想方案。由于黑客和病毒都是依赖网络平台进行攻击，将IDS作为监控系统，与交换机进行联动，就能在网络平台上切断黑客和病毒的传播途径，实现意想不到的安全效果。具体来说，企业交换机与IDS系统的联动是指在运行的过程中，交换机将各种数据流的信息上报给安全设备，IDS可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。这项技术得到了绝大多数用户的认可，但在实践中还没有得到广泛的应用。
　　
　　只选适合的
　　
　　从理论上来说，任何一个使用传统交换机的网络结点均可以用安全交换机进行替换。并且，安全交换机具有传统交换机的所有功能，可以作为一个独立的网元存在于运营商网络和企业网中。加入安全交换机之后，可以有效地遏制非法流量在网络中的传播，既可以节省运营网络资源，又可以保证网络的畅通无阻。最重要的一点是，安全交换机自身拥有攻击免疫能力，在遭受攻击的时候，如DoS攻击，它通过驱动抗攻击模块，保障设备的正常运用。不会像传统的交换机那样由于自身的脆弱影响网络的健壮性。
　　目前市场上交换机的品种多样，安全交换机和传统交换机均混杂其中。这给人们的选购带来了一定的困难。但要进行区分还是有一定办法的。用户应该首先查看相关的手册，并通过超级终端等工具进行基本配置，看是否具有这些功能。当应用到具体的网络环境中时，可以通过查看相关的统计记录看这些条目是否发生作用。在有病毒的环境中，安全交换机的表现非常明显，它依然能够正常工作，不会出现死机或瘫痪。还可以通过端口的自环来检测抗广播风暴的能力，安全交换机抗广播风暴的能力很强，它可以通过广播速率限制抑制广播风暴，或可以通过环路检测直接解除环路。总之，在相同的环境中，安全交换机和传统交换机的表现差别是非常明显的。
　　安全交换机已经成为一些主流设备厂商开拓市场的杀手锏，但是由于各厂商对安全交换机的理解有不同，所推出的的安全交换机特色各有偏重。因此，在采购的过程中，应该根据自身的网络特征和需求来进行选择。如Cisco安全LAN交换体系强调VLAN技术的合理灵活运用、ACL技术对IP访问控制和协议的过滤、端口安全、802.1x认证等，另外Cisco还提出了NAC（Network Admission Control）技术。惠普网络在 “适应性边缘架构”技术策略中将安全作为适应性边缘架构的关键一环，它采用Virus Throttle技术，可以在流量进入LAN和通过网络交换机时侦测到“蠕虫”病毒的活动，及时“遏制”病毒传染。而华为3Com则在其三层交换机S3500系列上集中体现了其交换机的安全特性，为用户实现特定的安全策略、探测与防范非法攻击以及事后分析，提供了报文过滤、流量限速、端口隔离、地址绑定、广播风暴抑制、安全访问、日志等全方位的安全手段，另外华为3com交换机的安全功能还支持交换机和IDS设备的联动。烽火网络安全交换机的特色在于除其三层交换机具有安全功能外，针对靠近用户的二层交换机的安全需要更为迫切的情况，其S2000系列二层交换机的安全功能尤为突出。具有智能行为检测技术，保证系统攻击时，重要数据还可以被系统处理。
　　尽管融入了安全的因素，但是主流厂商并没有因为安全功能的提升而提高设备的价格，相反，经过几年的发展，安全交换机的价格正不断呈现下降的趋势。可以预见，那些不具备安全功能的传统交换机在较短的一段时间内将会退出市场。
　　
　　观点:安全交换机不能取代防火墙
　　
　　安全是一个非常复杂的概念，狭义的安全包括VPN、防火墙、IDS；而广义的安全则比较宽泛，表示这个网络中具备安全的基因（如认证授权、病毒抵御、设备自愈）。交换机的本质是交换而非安全，交换机的性能是高速交换，只有当交换机的性能已经达到用户认为比较满意的速度时，大家才会逐步把智能与安全的基因融合做上去。因此，安全交换机是一个动态的概念，没有定义的标准，而安全只是其追加功能。
　　就目前的安全交换机而言，在交换机这个层面上，低端产品根本做不到融合防火墙和VPN等安全功能，高端交换机虽然依靠其自身体系架构的优势，可以通过模块来叠加安全功能，但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲，厂商所讲的低端安全交换机，大部分比较牵强。
　　其次，成熟的用户往往很清楚，网络安全是一个整体安全的概念，而不可能仅仅依靠设备的安全来保证网络安全，他们需要的是一个端对端的安全解决方案，这个方案包括了VPN、防火墙、客户端，甚至杀毒软件，包括交换机在内的网络设备和软件之间要能做到安全联动。
　　交换机和一些低端的网络安全设备已经很便宜，用户不可能为了一个看上去时髦和先进的模糊概念，放弃具有明显的性价比优势的网络安全解决方案。
　　就目前来看，具有防火墙和VPN功能的安全交换机也不能取代防火墙。原因有两个方面：其一，所放的位置不同，所起的安全作用也不一样，防火墙主要是放在网络接入层出口，防止外来攻击,而带有防火墙功能的交换机则往往在网络的核心处，而不是在汇聚层和接入层，其目的是通过核心的智能来提高安全性。其二，在一个网络安全解决方案中，选择在交换机中插入安全模块，还是外置安全产品，取决于用户自身的应用需求。(赵晓轩)