路由交換機還是比較常用的，于是我研究了一下路由交換機已經成為網絡安全的重點，在這里拿出來和大家分享一下，希望對大家有用。網絡安全不再單純依賴單一設備和單一技術來實現已成為業界共識。路由交換機作為網絡骨干設備，自然也肩負著構筑網絡安全防線的重任。

圍繞路由交換機的安全問題進行了用戶調查，在收到的大量讀者反饋中，我們進行了統計和分析：70%的用戶曾經遭受過Slammer、“沖擊波”等蠕蟲病毒的襲擊，這些蠕蟲病毒攻擊的直接目標通常是PC機和服務器，但是攻擊是通過網絡進行的，因此當這些蠕蟲病毒大規模爆發時，交換機、路由器會首先受到牽連。抽樣分析表明：近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了路由交換機，36%的用戶的路由器受到沖擊。用戶只有通過重啟交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網絡設備造成的影響。

蠕蟲病毒攻擊網絡設備

蠕蟲病毒發作導致網絡吞吐效率下降、變慢。如果網絡中存在瓶頸，就會導致網絡停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機的處理能力或者內存資源。需要指出的是，網絡中的路由器、交換機已經達到或接近線速，內網帶寬往往不收斂，在這種情況下，病毒攻擊產生的流量對局域網內部帶寬不會造成致命堵塞，但位于網絡出口位置的路由器和位于網絡核心位置的三層交換機卻要吞吐絕大多數的流量，因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發作就會嚴重消耗帶寬和交換機資源，造成網絡癱瘓，這一現象早已屢見不鮮。

蠕蟲病毒對網絡設備的沖擊形式主要有兩種：一是堵塞帶寬，導致服務不可用;二是占用CPU資源，導致宕機，紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時間內就占用大量的帶寬資源，造成網絡出口堵塞。

宕機共分幾種情況:一是普通三層交換機都采用流轉發模式，也就是將第一個數據包發送到CPU處理，根據其目的地址建流，頻繁建流會急劇消耗CPU資源，蠕蟲病毒最重要的攻擊手段就是不停地發送數據流，這對于采用流轉發模式的網絡設備是致命的;二是如果網絡規劃有問題，在Slammer作用下導致大量ARP請求發生，也會耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機之間鏈路帶寬，導致路由協議的數據包(如Hello包)丟失，導致整個網絡的路由震蕩。類似的情形還有利用路由交換機安全漏洞對交換機CPU等資源發起的DoS攻擊。在2003年第5期報紙上，我們曾集中介紹了路由器的安全問題，在這期報紙上我們將集中介紹交換機的安全問題。

交換機需要加強安全性

以太網路由交換機實際是一個為轉發數據包優化的計算機。而是計算機就有被攻擊的可能，比如非法獲取路由交換機的控制權，導致網絡癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。它們都利用了路由交換機的一些漏洞。一般交換機可以作生成權維護、路由協議維護、ARP、建路由表，維護路由協議，對ICMP報文進行處理，監控交換機，這些都有可能成為黑客攻擊交換機的手段。

蠕蟲病毒的攻擊，使網絡設備廠商和用戶都開始注重路由交換機的安全性。對于交換機安全性的理解，近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性，31%的用戶認為是指路由交換機攜帶了安全模塊，21%的用戶認為兩者兼備。絕大數網絡設備廠商認為路由交換機的安全性需經過特殊設計、提高了抗攻擊能力，同時具有一定的安全功能。

傳統路由交換機主要用于數據包的快速轉發，強調轉發性能。隨著局域網的廣泛互連，加上TCP/IP協議本身的開放性，網絡安全成為一個突出問題，網絡中的敏感數據、機密信息被泄露，重要數據設備被攻擊，而路由交換機作為網絡環境中重要的轉發設備，其原來的安全特性已經無法滿足現在的安全需求，因此傳統的路由交換機需要增加安全性。

在網絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網絡安全和用戶業務應用出發，能夠實現特定的安全策略，預防病毒和網絡攻擊，限制非法訪問，進行事后分析，有效保障用戶網絡業務的正常開展。實現安全性的一種作法就是在現有交換機中嵌入各種安全模塊。不同用戶有不同的需求，25%的用戶希望交換機中增加防火墻、VPN、數據加密、身份認證等功能，37%的用戶表示需要直接使用安全設備，48%的用戶表示兩種方式都需要。