應用視點:安全交換機的三層含義及新增功能
安全交換機有很多值得學習的地方,這里我們主要介紹安全交換機的三層含義及新增功能。網絡時代的到來使得安全問題成為一個迫切需要解決的問題;病毒、黑客以及各種各樣漏洞的存在,使得安全任務在網絡時代變得無比艱巨。
交換機在企業(yè)網中占有重要的地位,通常是整個網絡的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網絡時代,作為核心的交換機也理所當然要承擔起網絡安全的一部分責任。因此,交換機要有專業(yè)安全產品的性能,安全已經成為網絡建設必須考慮的重中之中。安全交換機由此應運而生,在安全交換機中集成安全認證、ACL(Access Control List,訪問控制列表)、防火墻、入侵檢測甚至防毒的功能,網絡的安全真的需要“武裝到牙齒”
安全交換機三層含義
安全交換機最重要的作用就是轉發(fā)數(shù)據(jù),在黑客攻擊和病毒侵擾下,交換機要能夠繼續(xù)保持其高效的數(shù)據(jù)轉發(fā)速率,不受到攻擊的干擾,這就是交換機所需要的最基本的安全功能。同時,安全交換機作為整個網絡的核心,應該能對訪問和存取網絡信息的用戶進行區(qū)分和權限控制。更重要的是,安全交換機還應該配合其他網絡安全設備,對非授權訪問和網絡攻擊進行監(jiān)控和阻止。
安全交換機的新功能
在傳統(tǒng)的局域網環(huán)境中,只要有物理的連接端口,未經授權的網絡設備就可以接入局域網,或者是未經授權的用戶可以通過連接到局域網的設備進入網絡。這樣給一些企業(yè)造成了潛在的安全威脅。另外,在學校以及智能小區(qū)的網絡中,由于涉及到網絡的計費,所以驗證用戶接入的合法性也顯得非常重要。IEEE 802.1x 正是解決這個問題的良藥,目前已經被集成到二層智能交換機中,完成對用戶的接入安全審核。
802.1x協(xié)議是剛剛完成標準化的一個符合IEEE 802協(xié)議集的局域網接入控制協(xié)議,其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網優(yōu)勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段,達到了接受合法用戶接入,保護網絡安全的目的。
802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構的物理特性,實現(xiàn)了LAN端口上的設備認證。在認證過程中,LAN端口要么充當認證者,要么扮演請求者。在作為認證者時,LAN端口在需要用戶通過該端口接入相應的服務之前,首先進行認證,如若認證失敗則不允許接入;在作為請求者時,LAN端口則負責向認證服務器提交接入服務申請。基于端口的MAC鎖定只允許信任的MAC地址向網絡中發(fā)送數(shù)據(jù)。來自任何“不信任”的設備的數(shù)據(jù)流會被自動丟棄,從而確保最大限度的安全性。在802.1x協(xié)議中,只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權。
1. 客戶端。一般安裝在用戶的工作站上,當用戶有上網需求時,激活客戶端程序,輸入必要的用戶名和口令,客戶端程序將會送出連接請求。
2. 認證系統(tǒng)。在以太網系統(tǒng)中指認證交換機,其主要作用是完成用戶認證信息的上傳、下達工作,并根據(jù)認證的結果打開或關閉端口。
3. 認證服務器。通過檢驗客戶端發(fā)送來的身份標識(用戶名和口令)來判別用戶是否有權使用網絡系統(tǒng)提供的網絡服務,并根據(jù)認證結果向交換機發(fā)出打開或保持端口關閉的狀態(tài)。
流量控制
安全交換機的流量控制技術把流經端口的異常流量限制在一定的范圍內,避免交換機的帶寬被無限制濫用。安全交換機的流量控制功能能夠實現(xiàn)對異常流量的控制,避免網絡堵塞。
防DDoS
企業(yè)網一旦遭到大規(guī)模分布式拒絕服務攻擊,會影響大量用戶的正常網絡使用,嚴重的甚至造成網絡癱瘓,成為服務提供商最為頭疼的攻擊。安全交換機采用專門的技術來防范DDoS攻擊,它可以在不影響正常業(yè)務的情況下,智能地檢測和阻止惡意流量,從而防止網絡受到DDoS攻擊的威脅。
虛擬局域網VLAN
虛擬局域網是安全交換機必不可少的功能。VLAN可以在二層或者三層交換機上實現(xiàn)有限的廣播域,它可以把網絡分成一個一個獨立的區(qū)域,可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個或多個交換機,與它們的物理位置無關,設備之間好像在同一個網絡間通信一樣。VLAN可在各種形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各個不同VLAN之間的非授權訪問,而且可以設置IP/MAC地址綁定功能限制用戶的非授權網絡訪問。
基于訪問控制列表的防火墻功能
安全交換機采用了訪問控制列表ACL來實現(xiàn)包過濾防火墻的安全功能,增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中,訪問控制過濾措施可以基于源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或MAC地址來實現(xiàn)。ACL不但可以讓網絡管理者用來制定網絡策略,針對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制,也可以用來加強網絡的安全屏蔽,讓黑客找不到網絡中的特定主機進行探測,從而無法發(fā)動攻擊。
入侵檢測IDS
安全交換機的IDS功能可以根據(jù)上報信息和數(shù)據(jù)流內容進行檢測,在發(fā)現(xiàn)網絡安全事件的時候,進行有針對性的操作,并將這些對安全事件反應的動作發(fā)送到交換機上,由交換機來實現(xiàn)精確的端口斷開操作。實現(xiàn)這種聯(lián)動,需要安全交換機能夠支持認證、端口鏡像、強制流分類、進程數(shù)控制、端口反查等功能
設備冗余也重要
物理上的安全也就是冗余能力是網絡安全運行的保證。任何廠商都不能保證其產品不發(fā)生故障,而發(fā)生故障時能否迅速切換到一個好設備上,是令人關心的問題。后備電源、后備管理模塊、冗余端口等冗余設備就能保證即使在設備出現(xiàn)故障的情況下,立刻賦予后備的模塊、安全保障網絡的運行。
