淺談交換機安全性的“潛規則”
在購買交換機時,商家首先要介紹的就是交換機安全性的指標問題,換機“安全”背后的潛臺詞是什么?它的安全功能可以取代安全產品嗎?安全交換機的未來走向怎樣?
當中關村里經銷商在推銷交換機時,不約而同地加上“安全”一詞做修飾語時,卻鮮有人能回答幾個基本問題:什么樣的交換機是安全交換機?交 看來,一些交換機廠商們集體上演了兩三年的產品“安全”秀,有些粗糙與匆忙......
做網絡集成的陳先生在2005年的一次招標中碰到一件鬧心事,在一個中型網絡構建的項目就要簽署的時候,被該用戶的一位領導喊暫緩。原因據說是,與之競爭的另一家集成商的銷售找到用戶的這位領導,許諾在同樣的價格下,將提供安全交換機。
陳先生找過去一看,嚇一跳。所謂的“安全交換機”和自己所提供的交換機在性能、功能上是一摸一樣,只是將802.1x認證和虛擬局域網VLAN這兩功能單獨提煉出來,強調是“安全交換機”。
“交換機安全在幾年前就有認證和VLAN這些基本功能了,但人們并沒有把它拿出來說是安全。”陳先生說,“我以為用戶應該很明白,就沒有去強調,沒想到差點丟單。”在做了4、5年網絡集成的陳先生看來。
交換機安全至少應該是集成了重要安全產品特性(例如防火墻,VPN)才能算得上安全交換機。究竟什么樣的交換機可稱作安全交換機?其“安全”背后的潛臺詞是什么?它可以取代安全產品嗎?“安全交換機”的未來走向怎樣?
概念模糊不清記者在采訪中發現,主流廠商的技術人員對安全交換機被一些廠商和媒體追捧為網絡熱點產品持保留態度。“安全交換機是一個不準確的概念。” 一位思科工程師說,對于用戶來講,需要的是一個安全的可靠網絡,這個網絡能夠提供高質量的支持數據、語音和視頻服務。
在他看來,具備安全功能的交換機只是整合的網絡安全方案中的一個設備而已,不同廠商的不同類型的交換機中集成的安全功能各有不同,而思科也從未明確定義過何為安全交換機。
負責思科系統公司數據中心、交換和安全技術業務的高級副總裁Jayshree Ullal女士認為,“孤立”的安全服務不存在,安全正在發展成為為一種嵌入式的網絡服務,而思科正在將數據安全以服務器為中心的模式擴展為以網絡為中心的保護模式,提出了“數據中心網絡化應用”(Datacenter Networked Applications, DNA)。
因此,保障安全永續的業務運行,所需要的是整合的網絡安全解決方案,通過豐富的安全產品線和眾多融合了安全功能的網絡設備,進行關聯與防御控制,來提高威脅防御的智能水平,以確保應用安全和數據安全,也就是“自防御網絡”。
華為3Com高級產品經理趙曉軒認為,安全是一個非常復雜的概念,狹義的安全包括VPN,防火墻,IDS;而廣義的安全則比較泛,如果大家都往這上面套的話,安全交換機就是一個很虛的沒有實際意義的概念。
首先,在交換機這個層面上來看,低端產品根本做不到融合防火墻和VPN的等安全功能,高端交換機雖然依靠其自身體系結構的優勢,可以通過模塊,來疊加安全功能,但國內能夠提供高端交換機的廠商本來就寥寥無幾。從這個意義上講,國內一些廠商所叫嚷的安全交換機,大部分來得比較牽強。
其次,安全交換機單獨作為一個產品概念來營銷,未必真的有效。成熟的高端用戶往往很清楚,網絡安全是一個整體安全的概念,而不可能僅僅依靠設備安全來保證安全,他們需要的是一個端對端的安全解決方案,這個方案包括了VPN,防火墻,甚至殺毒軟件,而包括交換機在內的網絡設備和這些軟件之間要能做到安全聯動。
向中小企業用戶來推廣使用增加了真正安全功能的高端交換機,難度更大。一方面,這些用戶本身對于高端交換機需求量不大,性價比是其購買設備的重要驅動力,更何況增加了安全功能的交換機。
價格肯定要上去;另一方面,網絡設備在低端市場上是一個各司其職的概念,如果要融入安全基因,就會盡量以一種低成本的方式融入。“交換機和一些低端的網絡安全設備已經便宜。” 趙曉軒說,“用戶不可能為了一個看上去時髦和先進的模糊概念,放棄具有明顯的性價比優勢的網絡安全解決方案。”
“安全”潛臺詞“交換機需要具有安全性。”銳捷網絡高級產品經理羅自靈的看法得到了思科、華為3Com、神碼網絡等主流廠商的技術同仁們的認同。普遍的看法認為,交換機安全性可以分為三個層次:
其一,是交換機自身的安全。交換機實際是一個為轉發數據包優化的計算機,而是計算機就有被攻擊的可能。而交換機最基本的安全功能就是,在黑客攻擊和病毒侵擾下,能夠繼續保持其高效的數據轉發速率,不受到攻擊的干擾。
【編輯推薦】
