近幾年,我國信息化建設得到了迅猛地發展�����,帶寬越來越寬��,網絡速度翻了幾倍�����,E-Mail在網間的傳遞流量呈現指數增長��,ip語音����、視頻等技術極大地豐富了網絡應用。但是��,互聯網在拉近人與人之間距離的同時�����,病毒����、黑客也隨之不請自到。病毒的智能化����,變種、繁殖的快速����,黑客工具的“傻瓜”化加上洪水般的泛濫趨勢,使得企業的信息系統變得脆弱不堪�����,隨時面臨癱瘓甚至被永久損壞的危險��。在此形勢下����,企業不得不加強對自身信息系統的安全防護��,期望得到一個徹底的����、一勞永逸的安全防護系統。但是����,安全總是相對的�����,安全措施總是被動的,沒有一個企業的安全系統能夠得到真正100%的安全保證����。
病毒原理��、入侵攻防技術發展的研究分析表明����,單一的防病毒軟件往往使得網絡的安全防護并不完善,網絡安全不能再靠單一設備�����、單一技術來實現已成為業界共識����。在“軟硬結合”、“內外相應”等業界近來廣為推廣的安全策略下�����,交換機作為網絡骨干設備��,自然也肩負著構筑網絡安全防線的重任。
交換機自身更要安全
交換機實際是一個為轉發數據包優化的計算機�����,而是計算機就有被攻擊的可能�����,比如非法獲取交換機的控制權��,導致網絡癱瘓�����,另一方面也會受到DoS攻擊��,比如前面提到的幾種蠕蟲病毒��。此外����,交換機可以作生成權維護����、路由協議維護、ARP、建路由表��,維護路由協議��,對ICMP報文進行處理��,監控交換機����,這些都有可能成為黑客攻擊交換機的手段��。
傳統交換機主要用于數據包的快速轉發��,強調轉發性能����。隨著局域網的廣泛互聯,加上TCP/IP協議本身的開放性��,網絡安全成為一個突出問題�����,網絡中的敏感數據��、機密信息被泄露,重要數據設備被攻擊����,而交換機作為網絡環境中重要的轉發設備,其原來的安全特性已經無法滿足現在的安全需求��,因此傳統的交換機需要增加安全性�����。
在網絡設備廠商看來�����,加強安全性的交換機是對普通交換機的升級和完善,除了具備一般的功能外��,這種交換機還具備普通交換機所不具有的安全策略功能��。這種交換機從網絡安全和用戶業務應用出發�����,能夠實現特定的安全策略����,限制非法訪問����,進行事后分析��,有效保障用戶網絡業務的正常開展��。實現安全性的一種作法就是在現有交換機中嵌入各種安全模塊?���,F在����,越來越多的用戶都表示希望交換機中增加防火墻、VPN�����、數據加密����、身份認證等功能��。
交換機輕松實現網絡安全控管
安全性加強的交換機本身具有抗攻擊性,比普通交換機具有更高的智能性和安全保護功能����。在系統安全方面,交換機在網絡由核心到邊緣的整體架構中實現了安全機制�����,即通過特定技術對網絡治理信息進行加密����、控制;在接入安全性方面����,采用安全接入機制����,包括802.1x接入驗證、RADIUS/TACACST��、MAC地址檢驗以及各種類型虛網技術等�����。不僅如此��,許多交換機還增加了硬件形式的安全模塊��,一些具有內網安全功能的交換機則更好地遏制了隨著WLAN應用而泛濫的內網安全隱患�����。
目前交換機中常用的安全技術主要包括以下幾種��。
流量控制技術
把流經端口的異常流量限制在一定的范圍內�����。許多交換機具有基于端口的流量控制功能��,能夠實現風暴控制�����、端口保護和端口安全�����。流量控制功能用于交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包��,以避免報文丟失��。廣播風暴抑制可以限制廣播流量的大小��,對超過設定值的廣播流量進行丟棄處理�����。不過����,交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制,將廣播����、組播的異常流量限制在一定的范圍內����,而無法區分哪些是正常流量����,哪些是異常流量。同時��,如何設定一個合適的閾值也比較困難。
訪問控制列表(ACL)技術
ACL通過對網絡資源進行訪問輸入和輸出控制�����,確保網絡設備不被非法訪問或被用作攻擊跳板�����。ACL是一張規則表����,交換機按照順序執行這些規則����,并且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址����、目的地址和協議)要么答應、要么拒絕數據包通過�����。由于規則是按照一定順序處理的����,因此每條規則的相對位置對于確定答應和不答應什么樣的數據包通過網絡至關重要�����。
現在�����,業界普遍認為安全應該遍布于整個網絡之內�����,內網到外網的安全既需要通過防火墻之類的專業安全設備來解決�����,也需要交換機在保護用戶方面發揮作用�����。目前����,絕大多數用戶對通過交換機解決安全問題抱積極態度��,近75%的用戶打算今后在實踐中對交換機采取安全措施��,希望通過加固遍布網絡的交換機來實現安全目標�����。
“安全”需要出色的體系結構
完美的產品首要要有個出色的體系結構設計?�,F在����,很多交換機產品采用全分布式體系結構設計�����,通過功能強大的ASIC芯片進行高速路由查找����,使用最長匹配�����、逐包轉發的方式進行數據轉發,從而大大提升了路由交換機的轉發性能和擴充能力��。
DCRS-7600系列IPv6萬兆路由交換機除采用上述的全分布式體系結構設計外�����,還具有非常出色的安全性功能設計��,可有效地防止攻擊和病毒����,更適合大規模�����、多業務��、復雜流量訪問的網絡��,更加適合以太網的城域化發展�����。它的S-ARP(安全ARP)功能可有效防止ARP-DOS攻擊��;Anti-Sweep(防掃描)功能可自動監測各種惡意掃描行為����,實施報警或者采取其他安全措施��,如禁止網絡訪問等��,此特性可將很多未知的新型病毒扼制在大規模爆發之前�����;S-ICMP(安全ICMP)功能可有效防止PING-DOS攻擊��,靈活防止黑客利用ICMPUnreachable攻擊第三方的行為��;安全智能的S-Buffer功能和軟件IP流量抗沖擊功能可防止分布式DOS攻擊(DDOS攻擊)通過智能監控并調整報文數據Buffer和沖向CPU的IP報文隊列流量����,使得核心交換機在DDOS攻擊下,安然無恙��。
交換引擎CPU核心保護�����,可有效防止各類非法協議攻擊導致核心設備交換引擎癱瘓�����;要害協議綠色通道功能可保障正常��、合法����、速度合理的要害控制報文(STP、MSTP��、RIP����、OSFP、BGP����、組播協議、雙引擎板間心跳等)在大流量業務下不被沉沒�����,快速處理不中斷����;先進的LPM技術可反抗“沖擊波”病毒、“zeroday”病毒����、“SQLslammerwarm”病毒等;端口信任模式則可檢測非法DHCP Server��、非法Radius Server等����,只在信任端口才能接入這些設備�����,從而保障網絡的安全�����。
DCRS-7600系列可基于時間段設置安全策略�����,安全設置隨時間而動�����,在不同的時間段自動切換為不同的策略;智能化流量控制�����,可基于ACL進行流量分類����,比起傳統的基于交換機端口、ToS�����、DCSP�����、CoS����、802.1P的分類方式,ACL-X更加精細和貼近業務分類�����;而安全策略分發更加靈活����,可配置到任意端口、VLAN����、VLAN接口,極為靈活����。
基于應用的業務安全治理SecAPP�����,使得具有線速業務感知的功能�����,可即時感知各種高層應用業務的發生��,而這個過程絲毫不影響交換機的轉發性能��,所以說是線速的�����;智能業務策略功能可根據事先設定的策略��,對各種高層應用業務進行分類�����,區分合法業務��、非法業務����、受限業務;深度業務控制(基于ACL-X)功能可將分類后的業務執行不同的安全控制措施�����,這里要借助強大的ACL-X和QoS����,實現靈活的接入準入控制或者流量限制����。BT是讓人即愛又恨的應用�����,在告訴下載文件的同時,用戶的帶寬則被過度地占用��,嚴重影響其它網絡應用的進程��,SecAPP對于限制BT有著最為直接的作用����,SecAPP可在不影響交換機轉發性能的前提下,實現對BT����、電驢等P2P應用業務的準入控制和流量治理����,可有治理性地控制用戶帶寬。
IPv6讓交換機更安全
近幾年來�����,IT技術得到了迅猛的發展��,用戶日益豐富的應用需求以及越來越多終端設備對網絡的需求促使了現有的IPv4類型IP地址已現枯竭之勢。相關調查機構的數據顯示��,全球可提供的IPv4地址大約有40多億個�����,估計在未來5年間將被分配完畢��;而我國的情況更嚴重��,去年我國網民已突破8000萬��。而截止到去年年底����,我國總共申請到的IPv4的地址僅僅6000萬左右。一些業內專家明確指出�����,若不解決IP地址問題�����,將會成為我國乃至世界IT業界以及其它相關行業發展的瓶頸。于是乎��,IPv6成了解決IPv4地址匱乏的靈丹妙藥����。
現有互聯網采用的IPv4協議最初設計是用于教育科研網和企業網,因此在協議的設計中很少關注網絡的安全性��,導致目前的互聯網絡自身的安全保護能力有限�����,許多應用系統處于不設防或很少設防的狀態�����,存在著太多的安全隱患����,并且情況日趨嚴重和復雜��。目前的病毒早已不再是傳統的病毒,而是混合了黑客攻擊和病毒特征于一體的網絡攻擊行為����。2003年��,系統漏洞問題首次大規模成為人們關注的焦點�����,目前�����,除微軟的系統漏洞外����,像某型路由器�����、數據庫����、linux操作系統、移動通信系統以及很多特定的應用系統中����,均存在大量的漏洞,尤其是在要害應用系統中�����,如金融��、電信��、民航��、電力等系統��,漏洞一旦被黑客利用��,造成的后果將不堪設想��。
隨著用戶需求和業務的不斷發展��,互聯網安全成為實現創新業務和贏利商業模式的前提����。由于IPv4地址的短缺,無法實現端到端的安全性��,解決的辦法是采用網絡地址轉換(NAT)技術�����,或利用端口復用技術�����,或使用私有IP地址�����,以擴大公有IP地址的使用率��。NAT方式在原來的客戶/服務器模式的應用上可以很好地使用�����,但新型應用越來越多地依靠于對等方式通信����。此外��,對于大量增長的終端等在線設備來說��,無疑端到端的尋址變得非常重要��。由于NAT方式無法保證端到端通信,這就限制了很多新業務的開展����,嚴重阻礙了互聯網產業發展����。因此,端到端的安全性是未來業務的基本特性�����,只有借助IPv6豐富的地址空間實現了真正的端到端才能保證下一代互聯網多種新業務的開展和成熟商業模式的形成����。
IPv6從地址治理及分配方式和技術本身兩個層面提供了充分的安全保障。
地址治理及分配方式
IPv6本身充分的地址空間可以為每一個用戶及每一臺設備與終端提供唯一對應的IP地址��,而IPv4時代互聯網地址分配的教訓使我們意識到即使有128位的地址空間����,一個良好的地址治理與分配方案仍然非常要害。
技術
IETF在設計下一代互聯網協議(IPv6)時��,增加了對網絡層安全性的強制要求����,非凡設計了IPSec協議��,并規定所有的IPv6實現必須支持IPSec����。IPSec協議也可工作于IPv4中��,但在IPv4的實現中是可選的�����。
IPv6不但解決了當今IP地址匱乏的問題,并且由于它引入了認證和加密機制�����,實現了基于網絡層的身份認證����,確保了數據包的完整性和保密性,因此可以說IPv6實現了網絡層安全�����。
作者:unknown
