交换机配置中的安全性
近几年,我国信息化建设得到了迅猛地发展,带宽越来越宽,网络速度翻了几倍,E-Mail在网间的传递流量呈现指数增长,IP语音、视频等技术极大地丰富了网络应用。但是,互联网在拉近人与人之间距离的同时,病毒、黑客也随之不请自到。病毒的智能化,变种、繁殖的快速,黑客工具的“傻瓜”化加上洪水般的泛滥趋势,使得企业的信息系统变得脆弱不堪,随时面临瘫痪甚至被永久损坏的危险。在此形势下,企业不得不加强对自身信息系统的安全防护,期望得到 一个彻底的、一劳永逸的安全防护系统。但是,安全总是相对的,安全措施总是被动的,没有一个企业的安全系统能够得到真正100%的安全保证。
病毒原理、入侵攻防技术发展的研究分析表明,单一的防病毒软件往往使得网络的安全防护并不完善,网络安全不能再靠单一设备、单一技术来实现已成为业界共识。在“软硬结合”、“内外相应”等业界近来广为推广的安全策略下,交换机作为网络骨干设备,自然也肩负着构筑网络安全防线的重任。
交换机自身更要安全
交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能,比如非法获取交换机的控制权,导致网络瘫痪,另一方面也会受到DoS攻击,比如前面提到的几种蠕虫病毒。此外,交换机可以作生成权维护、路由协议维护、ARP、建路由表,维护路由协议,对ICMP报文进行处理,监控交换机,这些都有可能成为黑客攻击交换机的手段。
传统交换机主要用于数据包的快速转发,强调转发性能。随着局域网的广泛互联,加上TCP/IP协议本身的开放性,网络安全成为一个突出问题,网络中的敏感数据、机密信息被泄露,重要数据设备被攻击,而交换机作为网络环境中重要的转发设备,其原来的安全特性已经无法满足现在的安全需求,因此传统的交换机需要增加安全性。
在网络设备厂商看来,加强安全性的交换机是对普通交换机的升级和完善,除了具备一般的功能外,这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。现在,越来越多的用户都表示希望交换机中增加防火墙、VPN、数据加密、身份认证等功能。
交换机轻松实现网络安全控管
安全性加强的交换机本身具有抗攻击性,比普通交换机具有更高的智能性和安全保护功能。在系统安全方面,交换机在网络由核心到边缘的整体架构中实现了安全机制,即通过特定技术对网络管理信息进行加密、控制;在接入安全性方面,采用安全接入机制,包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此,许多交换机还增加了硬件形式的安全模块,一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。
目前交换机中常用的安全技术主要包括以下几种。
流量控制技术
把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。 不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。
访问控制列表(ACL)技术
ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。
“安全”需要出色的体系结构
完美的产品首要要有个出色的体系结构设计。现在,很多交换机产品采用全分布式体系结构设计,通过功能强大的ASIC芯片进行高速路由查找,使用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。
DCRS-7600系列IPv6万兆路由交换机除采用上述的全分布式体系结构设计外,还具有非常出色的安全性功能设计,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。它的S-ARP(安全ARP)功能可有效防止ARP-DOS攻击;Anti-Sweep(防扫描)功能可自动监测各种恶意扫描行为,实施报警或者采取其他安全措施,如禁止网络访问等,此特性可将很多未知的新型病毒扼制在大规模爆发之前;S-ICMP(安全ICMP)功能可有效防止PING-DOS攻击,灵活防止黑客利用ICMP Unreachable攻击第三方的行为;安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击(DDOS攻击)通过智能监控并调整报文数据Buffer和冲向CPU的IP报文队列流量,使得核心交换机在DDOS攻击下,安然无恙。
交换引擎CPU核心保护,可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪;关键协议绿色通道功能可保障正常、合法、速度合理的关键控制报文(STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;先进的LPM技术可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等;端口信任模式则可检测非法DHCP Server、非法Radius Server等,只在信任端口才能接入这些设备,从而保障网络的安全。
DCRS-7600系列可基于时间段设置安全策略,安全设置随时间而动,在不同的时间段自动切换为不同的策略;智能化流量控制,可基于ACL进行流量分类,比起传统的基于交换机端口、ToS、DCSP、CoS、802.1P的分类方式,ACL-X更加精细和贴近业务分类;而安全策略分发更加灵活,可配置到任意端口、VLAN、VLAN接口,极为灵活。
基于应用的业务安全管理SecAPP,使得具有线速业务感知的功能,可即时感知各种高层应用业务的发生,而这个过程丝毫不影响交换机的转发性能,所以说是线速的;智能业务策略功能可根据事先设定的策略,对各种高层应用业务进行分类,区分合法业务、非法业务、受限业务;深度业务控制(基于ACL-X)功能可将分类后的业务执行不同的安全控制措施,这里要借助强大的ACL-X和QoS,实现灵活的接入准入控制或者流量限制。BT是让人即爱又恨的应用,在告诉下载文件的同时,用户的带宽则被过度地占用,严重影响其它网络应用的进程,SecAPP对于限制BT有着最为直接的作用,SecAPP可在不影响交换机转发性能的前提下,实现对BT、电驴等P2P应用业务的准入控制和流量管理,可有管理性地控制用户带宽。
IPv6让交换机更安全
近几年来,IT技术得到了迅猛的发展,用户日益丰富的应用需求以及越来越多终端设备对网络的需求促使了现有的IPv4类型IP地址已现枯竭之势。相关调查机构的数据显示,全球可提供的IPv4地址大约有40多亿个,估计在未来5年间将被分配完毕;而我国的情况更严峻,去年我国网民已突破8000万。而截止到去年年底,我国总共申请到的IPv4的地址仅仅6000万左右。一些业内专家明确指出,若不解决IP地址问题,将会成为我国乃至世界IT业界以及其它相关行业发展的瓶颈。于是乎,IPv6成了解决IPv4地址匮乏的灵丹妙药。
现有互联网采用的IPv4协议最初设计是用于教育科研网和企业网,因此在协议的设计中很少关注网络的安全性,导致目前的互联网络自身的安全保护能力有限,许多应用系统处于不设防或很少设防的状态,存在着太多的安全隐患,并且情况日趋严重和复杂。目前的病毒早已不再是传统的病毒,而是混合了黑客攻击和病毒特征于一体的网络攻击行为。2003年,系统漏洞问题首次大规模成为人们关注的焦点,目前,除微软的系统漏洞外,像某型路由器、数据库、Linux操作系统、移动通信系统以及很多特定的应用系统中,均存在大量的漏洞,尤其是在关键应用系统中,如金融、电信、民航、电力等系统,漏洞一旦被黑客利用,造成的后果将不堪设想。
随着用户需求和业务的不断发展,互联网安全成为实现创新业务和赢利商业模式的前提。由于IPv4地址的短缺,无法实现端到端的安全性,解决的办法是采用网络地址转换(NAT)技术,或利用端口复用技术,或使用私有IP地址,以扩大公有IP地址的使用率。NAT方式在原来的客户/服务器模式的应用上可以很好地使用,但新型应用越来越多地依赖于对等方式通信。此外,对于大量增长的终端等在线设备来说,无疑端到端的寻址变得非常重要。由于NAT方式无法保证端到端通信,这就限制了很多新业务的开展,严重阻碍了互联网产业发展。因此,端到端的安全性是未来业务的基本特性,只有借助IPv6丰富的地址空间实现了真正的端到端才能保证下一代互联网多种新业务的开展和成熟商业模式的形成。
IPv6从地址管理及分配方式和技术本身两个层面提供了充分的安全保障。
地址管理及分配方式
IPv6本身充分的地址空间可以为每一个用户及每一台设备与终端提供唯一对应的IP地址,而IPv4时代互联网地址分配的教训使我们意识到即使有128位的地址空间,一个良好的地址管理与分配方案仍然非常关键。
技术
IETF在设计下一代互联网协议(IPv6)时,增加了对网络层安全性的强制要求,特别设计了IPSec协议,并规定所有的IPv6实现必须支持IPSec。IPSec协议也可工作于IPv4中,但在IPv4的实现中是可选的。
IPv6不但解决了当今IP地址匮乏的问题,并且由于它引入了认证和加密机制,实现了基于网络层的身份认证,确保了数据包的完整性和保密性,因此可以说IPv6实现了网络层安全。
文章录入:csh 责任编辑:csh