交換機(jī)安全技術(shù) 如何架設(shè)安全的交換機(jī)系統(tǒng)

交換機(jī)在企業(yè)網(wǎng)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的網(wǎng)絡(luò)時(shí)代，作為核心的交換機(jī)也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。因此，交換機(jī)要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。安全交換機(jī)由此應(yīng)運(yùn)而生，在交換機(jī)中集成安全認(rèn)證、ACL（Access Control List，訪問控制列表）、防火墻、入侵檢測(cè)甚至防毒的功能，網(wǎng)絡(luò)的安全真的需要“武裝到牙齒”

安全交換機(jī)三層含義

交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機(jī)所需要的最基本的安全功能。同時(shí)，交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心，應(yīng)該能對(duì)訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制。更重要的是，交換機(jī)還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對(duì)非授權(quán)訪問和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止。

安全交換機(jī)的新功能

802.1x加強(qiáng)安全認(rèn)證

在傳統(tǒng)的局域網(wǎng)環(huán)境中，只要有物理的連接端口，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng)，或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。這樣給一些企業(yè)造成了潛在的安全威脅。另外，在學(xué)校以及智能小區(qū)的網(wǎng)絡(luò)中，由于涉及到網(wǎng)絡(luò)的計(jì)費(fèi)，所以驗(yàn)證用戶接入的合法性也顯得非常重要。IEEE 802.1x 正是解決這個(gè)問題的良藥，目前已經(jīng)被集成到二層智能交換機(jī)中，完成對(duì)用戶的接入安全審核。

802.1x協(xié)議是剛剛完成標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的。

802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過程中，LAN端口要么充當(dāng)認(rèn)證者，要么扮演請(qǐng)求者。在作為認(rèn)證者時(shí)，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進(jìn)行認(rèn)證，如若認(rèn)證失敗則不允許接入；在作為請(qǐng)求者時(shí)，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請(qǐng)。基于端口的MAC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會(huì)被自動(dòng)丟棄，從而確保最大限度的安全性。

在802.1x協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

1. 客戶端。一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。

2. 認(rèn)證系統(tǒng)。在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。

3. 認(rèn)證服務(wù)器。通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。

流量控制

安全交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機(jī)的帶寬被無限制濫用。安全交換機(jī)的流量控制功能能夠?qū)崿F(xiàn)對(duì)異常流量的控制，避免網(wǎng)絡(luò)堵塞。

防DDoS

企業(yè)網(wǎng)一旦遭到大規(guī)模分布式拒絕服務(wù)攻擊，會(huì)影響大量用戶的正常網(wǎng)絡(luò)使用，嚴(yán)重的甚至造成網(wǎng)絡(luò)癱瘓，成為服務(wù)提供商最為頭疼的攻擊。安全交換機(jī)采用專門的技術(shù)來防范DDoS攻擊，它可以在不影響正常業(yè)務(wù)的情況下，智能地檢測(cè)和阻止惡意流量，從而防止網(wǎng)絡(luò)受到DDoS攻擊的威脅。

虛擬局域網(wǎng)VLAN

虛擬局域網(wǎng)是安全交換機(jī)必不可少的功能。VLAN可以在二層或者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個(gè)一個(gè)獨(dú)立的區(qū)域，可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個(gè)或多個(gè)交換機(jī)，與它們的物理位置無關(guān)，設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)間通信一樣。VLAN可在各種形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各個(gè)不同VLAN之間的非授權(quán)訪問，而且可以設(shè)置IP/MAC地址綁定功能限制用戶的非授權(quán)網(wǎng)絡(luò)訪問。

基于訪問控制列表的防火墻功能

安全交換機(jī)采用了訪問控制列表ACL來實(shí)現(xiàn)包過濾防火墻的安全功能，增強(qiáng)安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機(jī)中，訪問控制過濾措施可以基于源/目標(biāo)交換槽、端口、源/目標(biāo)VLAN、源/目標(biāo)IP、TCP/UDP端口、ICMP類型或MAC地址來實(shí)現(xiàn)。

ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，針對(duì)個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制，也可以用來加強(qiáng)網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測(cè)，從而無法發(fā)動(dòng)攻擊。

入侵檢測(cè)IDS

安全交換機(jī)的IDS功能可以根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對(duì)性的操作，并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)上，由交換機(jī)來實(shí)現(xiàn)精確的端口斷開操作。實(shí)現(xiàn)這種聯(lián)動(dòng)，需要交換機(jī)能夠支持認(rèn)證、端口鏡像、強(qiáng)制流分類、進(jìn)程數(shù)控制、端口反查等功能

設(shè)備冗余也重要

物理上的安全也就是冗余能力是網(wǎng)絡(luò)安全運(yùn)行的保證。任何廠商都不能保證其產(chǎn)品不發(fā)生故障，而發(fā)生故障時(shí)能否迅速切換到一個(gè)好設(shè)備上，是令人關(guān)心的問題。后備電源、后備管理模塊、冗余端口等冗余設(shè)備就能保證即使在設(shè)備出現(xiàn)故障的情況下，立刻賦予后備的模塊、安全保障網(wǎng)絡(luò)的運(yùn)行。

安全交換機(jī)的布署

安全交換機(jī)的出現(xiàn)，使得網(wǎng)絡(luò)在交換機(jī)這個(gè)層次上的安全能力大大增強(qiáng)。安全交換機(jī)可以配備在網(wǎng)絡(luò)的核心，如同思科Catalyst 6500這個(gè)模塊化的核心交換機(jī)那樣，把安全功能放在核心來實(shí)現(xiàn)。這樣做的好處是可以在核心交換機(jī)上統(tǒng)一配置安全策略，做到集中控制，而且方便網(wǎng)絡(luò)管理人員的監(jiān)控和調(diào)整。而且核心交換機(jī)都具備強(qiáng)大的能力，安全性能是一項(xiàng)頗費(fèi)處理能力的工作，核心交換機(jī)做起這個(gè)事情來能做到物盡其能。

把安全交換機(jī)放在網(wǎng)絡(luò)的接入層或者匯聚層，是另外一個(gè)選擇。這樣配備安全交換機(jī)的方式就是核心把權(quán)力下放到邊緣，在各個(gè)邊緣就開始實(shí)施安全交換機(jī)的性能，把入侵和攻擊以及可疑流量堵在邊緣之外，確保全網(wǎng)的安全。這樣就需要在邊緣配備安全交換機(jī)，很多廠家已經(jīng)推出了各種邊緣或者匯聚層使用的安全交換機(jī)。它們就像一個(gè)個(gè)的堡壘一樣，在核心周圍建立起一道堅(jiān)固的安全防線。

安全交換機(jī)有時(shí)候還不能孤軍奮戰(zhàn)，如PPPoE認(rèn)證功能就需要Radius服務(wù)器的支持，另外其他的一些交換機(jī)能夠和入侵檢測(cè)設(shè)備做聯(lián)動(dòng)的，就需要其他網(wǎng)絡(luò)設(shè)備或者服務(wù)器的支持。

安全交換機(jī)的升級(jí)

目前市場(chǎng)上出了很多新的安全交換機(jī)，它們是一出廠就天生具備了一些安全的功能。那么一些老交換機(jī)如何能夠得到安全上的保障呢。一般來說，對(duì)于模塊化的交換機(jī)，這個(gè)問題很好解決。普遍的解決方式是在老的模塊化交換機(jī)上插入新的安全模塊，如思科Catalyst 6500就帶有防火墻模塊、入侵檢測(cè)IDS模塊等等安全模塊；神州數(shù)碼的6610交換機(jī)配備了PPPoE的認(rèn)證模塊，直接插入老交換機(jī)就能讓這些“老革命”解決新問題。

如果以前購(gòu)置的交換機(jī)是固定式的交換機(jī)，一些有能力的型號(hào)就需要通過升級(jí)固件firmware的形式來植入新的安全功能。