无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

宋麗娜 榮鈺

　　網(wǎng)絡安全不再單純依賴單一設備和單一技術來實現(xiàn)已成為業(yè)界共識。交換機作為網(wǎng)絡骨干設備，自然也肩負著構(gòu)筑網(wǎng)絡安全防線的重任。

　　蠕蟲病毒攻擊網(wǎng)絡設備

　　蠕蟲病毒發(fā)作導致網(wǎng)絡吞吐效率下降、變慢。如果網(wǎng)絡中存在瓶頸，就會導致網(wǎng)絡停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機的處理能力或者內(nèi)存資源。需要指出的是，網(wǎng)絡中的路由器、交換機已經(jīng)達到或接近線速，內(nèi)網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對局域網(wǎng)內(nèi)部帶寬不會造成致命堵塞，但位于網(wǎng)絡出口位置的路由器和位于網(wǎng)絡核心位置的三層交換機卻要吞吐絕大多數(shù)的流量，因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發(fā)作就會嚴重消耗帶寬和交換機資源，造成網(wǎng)絡癱瘓，這一現(xiàn)象早已屢見不鮮。

　　蠕蟲病毒對網(wǎng)絡設備的沖擊形式主要有兩種：一是堵塞帶寬，導致服務不可用；二是占用CPU資源，導致宕機，紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡出口堵塞。宕機共分幾種情況:一是普通三層交換機都采用流轉(zhuǎn)發(fā)模式，也就是將第一個數(shù)據(jù)包發(fā)送到CPU處理，根據(jù)其目的地址建流，頻繁建流會急劇消耗CPU資源，蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流，這對于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡設備是致命的；二是如果網(wǎng)絡規(guī)劃有問題，在Slammer作用下導致大量ARP請求發(fā)生，也會耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機之間鏈路帶寬，導致路由協(xié)議的數(shù)據(jù)包（如Hello包）丟失，導致整個網(wǎng)絡的路由震蕩。類似的情形還有利用交換機安全漏洞對交換機CPU等資源發(fā)起的DoS攻擊。在2003年第５期報紙上，我們曾集中介紹了路由器的安全問題，在這期報紙上我們將集中介紹交換機的安全問題。

　　交換機需要加強安全性

　　以太網(wǎng)交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機。而是計算機就有被攻擊的可能，比如非法獲取交換機的控制權(quán)，導致網(wǎng)絡癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。

　　它們都利用了交換機的一些漏洞。一般交換機可以作生成權(quán)維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICＭP報文進行處理，監(jiān)控交換機，這些都有可能成為黑客攻擊交換機的手段。

　　蠕蟲病毒的攻擊，使網(wǎng)絡設備廠商和用戶都開始注重交換機的安全性。對于交換機安全性的理解，近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性，31%的用戶認為是指交換機攜帶了安全模塊，21%的用戶認為兩者兼?zhèn)�。絕大數(shù)網(wǎng)絡設備廠商認為交換機的安全性需經(jīng)過特殊設計、提高了抗攻擊能力，同時具有一定的安全功能。

　　傳統(tǒng)交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互連，加上TCP/IP協(xié)議本身的開放性，網(wǎng)絡安全成為一個突出問題，網(wǎng)絡中的敏感數(shù)據(jù)、機密信息被泄露，重要數(shù)據(jù)設備被攻擊，而交換機作為網(wǎng)絡環(huán)境中重要的轉(zhuǎn)發(fā)設備，其原來的安全特性已經(jīng)無法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的交換機需要增加安全性。

　　在網(wǎng)絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡安全和用戶業(yè)務應用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，預防病毒和網(wǎng)絡攻擊，限制非法訪問，進行事后分析，有效保障用戶網(wǎng)絡業(yè)務的正常開展。實現(xiàn)安全性的一種作法就是在現(xiàn)有交換機中嵌入各種安全模塊。不同用戶有不同的需求，25%的用戶希望交換機中增加防火墻、VPN、數(shù)據(jù)加密、身份認證等功能，37%的用戶表示需要直接使用安全設備，48%的用戶表示兩種方式都需要。

　　在現(xiàn)階段，由于有過被攻擊的經(jīng)歷，絕大多數(shù)用戶對增強安全性的交換機表示出濃厚興趣，18%的用戶表示在三個月之內(nèi)購買，29%的用戶會在半年之內(nèi)購買，19%的用戶打算在一年之內(nèi)購買，只有34%的用戶表示近期不作考慮。同時，用戶對這種加強安全性的交換機的價格也表現(xiàn)出理性態(tài)度：8%的用戶希望能與傳統(tǒng)交換機價格相當，4%的用戶接受高于傳統(tǒng)交換機20%以上的價格，而88%的用戶接受10%～20%的價格上浮。

　　安全性加強的交換機本身具有抗攻擊性，比普通交換機具有更高的智能性和安全保護功能。在系統(tǒng)安全方面，交換機在網(wǎng)絡由核心到邊緣的整體架構(gòu)中實現(xiàn)了安全機制，即通過特定技術對網(wǎng)絡管理信息進行加密、控制；在接入安全性方面，采用安全接入機制，包括802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛網(wǎng)技術等。不僅如此，許多交換機還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機則更好地遏制了隨著WLAN應用而泛濫的內(nèi)網(wǎng)安全隱患。目前交換機中常用的安全技術包括以下幾種。

　　流量控制技術 把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。 不過，交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。

　　訪問控制列表(ACL)技術 ACL通過對網(wǎng)絡資源進行訪問輸入和輸出控制，確保網(wǎng)絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，交換機按照順序執(zhí)行這些規(guī)則，并且處理每一個進入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對位置對于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡至關重要。

　　安全套接層(SSL) 為所有 HTTP 流量加密，允許訪問交換機上基于瀏覽器的管理 GUI。

　　802.1x和RADIUS 網(wǎng)絡登錄 控制基于端口的訪問，以進行驗證和責任明晰。

　　源端口過濾 只允許指定端口進行相互通信。

　　Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數(shù)據(jù)，確保IP網(wǎng)絡上安全的CLI遠程訪問。

　　安全FTP 實現(xiàn)與交換機之間安全的文件傳輸，避免不需要的文件下載或未授權(quán)的交換機配置文件復制。

　　但是有安全功能不等于就行，一些交換機具有ACL，但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP（源目的MAC為廣播地址）進行特殊處理。網(wǎng)絡中是否會出現(xiàn)路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網(wǎng)管系統(tǒng)的DoS攻擊等，都是交換機面臨的潛在威脅。

　　交換機與IDS聯(lián)動

　　傳統(tǒng)的IDS系統(tǒng)一直倍受爭議，原因有四點：一是誤報率和漏報率太高；二是沒有主動防御能力，只能被動防守；三是缺乏準確的定位和處理機制，只能識別IP地址，無法定位IP地址；四是性能普遍不足，不能適應交換技術和高帶寬環(huán)境，大流量沖擊和多IP分片情況都可能造成IDS癱瘓或丟包，容易遭到DoS攻擊。

　　在采訪網(wǎng)絡設備廠商的過程中，思科、華為3Com、港灣都提到了交換機與IDS的聯(lián)動，大家認為，交換機IDS聯(lián)動，能夠克服IDS的不足，實現(xiàn)雙贏效果。眾所周知，黑客和病毒都是依賴網(wǎng)絡平臺進行攻擊，將IDS作為監(jiān)控系統(tǒng)，與交換機進行聯(lián)動，就能在網(wǎng)絡平臺上切斷黑客和病毒的傳播途徑，實現(xiàn)意想不到的安全效果。具體來說，IDS與交換設備聯(lián)動是指在運行的過程中，交換機將各種數(shù)據(jù)流的信息上報給安全設備，IDS可以根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測，在發(fā)現(xiàn)網(wǎng)絡安全事件的時候，進行有針對性的操作，并將這些對安全事件反應的動作發(fā)送到交換機上，由交換機來實現(xiàn)精確的端口斷開操作。實現(xiàn)這種聯(lián)動，需要交換機能夠支持認證、端口鏡像、強制流分類、進程數(shù)控制、端口反查等功能，同時具備線速交換特性。目前，新一代智能交換機能夠與IDS實現(xiàn)聯(lián)動。港灣FlexHammer5010就是這樣一款產(chǎn)品，它具備多重網(wǎng)絡標識的綁定和端口反查功能，防止網(wǎng)絡欺騙行為，可以幫助IDS系統(tǒng)對攻擊點進行準確定位。

　　專家認為：在目前，智能交換機與IDS的聯(lián)動是一個非常實際而且不會給用戶帶來額外投資的理想方案。不過與網(wǎng)絡設備廠商看好交換機與IDS聯(lián)動技術形成反差的是，絕大多數(shù)用戶表示認可這項技術，但真正在實踐中將交換機與IDS聯(lián)動起來的用戶卻是極少數(shù)，這說明網(wǎng)絡設備廠商在培訓教育用戶綜合使用交換機和IDS方面還存在明顯不足。

　　安全與效率的權(quán)衡

　　在我們的調(diào)查中，用戶對交換機安全問題的關注率高達97%以上。不過大約48%的用戶擔心增強交換機的安全功能會影響網(wǎng)絡的吞吐效率，34%的用戶表示無所謂，關注安全與效率問題的用戶主要是大中型企業(yè)。

　　安全與效率的確是對此消彼長的矛盾。從技術上講，傳統(tǒng)的交換機大都采用軟件方式，依靠CPU處理能力，來提供安全防御功能。眾所周知，病毒攻擊對交換機性能的影響較大，當網(wǎng)絡流量大到一定程度時必然造成交換機癱瘓，網(wǎng)絡中斷。但對于依靠硬件技術實現(xiàn)了安全功能的交換機來說，在負載范圍內(nèi)，其處理能力是全冗余的，不會影響性能。同時因為數(shù)據(jù)過濾、智能識別攻擊源、策略查找等功能也是基于硬件來實現(xiàn)，從而保證了病毒引起的流量不影響交換機的正常運行。當病毒報文流量大到一定程度，并且是未知類型的病毒時，可能會對交換機的正常業(yè)務造成影響，具有自我保護功能的交換設備則可以根據(jù)優(yōu)先級設置，丟棄低優(yōu)先級的、可能具有攻擊性的報文，保證高優(yōu)先級業(yè)務不中斷，系統(tǒng)穩(wěn)定運行。從上述分析可以看出，采用先進體系架構(gòu)的交換設備可以做到保障安全同時保證性能。對于強調(diào)效率的用戶來說，最好選擇依靠硬件實現(xiàn)安全功能的交換機。

　　產(chǎn)品篇

　　思科將安全模塊集成在交換機中，企業(yè)可以根據(jù)自己的需求采用不同的安全措施和預防技術。Catalyst 6500系列交換機集成了IPSec VPN、防火墻、入侵檢測以及多層LAN、WAN和MAN交換功能。針對Catalyst 6500系列，思科還設計了思科安全套接層（SSL）模塊，提高Web應用的性能和安全性，提供安全聯(lián)網(wǎng)。而如果將SSL與思科內(nèi)容交換模塊（CSM）集成在一起，將能夠加速流量，同時從Web服務器卸載資源，從而提供安全的服務器負載均衡解決方案。

　　HP Procurve Swtich 5300xl交換機是面向中小企業(yè)網(wǎng)絡核心的產(chǎn)品，它具有緊湊的4插槽或8插槽模塊化外形，提供76.8G的交換容量和48Mpps的第二、三層轉(zhuǎn)發(fā)性能，采用源端口過濾、802.1x和RADIUS 網(wǎng)絡登錄等安全技術與功能，使交換機具有很高的安全性。
　　華為3Com公司的Quidway S3500系列安全智能三層交換機提供完善的路由協(xié)議、VLAN控制、流量交換、QoS保證機制，適合作為關注業(yè)務管理控制和網(wǎng)絡安全保障能力的匯聚三層交換機。該系列設備具有完備的安全控制策略，采用基于最長匹配的路由策略和逐包轉(zhuǎn)發(fā)方式，能夠防御蠕蟲病毒的攻擊。此外，該設備還支持802.1x和Web Portal認證，通過MAC、IP、VLAN、PORT任意組合綁定，防止用戶非法訪問網(wǎng)絡，支持多種ACL訪問控制策略，能夠?qū)τ脩粼L問網(wǎng)絡資源權(quán)限進行設置。
　　北電Alteon應用交換機具有智能流量管理功能和豐富的安全特性。Alteon 應用交換機采用虛擬矩陣交換結(jié)構(gòu)和智能流量管理系統(tǒng)，具有出色的應用層處理性能，其基本應用層功能包括服務器負載均衡(SLB)、智能內(nèi)容(第七層)交換、緩存重定向(WCR)、防火墻及VPN網(wǎng)關負載均衡等。此外，其先進的DoS防御能夠保障應用交換機后端的服務器群及網(wǎng)絡系統(tǒng)的安全性。更重要的是，這些安全功能可以與其他流量管理應用同時工作。
　　STAR-S2100系列是銳捷網(wǎng)絡自主研發(fā)的、針對各種規(guī)模的網(wǎng)絡匯聚接入而定制的智能千兆交換機。STAR-S2100系列能夠提供智能的流分類和完善的服務質(zhì)量（QoS）以及組播管理特性，可以實施靈活多樣的ACL訪問控制，通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理功能。STAR-S2126G/S2150G以出色的性價比為各類型網(wǎng)絡提供端到端的服務質(zhì)量、靈活豐富的安全設置和基于策略的網(wǎng)絡管理，滿足高速、安全、智能的應用需求。

　　交換機也需設防

　　有一種現(xiàn)象正在引起網(wǎng)絡設備廠商和用戶的注意，無論是黑客發(fā)動DoS、DDoS攻擊，還是惡意蠕蟲爆發(fā)，交換機常常受到?jīng)_擊，最終癱瘓并導致網(wǎng)絡中斷�！毒W(wǎng)絡世界》進行的交換機用戶調(diào)查顯示：近50%用戶反映交換機曾經(jīng)受到Slammer、沖擊波等蠕蟲病毒的沖擊。

　　很多企業(yè)網(wǎng)絡系統(tǒng)不進行安全設防，作為網(wǎng)絡核心的交換機，自然而然地肩負著構(gòu)筑網(wǎng)絡安全防線的任務，它的安全性、健壯性將直接影響到網(wǎng)絡的可用性，在交換機上采取必要的安全技術不僅可以有效緩解其他設備的安全壓力，而且能夠及時發(fā)現(xiàn)并解決問題。例如，防病毒軟件對蠕蟲病毒無能為力，防火墻的反查找能力十分薄弱，入侵檢測軟件不能檢測內(nèi)部入侵，交換機可以輕松彌補上述安全設備的不足。對于網(wǎng)絡層以上的安全問題，用戶可以對交換機端口的流量進行控制來解決，對付Slammer蠕蟲病毒，用戶可以通過禁止交換機上采用UDP 1434端口來防范。