交換機網路安全策略全方位解析(轉)

amyz發表於2007-08-13
交換機網路安全策略全方位解析(轉)[@more@]

  交換機在企業網中佔有重要的地位,通常是整個網路的核心所在。在這個駭客入侵風起雲湧、病毒肆虐的網路時代,作為核心的交換機也理所當然要承擔起網路安全的一部分責任。因此,交換機要有專業安全產品的效能,安全已經成為網路建設必須考慮的重中之中。安全交換機由此應運而生,在交換機中整合安全認證、ACL(Access Control List,訪問控制列表)、防火牆、入侵檢測甚至防毒的功能,網路的安全真的需要“武裝到牙齒”。

  安全交換機三層含義

  交換機最重要的作用就是轉發資料,在駭客攻擊和病毒侵擾下,交換機要能夠繼續保持其高效的資料轉發速率,不受到攻擊的干擾,這就是交換機所需要的最基本的安全功能。同時,交換機作為整個網路的核心,應該能對訪問和存取網路資訊的使用者進行區分和許可權控制。更重要的是,交換機還應該配合其他網路安全裝置,對非授權訪問和網路攻擊進行監控和阻止。

  安全交換機的新功能

  802.1x加強安全認證

  在傳統的區域網環境中,只要有物理的連線埠,未經授權的網路裝置就可以接入區域網,或者是未經授權的使用者可以透過連線到區域網的裝置進入網路。這樣給一些企業造成了潛在的安全威脅。另外,在學校以及智慧小區的網路中,由於涉及到網路的計費,所以驗證使用者接入的合法性也顯得非常重要。IEEE 802.1x 正是解決這個問題的良藥,目前已經被整合到二層智慧交換機中,完成對使用者的接入安全稽核。

  802.1x協議是剛剛完成標準化的一個符合IEEE 802協議集的區域網接入控制協議,其全稱為基於埠的訪問控制協議。它能夠在利用IEEE 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段,達到了接受合法使用者接入,保護網路安全的目的。

  802.1x協議與LAN是無縫融合的。802.1x利用了交換LAN架構的物理特性,實現了LAN埠上的裝置認證。在認證過程中,LAN埠要麼充當認證者,要麼扮演請求者。在作為認證者時,LAN埠在需要使用者透過該埠接入相應的服務之前,首先進行認證,如若認證失敗則不允許接入;在作為請求者時,LAN埠則負責向認證伺服器提交接入服務申請。基於埠的MAC鎖定只允許信任的MAC地址向網路中傳送資料。來自任何“不信任”的裝置的資料流會被自動丟棄,從而確保最大限度的安全性。

  在802.1x協議中,只有具備了以下三個元素才能夠完成基於埠的訪問控制的使用者認證和授權。

  1. 客戶端。一般安裝在使用者的工作站上,當使用者有上網需求時,啟用客戶端程式,輸入必要的使用者名稱和口令,客戶端程式將會送出連線請求。

  2. 認證系統。在乙太網系統中指認證交換機,其主要作用是完成使用者認證資訊的上傳、下達工作,並根據認證的結果開啟或關閉埠。

  3. 認證伺服器。透過檢驗客戶端傳送來的身份標識(使用者名稱和口令)來判別使用者是否有權使用網路系統提供的網路服務,並根據認證結果向交換機發出開啟或保持埠關閉的狀態。

  流量控制

  安全交換機的流量控制技術把流經埠的異常流量限制在一定的範圍內,避免交換機的頻寬被無限制濫用。安全交換機的流量控制功能能夠實現對異常流量的控制,避免網路堵塞。

  防DDoS

  企業網一旦遭到大規模分散式拒絕服務攻擊,會影響大量使用者的正常網路使用,嚴重的甚至造成網路癱瘓,成為服務提供商最為頭疼的攻擊。安全交換機採用專門的技術來防範DDoS攻擊,它可以在不影響正常業務的情況下,智慧地檢測和阻止惡意流量,從而防止網路受到DDoS攻擊的威脅。

  虛擬區域網VLAN

  虛擬區域網是安全交換機必不可少的功能。VLAN可以在二層或者三層交換機上實現有限的廣播域,它可以把網路分成一個一個獨立的區域,可以控制這些區域是否可以通訊。VLAN可能跨越一個或多個交換機,與它們的物理位置無關,裝置之間好像在同一個網路間通訊一樣。VLAN可在各種形式上形成,如埠、MAC地址、IP地址等。VLAN限制了各個不同VLAN之間的非授權訪問,而且可以設定IP/MAC地址繫結功能限制使用者的非授權網路訪問。

  基於訪問控制列表的防火牆功能

  安全交換機採用了訪問控制列表ACL來實現包過濾防火牆的安全功能,增強安全防範能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中,訪問控制過濾措施可以基於源/目標交換槽、埠、源/目標VLAN、源/目標IP、TCP/UDP埠、ICMP型別或MAC地址來實現。

  ACL不但可以讓網路管理者用來制定網路策略,針對個別使用者或特定的資料流進行允許或者拒絕的控制,也可以用來加強網路的安全遮蔽,讓駭客找不到網路中的特定主機進行探測,從而無法發動攻擊。

  入侵檢測IDS

  安全交換機的IDS功能可以根據上報資訊和資料流內容進行檢測,在發現網路安全事件的時候,進行有針對性的操作,並將這些對安全事件反應的動作傳送到交換機上,由交換機來實現精確的埠斷開操作。實現這種聯動,需要交換機能夠支援認證、埠映象、強制流分類、程式數控制、埠反查等功能

  裝置冗餘也重要

  物理上的安全也就是冗餘能力是網路安全執行的保證。任何廠商都不能保證其產品不發生故障,而發生故障時能否迅速切換到一個好裝置上,是令人關心的問題。後備電源、後備管理模組、冗餘埠等冗餘裝置就能保證即使在裝置出現故障的情況下,立刻賦予後備的模組、安全保障網路的執行。

  安全交換機的佈署

  安全交換機的出現,使得網路在交換機這個層次上的安全能力大大增強。安全交換機可以配備在網路的核心,如同思科Catalyst 6500這個模組化的核心交換機那樣,把安全功能放在核心來實現。這樣做的好處是可以在核心交換機上統一配置安全策略,做到集中控制,而且方便網路管理人員的監控和調整。而且核心交換機都具備強大的能力,安全效能是一項頗費處理能力的工作,核心交換機做起這個事情來能做到物盡其能。

  把安全交換機放在網路的接入層或者匯聚層,是另外一個選擇。這樣配備安全交換機的方式就是核心把權力下放到邊緣,在各個邊緣就開始實施安全交換機的效能,把入侵和攻擊以及可疑流量堵在邊緣之外,確保全網的安全。這樣就需要在邊緣配備安全交換機,很多廠家已經推出了各種邊緣或者匯聚層使用的安全交換機。它們就像一個個的堡壘一樣,在核心周圍建立起一道堅固的安全防線。

  安全交換機有時候還不能孤軍奮戰,如PPPoE認證功能就需要Radius伺服器的支援,另外其他的一些交換機能夠和入侵檢測裝置做聯動的,就需要其他網路裝置或者伺服器的支援。

  安全交換機的升級

  目前市場上出了很多新的安全交換機,它們是一出廠就天生具備了一些安全的功能。那麼一些老交換機如何能夠得到安全上的保障呢。一般來說,對於模組化的交換機,這個問題很好解決。普遍的解決方式是在老的模組化交換機上插入新的安全模組,如思科Catalyst 6500就帶有防火牆模組、入侵檢測IDS模組等等安全模組;神州數碼的6610交換機配備了PPPoE的認證模組,直接插入老交換機就能讓這些“老革命”解決新問題。

  如果以前購置的交換機是固定式的交換機,一些有能力的型號就需要透過升級韌體firmware的形式來植入新的安全功能。

  安全交換機的前景

  隨著使用者對網路環境的需求越來越高,對具備安全功能的交換機的需求也越來越大。很多使用者認為,花一定的投資在交換機的安全上,對整個網路健壯性和安全性的提高是值得的。特別是一些行業使用者,他們對網路的需求絕非連通即可。如銀行、證券以及大型企業,網路病毒爆發一次或者入侵帶來的損失,足以超過在安全交換機上的額外投資。安全交換機已經成為交換機市場上的一個新亮點。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955293/,如需轉載,請註明出處,否則將追究法律責任。

相關文章