如何架設安全de交換機系統

  Q：如何架設安全de交換機系統?
  A：網絡時代的到來使得安全問題成為一個迫切需要解決的問題；病毒、黑客以及各種各樣漏洞的存在，使得安全任務在網絡時代變得無比艱巨。

    交換機在企業網中占有重要的地位，通常是整個網絡的核心所在。在這個黑客入侵風起雲湧、病毒肆虐的網絡時代，作為核心的交換機也理所當然要承擔起網絡安全的一部分責任。因此，交換機要有專業安全產品的性能，安全已經成為網絡建設必須考慮的重中之中。安全交換機由此應運而生，在交換機中集成安全認證、ACL（Access Control List，訪問控制列表）、防火牆、入侵檢測甚至防毒的功能，網絡的安全真的需要“武裝到牙齒”

    安全交換機三層含義

    交換機最重要的作用就是轉發數據，在黑客攻擊和病毒侵擾下，交換機要能夠繼續保持其高效的數據轉發速率，不受到攻擊的干擾，這就是交換機所需要的最基本的安全功能。同時，交換機作為整個網絡的核心，應該能對訪問和存取網絡信息的用戶進行區分和權限控制。更重要的是，交換機還應該配合其他網絡安全設備，對非授權訪問和網絡攻擊進行監控和阻止。

    安全交換機的新功能

    802.1x加強安全認證

    在傳統的局域網環境中，只要有物理的連接端口，未經授權的網絡設備就可以接入局域網，或者是未經授權的用戶可以通過連接到局域網的設備進入網絡。這樣給一些企業造成了潛在的安全威脅。另外，在學校以及智能小區的網絡中，由於涉及到網絡的計費，所以驗證用戶接入的合法性也顯得非常重要。IEEE 802.1x 正是解決這個問題的良藥，目前已經被集成到二層智能交換機中，完成對用戶的接入安全審核。

    802.1x協議是剛剛完成標准化的一個符合IEEE 802協議集的局域網接入控制協議，其全稱為基於端口的訪問控制協議。它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段http://www.woaidiannao.com，達到了接受合法用戶接入，保護網絡安全的目的。

    802.1x協議與LAN是無縫融合的。802.1x利用了交換LAN架構的物理特性，實現了LAN端口上的設備認證。在認證過程中，LAN端口要麼充當認證者，要麼扮演請求者。在作為認證者時，LAN端口在需要用戶通過該端口接入相應的服務之前，首先進行認證，如若認證失敗則不允許接入；在作為請求者時，LAN端口則負責向認證服務器提交接入服務申請。基於端口的MAC鎖定只允許信任的MAC地址向網絡中發送數據。來自任何“不信任”的設備的數據流會被自動丟棄，從而確保最大限度的安全性。

    在802.1x協議中，只有具備了以下三個元素才能夠完成基於端口的訪問控制的用戶認證和授權。

    1. 客戶端。一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。

    2. 認證系統。在以太網系統中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，並根據認證的結果打開或關閉端口。

    3. 認證服務器。通過檢驗客戶端發送來的身份標識（用戶名和口令）來判別用戶是否有權使用網絡系統提供的網絡服務，並根據認證結果向交換機發出打開或保持端口關閉的狀態。

    流量控制

    安全交換機的流量控制技術把流經端口的異常流量限制在一定的范圍內，避免交換機的帶寬被無限制濫用。安全交換機的流量控制功能能夠實現對異常流量的控制，避免網絡堵塞。

    防DDoS

    企業網一旦遭到大規模分布式拒絕服務攻擊，會影響大量用戶的正常網絡使用，嚴重的甚至造成網絡癱瘓，成為服務提供商最為頭疼的攻擊。安全交換機采用專門的技術來防范DDoS攻擊，它可以在不影響正常業務的情況下，智能地檢測和阻止惡意流量，從而防止網絡受到DDoS攻擊的威脅。

    虛擬局域網VLAN

    虛擬局域網是安全交換機必不可少的功能。VLAN可以在二層或者三層交換機上實現有限的廣播域，它可以把網絡分成一個一個獨立的區域，可以控制這些區域是否可以通訊。VLAN可能跨越一個或多個交換機，與它們的物理位置無關，設備之間好像在同一個網絡間通信一樣。VLAN可在各種形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各個不同VLAN之間的非授權訪問，而且可以設置IP/MAC地址綁定功能限制用戶的非授權網絡訪問。

    基於訪問控制列表的防火牆功能

    安全交換機采用了訪問控制列表ACL來實現包過濾防火牆的安全功能，增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中，訪問控制過濾措施可以基於源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或MAC地址來實現。

    ACL不但可以讓網絡管理者用來制定網絡策略，針對個別用戶或特定的數據流進行允許或者拒絕的控制，也可以用來加強網絡的安全屏蔽，讓黑客找不到網絡中的特定主機進行探測，從而無法發動攻擊。

    入侵檢測IDS

    安全交換機的IDS功能可以根據上報信息和數據流內容進行檢測，在發現網絡安全事件的時候，進行有針對性的操作，並將這些對安全事件反應的動作發送到交換機上，由交換機來實現精確的端口斷開操作。實現這種聯動，需要交換機能夠支持認證、端口鏡像、強制流分類、進程數控制、端口反查等功能

    設備冗余也重要

    物理上的安全也就是冗余能力是網絡安全運行的保證。任何廠商都不能保證其產品不發生故障，而發生故障時能否迅速切換到一個好設備上，是令人關心的問題。後備電源、後備管理模塊、冗余端口等冗余設備就能保證即使在設備出現故障的情況下，立刻賦予後備的模塊、安全保障網絡的運行。

    安全交換機的布署

    安全交換機的出現，使得網絡在交換機這個層次上的安全能力大大增強。安全交換機可以配備在網絡的核心，如同思科Catalyst 6500這個模塊化的核心交換機那樣，把安全功能放在核心來實現。這樣做的好處是可以在核心交換機上統一配置安全策略，做到集中控制，而且方便網絡管理人員的監控和調整。而且核心交換機都具備強大的能力，安全性能是一項頗費處理能力的工作，核心交換機做起這個事情來能做到物盡其能。

    把安全交換機放在網絡的接入層或者匯聚層，是另外一個選擇。這樣配備安全交換機的方式就是核心把權力下放到邊緣，在各個邊緣就開始實施安全交換機的性能，把入侵和攻擊以及可疑流量堵在邊緣之外，確保全網的安全。這樣就需要在邊緣配備安全交換機，很多廠家已經推出了各種邊緣或者匯聚層使用的安全交換機。它們就像一個個的堡壘一樣，在核心周圍建立起一道堅固的安全防線。

    安全交換機有時候還不能孤軍奮戰，如PPPoE認證功能就需要Radius服務器的支持，另外其他的一些交換機能夠和入侵檢測設備做聯動的，就需要其他網絡設備或者服務器的支持。

    安全交換機的升級

    目前市場上出了很多新的安全交換機，它們是一出廠就天生具備了一些安全的功能。那麼一些老交換機如何能夠得到安全上的保障呢。一般來說，對於模塊化的交換機，這個問題很好解決。普遍的解決方式是在老的模塊化交換機上插入新的安全模塊，如思科Catalyst 6500就帶有防火牆模塊、入侵檢測IDS模塊等等安全模塊；神州數碼的6610交換機配備了PPPoE的認證模塊，直接插入老交換機就能讓這些“老革命”解決新問題。

    如果以前購置的交換機是固定式的交換機，一些有能力的型號就需要通過升級固件firmware的形式來植入新的安全功能。

    安全交換機的前景

    隨著用戶對網絡環境的需求越來越高，對具備安全功能的交換機的需求也越來越大。很多用戶認為，花一定的投資在交換機的安全上，對整個網絡健壯性和安全性的提高是值得的。特別是一些行業用戶，他們對網絡的需求絕非連通即可。如銀行、證券以及大型企業，網絡病毒爆發一次或者入侵帶來的損失，足以超過在安全交換機上的額外投資。安全交換機已經成為交換機市場上的一個新亮點。 如何架設安全de交換機系統.