現在人們一談起網絡安全,首先就會想到病毒、木馬、黑客等等,令人不寒而栗。當問及采取的防范措施時,基本上也就是防火牆和殺毒軟件。防火牆作為一種比較成熟而且也算是比較傳統的網絡安全設備,它的這種安全形象已經深入人心。可是,防火牆只是用於阻止外網計算機對內部網絡的惡意攻擊,並不能包治百病,而且隨著互聯網以及網絡安全狀況的發展變化,完全依靠防火牆來實現整個公司企業網絡的安全已經不大可能了。
當今網絡安全問題 當今世界信息化建設飛速發展,尤其以通信、計算機、網絡為代表的互聯網技術更是日新月異,令人眼花燎亂,目不�接。由於互聯網絡的發展,計算機網絡在政治、經濟和生活的各個領域正在迅速普及,全社會對網絡的依賴程度越來越大,整個世界經濟正在迅速地融為一體,計算機網絡已經成為國家的經濟基礎和命脈。眾多的企業、組織、政府部門與機構都在組建和發展自己的網絡,並連接到Internet上,利用網絡的信息和資源充分共享。網絡已經成為社會和經濟發展強大動力,其地位越來越重要。
自沖擊波病毒開始,病毒在局域網瘋狂傳播所造成的強大殺傷力開始讓用戶心驚膽戰,之後計算機病毒更是控制住大量的“僵屍電腦對特定網站或者服務器發動洪水攻擊,進入2006年,在網吧行業影響最嚴重的安全問題變成了ARP和DDos,這些惡意程序不僅巧妙偽裝而且無處不在,更嚴重的是一旦局域網某台計算機感染了病毒,就會造成大量的計算機掉線甚至整個網絡陷入癱瘓,令網吧業主和網吧玩家萬般無奈,在公司企業內部網絡也幾乎存在同樣的問題,而此時傳統的防火牆卻顯得毫無辦法。
局域網---病毒高發區 相信任何一個網管都知道,病毒並不可怕,可怕的是局域網內病毒的傳播。這些病毒不但感染內網中的機器,而且還會向外網(互聯網)蔓延,感染互聯網中的機器,同時網絡帶寬也會被這些病毒大量占用,導致局域網用戶無法正常上網辦公。
如果是在4年前,局域網還是非常安全的,很多公司也習慣了直接在局域網共享各種常用軟件和資料,但是現在為了獲得一些非正當的利益,很多病毒開發者打起了局域網的主意:
先是由於網游的熱火而產生了ARP病毒。這是一種欺騙性質的病毒,雖然它的目的並不是破壞局域網,但為了達到它盜號盜寶的目的,會嚴重影響其它局域網用戶的正常上網活動。所謂ARP攻擊其實就是內網某台主機偽裝成網關,欺騙內網其他主機將所有發往網關的信息發到這台主機上。但是由於此台主機的數據處理轉發能力遠遠低於網關,所以就會導致大量信息堵塞,網速越來越慢,甚至造成網絡癱瘓,而且ARP病毒這樣做的目的就是為了截取用戶的信息,盜取諸如網絡游戲帳號、QQ密碼等用戶信息,因此它不僅會造成局域網堵塞,也會威脅到局域網用戶的信息安全。
防火牆、路由器無法解決內網安全問題 面對日益嚴重的內網攻擊和整網掉線問題,很多路由器和防火牆開發商也在產品中加入了相關技術,例如加入IP-Mac綁定功能可以防止局域網的ARP欺騙,但是這些設備由於以太網工作原理的關系,其實還是無法全面解決內網安全問題。
例如DDos攻擊,雖然路由器和防火牆可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特征,但是它必須在收到這些數據包之後才能對數據包進行分析,而這些數據包在收過來的時候其實就已經占用了LAN口的帶寬資源,由於路由器和防火牆都在局域網的最外端,這樣的網絡結構已經決定了它們無法在攻擊數據包產生的時候就進行封堵,而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連,加上大部分的局域網交換機都是線速轉發的二層交換機,受感染客戶端發送的大量數據包可以很快用完這些帶寬,因此網絡數據傳輸的壓力都加載在路由器的LAN端口,這時候很多正常的請求都無法順利通過LAN口提交過去,因此即使路由器知道哪些是正常的請求也無濟於事。
交換機顯現神奇實力 在大部分網管人員和技術員看來,交換機似乎和網絡安全根本不搭界,在他們的印象中,交換機純粹就是用來拓展上網計算機數量,提供更多的LAN口,似乎它就只是一個只管線速轉發而從來不對數據包進行分析的設備。
確實,要解決局域網的安全問題,交換機就不能再純粹完成轉發工作了事,還需要判斷數封堵一些常見病毒所使用的端口,以及進行端口速率限制。有些讀者會覺得,路由器上面不是也具備這些功能嗎?沒錯,但如前面所說,路由器的這些功能發揮作用已經是在路由器的LAN口接收到數據包之後,而如果這些功能轉移到交換機上,就可以防止這些病毒端口發送的數據包到達路由器,從而減輕路由器的負擔,保證局域網其他用戶的正常上網。
而為了能夠識別各種惡意數據流量,交換機上就必須使用一款智能芯片,使其具備一定的分析處理能力,可以准確的判斷、封堵、限制並記錄ARP攻擊和DDOS攻擊事件,切斷病毒傳播的路徑,一台這樣的安全交換機,應當具有以下特點:
支持基於Ip、Mac、應用的訪問控制列表功能(ACL)
支持常見病毒端口過濾功能
支持基於端口、Ip、Mac、應用的速率限制
支持基於端口、ip、mac、802.1p和應用的優先級控制(QOS)
支持基於mac+ip+vlan+端口的綁定(ARP防御)
支持ARP攻擊和DDOS攻擊事件記錄日志
局域網安全應當受到更多的重視 其實對於網吧和大中型企業網絡來說,關於局域網內部的管理一直是一個非常復雜和讓管理人員頭痛的問題,一個用戶哪怕只是不小心點擊一個惡意網站的鏈接,就會在幾秒鐘之內感染病毒,然後立刻影響到整個局域網的穩定和安全,加上現在惡意網站非常泛濫,病毒傳播手段花樣疊出,局域網安全必須受到廣大網絡管理人員的重視。
網絡正在高速發展當中,網絡安全問題也隨之變化,新的安全形勢對局域網安全提出新的考驗。同時,網絡管理人員也需要及時更新掌握最新的技術,采取適當有效的應對措施,以保障網絡的穩定暢通。
防火牆、路由器無法解決內網安全問題 面對日益嚴重的內網攻擊和整網掉線問題,很多路由器和防火牆開發商也在產品中加入了相關技術,例如加入IP-Mac綁定功能可以防止局域網的ARP欺騙,但是這些設備由於以太網工作原理的關系,其實還是無法全面解決內網安全問題。
例如DDos攻擊,雖然路由器和防火牆可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特征,但是它必須在收到這些數據包之後才能對數據包進行分析,而這些數據包在收過來的時候其實就已經占用了LAN口的帶寬資源,由於路由器和防火牆都在局域網的最外端,這樣的網絡結構已經決定了它們無法在攻擊數據包產生的時候就進行封堵,而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連,加上大部分的局域網交換機都是線速轉發的二層交換機,受感染客戶端發送的大量數據包可以很快用完這些帶寬,因此網絡數據傳輸的壓力都加載在路由器的LAN端口,這時候很多正常的請求都無法順利通過LAN口提交過去,因此即使路由器知道哪些是正常的請求也無濟於事。
交換機顯現神奇實力 在大部分網管人員和技術員看來,交換機似乎和網絡安全根本不搭界,在他們的印象中,交換機純粹就是用來拓展上網計算機數量,提供更多的LAN口,似乎它就只是一個只管線速轉發而從來不對數據包進行分析的設備。
確實,要解決局域網的安全問題,交換機就不能再純粹完成轉發工作了事,還需要判斷數封堵一些常見病毒所使用的端口,以及進行端口速率限制。有些讀者會覺得,路由器上面不是也具備這些功能嗎?沒錯,但如前面所說,路由器的這些功能發揮作用已經是在路由器的LAN口接收到數據包之後,而如果這些功能轉移到交換機上,就可以防止這些病毒端口發送的數據包到達路由器,從而減輕路由器的負擔,保證局域網其他用戶的正常上網。
而為了能夠識別各種惡意數據流量,交換機上就必須使用一款智能芯片,使其具備一定的分析處理能力,可以准確的判斷、封堵、限制並記錄ARP攻擊和DDOS攻擊事件,切斷病毒傳播的路徑,一台這樣的安全交換機,應當具有以下特點:
支持基於Ip、Mac、應用的訪問控制列表功能(ACL)
支持常見病毒端口過濾功能
支持基於端口、Ip、Mac、應用的速率限制
支持基於端口、ip、mac、802.1p和應用的優先級控制(QOS)
支持基於mac+ip+vlan+端口的綁定(ARP防御)
支持ARP攻擊和DDOS攻擊事件記錄日志
局域網安全應當受到更多的重視 其實對於網吧和大中型企業網絡來說,關於局域網內部的管理一直是一個非常復雜和讓管理人員頭痛的問題,一個用戶哪怕只是不小心點擊一個惡意網站的鏈接,就會在幾秒鐘之內感染病毒,然後立刻影響到整個局域網的穩定和安全,加上現在惡意網站非常泛濫,病毒傳播手段花樣疊出,局域網安全必須受到廣大網絡管理人員的重視。
網絡正在高速發展當中,網絡安全問題也隨之變化,新的安全形勢對局域網安全提出新的考驗。同時,網絡管理人員也需要及時更新掌握最新的技術,采取適當有效的應對措施,以保障網絡的穩定暢通。