| 出版日期:2003-04-21 总期号:1208 本年期号:27 |
|
 |
构建全网安全核心
李勇 作为全网核心的三层交换机,也逐渐担当起全网安全核心的角色。 它能通过提供基于策略的安全访问控制、网络流量分析和内容交换服务等措施, 以及对专业安全管理软件的支持能力,来保证全网对安全的需求。 网络规模的扩大,促进了三层交换机的大规模应用。通过ASIC技术达到线速交换,三层交换机大幅度提高了设备数据的包转发能力,消除了数据转发瓶颈。同时,它还通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能,有效保证了网络资源的充分利用。作为网络核心设备的三层交换机,自然也逐渐担当起全网安全核心的角色。 三层重在安全应用 用户网络应用水平的提高,是推动三层交换机大规模应用的主要动力之一。随着我国企业网、校园网以及宽带建设的迅速发展,三层交换机的应用已从最初的骨干层、汇聚层一直渗透到边缘的接入层。用户已经不再满足于交换机的基本功能,即将输入输出端口连接起来而实现业务流的转发。如今,三层交换机除路由、交换功能以外,被越来越多地赋予了更为丰富的功能。 尤其是随着网络规模的迅速扩展和网络应用的不断增多,网络必须加强对访问者的控制,限制非法用户的通信,从而保证整个网络的安全。例如,校园网中对设备的安全管理、驻地网对安全接入的要求、企业网络中各个业务之间的隔离等。然而普通交换机不能有效地隔离网络中各网点之间的数据传输、控制用户的访问权限,使用户局域网的安全遭到威胁。三层交换机则能通过各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制,提高了网络的安全性,并有效地抑制了广播风暴的产生。除此之外,作为网络核心的三层交换机,还能通过提供基于策略的安全访问控制、网络流量分析和内容交换服务等措施,以及对专业安全管理软件的支持能力,来保证全网的安全。 安全源自各个层面 网络基础设施的安全,主要体现在系统安全性和接入安全两个方面。在系统安全性方面,在网络由核心到边缘的整体架构中实现了安全机制,主要包括安全的网络管理,即通过特定技术对网络管理信息进行加密、控制。如果网管信息在传输途中被有意无意窃听、破坏、篡改,那会对整体网络乃至企业运营带来不可预计的损失。目前,包括思科、华为、港湾网络、神州数码、清华同方、Extreme、D-Link、凯创等企业,通过适当的技术对网络全程的网管信息进行改进、加密等,建立起了牢固的安全网络系统。在全网系统的安全交换方面,实现了对各交换子网进行扩展树根段保护、从核心到边缘交换实行多层次多手段的ACL、在核心层加载入侵检测、网段间防火墙、企业网内VPN等多种方式。 而在接入安全性方面,各类型终端应用在接入交换系统时的安全接入机制主要包括:802.1x接入验证、RADIUS/TACACS+支持、MAC地址检验、各类型虚网技术,如端口隔离用专用虚网、802.1q、动态虚网等等。 作为网络核心设备的三层交换机,它的安全还体现在其他方面,如防黑客攻击的防火墙。市场上的多数交换机还加强了安全硬件,这对于像金融等要害部门非常重要。另外,冗余能力也是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。所以,在硬件上要考虑冗余能力:是否有重要的冗余元件,如后备电源、管理模块、冗余端口等,这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。 注重网络全局安全 要建立一个全面系统的网络安全体系,网络的基础架构必须是以三层交换和路由为核心的智能型网络,并在此基础上,提供完善的三层以上的安全策略管理工具,提供对专业的安全管理软件的支持的能力。 思科认为,企业为满足业务发展的需求,已经将网络建设重点转移到如何改进现有网络的性能、可靠性和运行效果上。因此,集成多种服务、易于升级、扩展的产品技术是企业构建网络、优化网络时的首选。交换机尤其是三层交换机,不能只是专注于实现数据转发的基本功能,而是要更多地针对目前用户的需求,满足企业不断丰富的网络应用,集成高级安全服务、网络流量分析和内容交换等智能服务。 Extreme Networks认为,只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置,并安装专门的DoS识别和预防工具,才能最大限度地减少DoS攻击所造成的损失。 Enterasys的解决方案则采用广泛的流量过滤和多层访问控制列表机制,以及集成防火墙等措施,使所服务的内部和外部用户实现安全访问。这既可防止未授权的访问,还可以降低由于外部网络攻击或内部对于服务器和网络资源的错误使用所造成的损失。更重要的是,它可以使IT管理者们对设备、协议甚至是应用进行鉴别,确定哪些内容需要被限制或控制。 实达网络的三层交换机通过与实达锐捷SAM安全计费管理系列相配合,实现用户账号、MAC地址、IP地址、VLAN、交换端口、交换机IP地址六大元素之间的任意绑定,解决网络中IP地址冲突、用户账号盗用等问题,并提供强大而灵活的用户身份认证功能。同时,还可通过访问控制列表提供更高的数据安全性。 紫光比威的三层交换机则根据用户的MAC地址、VLAN ID和IP地址的动态绑定保障了用户身份的合法登录;根据设定不同的用户权限实现对用户访问资源的合理控制;采用关键部件冗余备份的方式提高了系统的可靠性,高效和完善的用户上网日志管理功能更可以为网络的安全提供必要的保障。 安全与性能并重 从一个中等规模的校园网到企业的骨干网、城域网骨干、汇聚层都可使用三层交换机。选型时要注意: 性能稳定。三层交换机多用于骨干和汇聚层,在网络中地位很重要,如果其性能不稳定则会产生很大破坏力。所以只有性能稳定的三层交换机才能保证用户网络的不间断运行。这可以通过测试吞吐量、延迟、丢帧率、背对背功能、地址表深度、线端阻塞、多对一功能等多项指标得出结论。其中背对背交换能力直接影响到整体包转发和数据流处理能力。 安全可靠,包括软件和硬件两方面。作为网络核心设备的三层交换机自然是黑客攻击的重点。所以应配备防火墙,尤其对一些要害部门更是如此。在硬件上要考虑冗余能力,这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。对宽带运营商的三层交换机,还应支持一些特殊的协议如802.1x等,以实现认证。 功能齐全。组播、QoS、端口干路、802.1d跨越树,以及是否支持RIP、OSPF协议等路由协议,对三层交换机来说是十分重要的。 易于扩展。产品不但要满足现有需求,还应满足未来一段时间内的需求,从而给用户一个增值空间,为将来网络扩展提供保障。 |
||||||||||||||||||||||||||||
