安全交换机,筑起网络安全屏障
来源:天极网 更新时间:2012-04-13
 纵观网络产生以来的发展历史,从可管理到智能化,从高性能到多应用,从单一数据传输到语音/图像/多种媒体应用等等,当今网络技术发展的速度和趋势远远超过人们当初的预想。

  网络设备厂商、集成商们更是主动依据用户的不同需求,设计符合用户需要的贴心网络,但不管网络具有什么样的特色,网络的安全始终至关重要,是一个永恒的主题。因为网络安全是信息化应用的重要保障。

  谁来保障网络的安全性

  随着网络技术的发展,国内外的主要网络设备厂商各种针对网络安全的应用解决方案应运而生。从防范外部攻击的防火墙、入侵检测系统IDS,到防范内部攻击的安全交换机的部署,从网络局部防范到网络全局防御,从被动式防范到主动式防御等,无一不是为了更好地保障网络安全。

  STAR-S3550-24G

  据权威机构调查显示,在目前的网络环境中,80%的攻击和越权访问来自于内部,因为在网络内部存在大量和企业事业相关的许多应用,如办公自动化、ERP、多媒体教学、Email服务器、Web服务等,要想从根本上杜绝内部攻击和非法越权,首先必须强化企事业内部网络的安全防范与安全管理,即局域网内部必须使用安全交换机。

  从接入到汇聚以至核心,每一层交换机都必须具备安全机制和防范策略,层层把关,层层控制,确保非法用户无法进入网络,以窃取网络重要信息(如破坏Email服务器,攻击三层网关,造成网络瘫痪,使得网络上的用户都无法收发邮件);控制合法用户合理使用网络资源,避免合法用户无意、有意或恶意攻击网络(如BT恶意下载),防止大量消耗和占有网络带宽资源,堵塞网络出口,使正常的办公教学无法进行。

      根据以上分析可以看出,所有这些策略机制和解决方案中,安全交换机的部署始终是首当其冲,至关重要的,可以说安全交换机是安全解决方案中的命脉。锐捷网络的交换机针对在其网络环境中部署位置的不同,设计和内嵌了不同的安全机制和策略。接入交换机STAR-S2100系列主要是部署在网络的接入层;而STAR-S3550系列和RG-S3750系列交换机主要是部署在网络的汇聚层,能够充分发挥三层网关的作用。

  建立安全门户,严格接入控制

  安全接入交换机STAR-S2100系列起到安全门户的作用,它必须能够阻止非法用户接入网络。STAR-S2100系列交换机能根据网络规模和网络应用的不同,提供不同的安全接入控制策略,如与锐捷网络强大的RG-SAM系统结合的802.1x接入控制,可严格控制接入用户,并保证认证前、认证中、认证上网后的用户始终一致,避免用户在认证后,私自篡改信息如MAC地址、IP地址后,以进行攻击等行为。

  另外STAR-S2100系列具有的端口硬件绑定用户IP地址和MAC地址,多种ACL控制策略,可以根据用户网络环境需要灵活控制用户接入。

  STAR-S2100系列具有的专家级ACL、具有的“应用的深度识别和控制”能力,基于时间的数据流的带宽限速、IGMP组播源端口检查等功能都是通过交换机内部先进交换芯片内部集成的FFP处理模块硬件处理,在实现全线速数据转发的同时,实现如下安全策略功能:

  控制合法用户对网络资源的访问;控制用户通过BT恶意下载占有网络带宽资料;保证重要任务如语音、多媒体应用等优先传输,占有合理带宽资源;控制非法组播源播放非法信息和占有网络带宽资源,有效确保网络合理化运营和使用。

  采用三层转发,有效防范攻击

  在网络中,汇聚层交换机和核心层交换机的作用与接入交换机不同,它们承担了网关和三层路由转发功能的重担。由于IP扫描和DoS攻击对三层交换机的影响和危害严重,常常会使交换机内CPU处理满负荷,造成交换机处理能力下降,甚至瘫痪,用户无法正常上网。

  对此,锐捷网络推出的汇聚交换机STAR-S3550系列和RG-S3750交换机,以及核心路由交换机RG-S6500系列和RG-S6800E系列,均采用了业界领先的交换芯片,其内部采用了先进硬件三层转发机制(最长匹配转发方式)可以有效抗击恶意IP地址扫描。

  同时,交换机内部更是内嵌了安全策略(如内制的防DoS攻击、防IP扫描机制),保证数据包路由转发功能不受IP扫描和攻击的影响。IGMP源端口和源IP检查功能对非法组播源的防范和控制,以及对各种硬件ACL(如专家级ACL、时间ACL等)的访问权限控制,都为网络健壮地运营提供了保证。

  增强关卡控制,实现全局联动

  锐捷网络交换机在提供安全机制的同时,更是考虑交换机本身的安全。

  交换机就是网络中的一个一个关卡,如果关卡自己都遭到攻击乃至瘫痪,那么它们又如何能起到关卡的控制作用呢?

  锐捷网络交换机无论从接入STAR-S2100,到汇聚STAR-S3550、RG-S3750,到核心骨干路由交换机RG-S6500系列和RG-S6800E系列,都支持管理信息的加密传输SSH和SNMPv3,支持Telnet/Web访问交换机的源IP地址控制等,这样一来,不但增强了设备网管的安全性,而且有效避免黑客恶意攻击和控制设备。

  另外特别需要说明的是,为方便网络中交换机安全策略的设置,锐捷网络STAR-S2100系列接入安全交换机还支持安全策略的自动同步下发功能。配合锐捷网络的“GSN全局安全网络解决方案”,实现了在同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用。

  RG-S6810E

  综上所述,交换机的安全策略未来将朝着自动、联动、一体化的方向发展。而在网络边缘,则必须部署接入安全交换机,它们将发挥网络门户的作用,从每一个用户接入网络开始,实现对网络用户行为的控制和限制。