陈先生找过去一看,吓一跳。所谓的“安全交换机”和自己所提供的交换机在性能、功能上是一摸一样,只是将802.1x认证和虚拟局域网VLAN这两功能单独提炼出来,强调是“安全交换机”。
“交换机在几年前就有认证和VLAN这些基本功能了,但人们并没有把它拿出来说是安全。”陈先生说,“我以为用户应该很明白,就没有去强调,没想到差点丢单。”在做了4、5年网络集成的陈先生看来,交换机至少应该是集成了重要安全产品特性(例如防火墙,VPN)才能算得上安全交换机。
负责思科系统公司数据中心、交换和安全技术业务的高级副总裁Jayshree Ullal女士认为,“孤立”的安全服务不存在,安全正在发展成为为一种嵌入式的网络服务,而思科正在将数据安全以
服务器为中心的模式扩展为以网络为中心的保护模式,提出了“数据中心网络化应用”(Datacenter Networked Appli
cations, DNA)。
因此,保障安全永续的业务运行,所需要的是整合的网络安全解决方案,通过丰富的安全产品线和众多融合了安全功能的网络设备,进行关联与防御控制,来提高威胁防御的智能水平,以确保应用安全和数据安全,也就是“自防御网络”。
华为3Com高级产品经理赵晓轩认为,安全是一个非常复杂的概念,狭义的安全包括VPN,防火墙,IDS;而广义的安全则比较泛,如果大家都往这上面套的话,安全交换机就是一个很虚的没有实际意义的概念。
首先,在交换机这个层面上来看,低端产品根本做不到融合防火墙和VPN的等安全功能,高端交换机虽然依靠其自身体系结构的优势,可以通过模块,来叠加安全功能,但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲,国内一些厂商所叫嚷的安全交换机,大部分来得比较牵强。
其次,安全交换机单独作为一个产品概念来营销,未必真的有效。成熟的高端用户往往很清楚,网络安全是一个整体安全的概念,而不可能仅仅依靠设备安全来保证安全,他们需要的是一个端对端的安全解决方案,这个方案包括了VPN,防火墙,甚至杀毒软件,而包括交换机在内的网络设备和这些软件之间要能做到安全联动。
向中小企业用户来推广使用增加了真正安全功能的高端交换机,难度更大。一方面,这些用户本身对于高端交换机需求量不大,性价比是其购买设备的重要驱动力,更何况增加了安全功能的交换机,价格肯定要上去;另一方面,网络设备在低端市场上是一个各司其职的概念,如果要融入安全基因,就会尽量以一种低成本的方式融入。
“交换机和一些低端的网络安全设备已经便宜。” 赵晓轩说,“用户不可能为了一个看上去时髦和先进的模糊概念,放弃具有明显的性价比优势的网络安全解决方案。”
“安全”潜台词
“交换机需要具有安全性。”锐捷网络高级产品经理罗自灵的看法得到了思科、
华为3Com、神码网络等主流厂商的技术同仁们的认同。普遍的看法认为,交换机的安全性可以分为三个层次:
其一,是交换机自身的安全。交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能。而交换机最基本的安全功能就是,在黑客攻击和病毒侵扰下,能够继续保持其高效的数据转发速率,不受到攻击的干扰。
其二,是能和别的设备之间能产生安全联动,当出现紧急情况时,和别的安全产品和网络产品一起实现动态防御,例如,当入侵检测发现情况异常后,马上通知防火墙;防火墙在隔离的同时,通知交换机准备
随时切掉病毒;交换机在切病毒的同时通知路由器作好防护准备。
其三,在交换机中通过集成了各种安全功能,如防火墙、VPN等,对非授权访问和网络攻击进行监控和阻止,甚至部分替代网络中防火墙、VPN等安全产品的功能。
华为3Com高级产品经理赵晓轩认为,交换机的本质是交换而非安全,交换机的性能是高速交换,而安全只是其追加功能。性能与功能本身就是一个矛盾体,交换机的安全功能越多越强大,势必影响到其速度。
“当交换机的性能已经达到用户认为比较满意的速度时,大家才会逐步把智能与安全的基因融合做上去。” 赵晓轩说,因此,安全交换机是一个动态的概念,没有定义的标准,目前看来,是各厂商为了在竞争白热化的交换机市场保住市场份额的产物。
一方面,到2003年中国网络设备市场出现了重新洗牌现象,其市场竞争非常"惨烈",利润已经摊薄,竞争已经到了白热化的地步,寻找新市场、发现新的利润源成为厂商新的经营目标。
早在2001年下半年,中低端交换机市场出现了产能过剩的情况,当时仅珠江三角洲就活跃了300多家厂商,产品已经类似PC和家电 ,对于这些厂商来讲,他们没有技术和资金实力向高端挺进。到2003年,在大部分交换机厂商规模并未扩大的情况下,中低端交换机的价格出现大幅下跌,在中关村海龙大厦的某些柜台上,低端交换机赫然甚至标出200多元。
一些曾经发展迅猛的设备厂商突然销声匿迹,因为面目相似的所谓新产品,无法给市场以强有力的刺激,例如以“大猫”起家的全向科技,
联想投资参股的记忆网络等;还有一些设备厂商或者“换牌”经营或变得非常低调,如LANTECH网络,TCL网络,清华比威 等。
随着信息化的推进,中国企业用户对于网络的需求已经从建网的假性需求上升到了和业务息息相关的真性应用,对实用性和可靠性的要求很高,即使是边缘层的产品,也要考虑数据不能中断。“安全可靠”成为网络产品的基本需求。
另一方面,随着互联网应用的推进,安全问题也越演越烈,出现三个趋势:计算机病毒与网络黑客结合,使得病毒渗入计算机,由内向外爆发,计算机即使装了防毒软件,也杀不掉所有的病毒;而广泛蔓延的病毒都是与操作系统平台紧密结合的,没有国界之分;随着软件和硬件的界限变得越来越模糊,在安全领域,黑客、病毒将会越来越转向硬件。
伴随着这些趋势,全球出现了一股网络基础设备和安全设备融合的潮流:如Juniper 以40亿美元收购NetScreen,以"安全、可靠和性能"的名义联手;思科则在5个月内,先后收购安全软件公司P
sionic、Okena,一次性推出14个安全产品,提出"端到端安全解决方案",将包括防火墙、IDS、防病毒、3A、网络管理、路由器二层三层等安全技术在内的一揽子方案给用户。华为3Com, 2003年7月推出i3SAFE安全构架;港湾,2003年推出"交换机+IDS"方案;锐捷网络推出了联动式安全管理解决方案。
“跟风是网络设备企业的传统。” 网络集成商陈先生说,“既然主流厂商们高举安全的大旗,那大伙儿也会以‘安全’的名义搞搞市场,至于‘安全交换机’的说法是什么倒并不重要。”-
攻打“安全”的阵地?
对于那些集成了防火墙、VPN等真正安全产品功能的交换机,在未来是否会吞噬安全产品的市场呢?华为3Com赵晓轩、锐捷网络的罗自灵、网络集成商陈先生认为不太可能。
“具有防火墙功能的安全交换机要替代防火墙就是一件难事。” 罗自灵说,“因为不同的用户在构建网络的时候,考虑到安全的着眼点不同。”
陈先生则坦承,在中小企业网络搭建过程中,他们更趋向建议用户分开用,交换机是交换机,防火墙是防火墙,分开以后,更好布署,同时性能会更好;对一些大点的企业,则建议分步实施防火墙、安全交换机,然后再根据要求不断的往上加。
“通俗地说,就是让对价格不那么敏感且未来对安全需求比较高的的客户购买可以拓展安全功能的交换机,需要时可以升级。” 陈先生解释,以便日后可以布署后台的一个安全保障系统,跟网络里面的相关设备能够进行安全联动 。
赵晓轩认为,从目前来看,具有防火墙和VPN功能的安全交换机不能取代防火墙。原因有两个方面:
其一,所放的位置不同,所起的安全左右也不一样。防火墙主要是放在网络接入层,来防止外来攻击;而带有防火墙功能的交换机则往往在网络的核心处,而不是在汇聚层和接入层面,其目的是通过核心的智能来提高安全性。(有专家曾指出电话网之所以安全是其结构为“傻瓜终端+智能核心”,而互联网则正好相反,是“智能终端+傻瓜核心”的结构,所以安全事件层出不穷)
其二,在一个网络安全解决方案中,选择在交换机中插入安全模块,还是外置安全产品,取决于用户自身的选择。
从用户的售后服务的角度来讲,安全产品越买越多,管理起来
非常不方便,如果能直接把安全产品直接融入在网络上的话 ,管理简单方便,安全交换机看上去很美。但事实上,如果一家企业能做出带有防火墙功能的核心交换机,他往往也能提供防火墙供用户选择。
在管理者为同一家厂商的情况下,用户考虑得更多的为性能价格比。他们希望在购买网络产品的同时获得一些免费的安全产品或安全功能。对于用户的这种需求,各厂商的主导的思路是不同的,华为3Com在低端产品上是增加端口的控制,策略比较简单;在65和 85等中高端交换机上,则从可扩容上去考虑,当用户需要交换机具备防火墙等功能时,再为其追加。
天融信董事长贺卫东则认为,虽然带有安全功能的交换机产品不可能吞噬安全产品的市场,在网络与安全的融合的潮流下,纯粹的安全设备厂商将会受到网络设备厂商比较大的冲击。
随着安全的矛盾越来越集中在应用层面, 未来有两类公司在网络安全业中可能控制话语权。一是以基础体系为核心,从管理到安全设备,都与通信相关,或者是将安全融合到网络通信当中去去的公司;二是以服务于应用系统为核心的专项安全技术公司,不过当它达到一定规模后,将卖给应用系统公司或者通讯网络公司,或独立发展成综合性以应用层为核心的专业性安全公司。
链接一:交换机的安全含义
交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。