揭穿安全交换机“神话” 专家解密发展趋势
来源:计世网 更新时间:2008-03-11

   
 
计世网 当中关村里经销商在推销交换机时,不约而同地加上“安全”一词做修饰语时,却鲜有人能回答几个基本问题:什么样的交换机是安全交换机?交换机“安全”背后的潜台词是什么?它的安全功能
可以取代安全产品吗?安全交换机的未来走向怎样?看来,一些交换机厂商们集体上演了两三年的产品“安全”秀,有些粗糙与匆忙......
                 
   做网络集成的陈先生在2005年的一次招标中碰到一件闹心事,在一个中型网络构建的项目就要签署的时候,被该用户的一位领导喊暂缓。
 
   原因据说是,与之竞争的另一家集成商的销售找到用户的这位领导,许诺在同样的价格下,将提供安全交换机。
 
   陈先生找过去一看,吓一跳。所谓的“安全交换机”和自己所提供的交换机在性能、功能上是一摸一样,只是将802.1x认证和虚拟局域网VLAN这两功能单独提炼出来,强调是“安全交换机”。
 
  “交换机在几年前就有认证和VLAN这些基本功能了,但人们并没有把它拿出来说是安全。”陈先生说,“我以为用户应该很明白,就没有去强调,没想到差点丢单。”在做了4、5年网络集成的陈先生看来,交换机至少应该是集成了重要安全产品特性(例如防火墙,VPN)才能算得上安全交换机。
 
究竟什么样的交换机可称作安全交换机?其“安全”背后的潜台词是什么?它可以取代安全产品吗?“安全交换机”的未来走向怎样?
 
概念模糊不清
 
记者在采访中发现,主流厂商的技术人员对安全交换机被一些厂商和媒体追捧为网络热点产品持保留态度。
 
 “安全交换机是一个不准确的概念。” 一位思科工程师说,对于用户来讲,需要的是一个安全的可靠网络,这个网络能够提供高质量的支持数据、语音和视频服务。
 
在他看来,具备安全功能的交换机只是整合的网络安全方案中的一个设备而已,不同厂商的不同类型的交换机中集成的安全功能各有不同,而思科也从未明确定义过何为安全交换机。
负责思科系统公司数据中心、交换和安全技术业务的高级副总裁Jayshree Ullal女士认为,“孤立”的安全服务不存在,安全正在发展成为为一种嵌入式的网络服务,而思科正在将数据安全以
服务器为中心的模式扩展为以网络为中心的保护模式,提出了“数据中心网络化应用”(Datacenter Networked Applications, DNA)。
 
因此,保障安全永续的业务运行,所需要的是整合的网络安全解决方案,通过丰富的安全产品线和众多融合了安全功能的网络设备,进行关联与防御控制,来提高威胁防御的智能水平,以确保应用安全和数据安全,也就是“自防御网络”。
 
华为3Com高级产品经理赵晓轩认为,安全是一个非常复杂的概念,狭义的安全包括VPN,防火墙,IDS;而广义的安全则比较泛,如果大家都往这上面套的话,安全交换机就是一个很虚的没有实际意义的概念。
 
首先,在交换机这个层面上来看,低端产品根本做不到融合防火墙和VPN的等安全功能,高端交换机虽然依靠其自身体系结构的优势,可以通过模块,来叠加安全功能,但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲,国内一些厂商所叫嚷的安全交换机,大部分来得比较牵强。
 
 其次,安全交换机单独作为一个产品概念来营销,未必真的有效。成熟的高端用户往往很清楚,网络安全是一个整体安全的概念,而不可能仅仅依靠设备安全来保证安全,他们需要的是一个端对端的安全解决方案,这个方案包括了VPN,防火墙,甚至杀毒软件,而包括交换机在内的网络设备和这些软件之间要能做到安全联动。
 
向中小企业用户来推广使用增加了真正安全功能的高端交换机,难度更大。一方面,这些用户本身对于高端交换机需求量不大,性价比是其购买设备的重要驱动力,更何况增加了安全功能的交换机,价格肯定要上去;另一方面,网络设备在低端市场上是一个各司其职的概念,如果要融入安全基因,就会尽量以一种低成本的方式融入。
 
“交换机和一些低端的网络安全设备已经便宜。” 赵晓轩说,“用户不可能为了一个看上去时髦和先进的模糊概念,放弃具有明显的性价比优势的网络安全解决方案。”
 
“安全”潜台词
 
“交换机需要具有安全性。”锐捷网络高级产品经理罗自灵的看法得到了思科、华为3Com、神码网络等主流厂商的技术同仁们的认同。普遍的看法认为,交换机的安全性可以分为三个层次:
 
其一,是交换机自身的安全。交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能。而交换机最基本的安全功能就是,在黑客攻击和病毒侵扰下,能够继续保持其高效的数据转发速率,不受到攻击的干扰。
 
其二,是能和别的设备之间能产生安全联动,当出现紧急情况时,和别的安全产品和网络产品一起实现动态防御,例如,当入侵检测发现情况异常后,马上通知防火墙;防火墙在隔离的同时,通知交换机准备
随时切掉病毒;交换机在切病毒的同时通知路由器作好防护准备。
 
其三,在交换机中通过集成了各种安全功能,如防火墙、VPN等,对非授权访问和网络攻击进行监控和阻止,甚至部分替代网络中防火墙、VPN等安全产品的功能。
 
华为3Com高级产品经理赵晓轩认为,交换机的本质是交换而非安全,交换机的性能是高速交换,而安全只是其追加功能。性能与功能本身就是一个矛盾体,交换机的安全功能越多越强大,势必影响到其速度。
 
“当交换机的性能已经达到用户认为比较满意的速度时,大家才会逐步把智能与安全的基因融合做上去。” 赵晓轩说,因此,安全交换机是一个动态的概念,没有定义的标准,目前看来,是各厂商为了在竞争白热化的交换机市场保住市场份额的产物。
 
一方面,到2003年中国网络设备市场出现了重新洗牌现象,其市场竞争非常"惨烈",利润已经摊薄,竞争已经到了白热化的地步,寻找新市场、发现新的利润源成为厂商新的经营目标。
 
早在2001年下半年,中低端交换机市场出现了产能过剩的情况,当时仅珠江三角洲就活跃了300多家厂商,产品已经类似PC和家电 ,对于这些厂商来讲,他们没有技术和资金实力向高端挺进。到2003年,在大部分交换机厂商规模并未扩大的情况下,中低端交换机的价格出现大幅下跌,在中关村海龙大厦的某些柜台上,低端交换机赫然甚至标出200多元。
 
一些曾经发展迅猛的设备厂商突然销声匿迹,因为面目相似的所谓新产品,无法给市场以强有力的刺激,例如以“大猫”起家的全向科技,联想投资参股的记忆网络等;还有一些设备厂商或者“换牌”经营或变得非常低调,如LANTECH网络,TCL网络,清华比威 等。
 
随着信息化的推进,中国企业用户对于网络的需求已经从建网的假性需求上升到了和业务息息相关的真性应用,对实用性和可靠性的要求很高,即使是边缘层的产品,也要考虑数据不能中断。“安全可靠”成为网络产品的基本需求。
 
另一方面,随着互联网应用的推进,安全问题也越演越烈,出现三个趋势:计算机病毒与网络黑客结合,使得病毒渗入计算机,由内向外爆发,计算机即使装了防毒软件,也杀不掉所有的病毒;而广泛蔓延的病毒都是与操作系统平台紧密结合的,没有国界之分;随着软件和硬件的界限变得越来越模糊,在安全领域,黑客、病毒将会越来越转向硬件。
伴随着这些趋势,全球出现了一股网络基础设备和安全设备融合的潮流:如Juniper 以40亿美元收购NetScreen,以"安全、可靠和性能"的名义联手;思科则在5个月内,先后收购安全软件公司P
sionic、Okena,一次性推出14个安全产品,提出"端到端安全解决方案",将包括防火墙、IDS、防病毒、3A、网络管理、路由器二层三层等安全技术在内的一揽子方案给用户。华为3Com, 2003年7月推出i3SAFE安全构架;港湾,2003年推出"交换机+IDS"方案;锐捷网络推出了联动式安全管理解决方案。
“跟风是网络设备企业的传统。” 网络集成商陈先生说,“既然主流厂商们高举安全的大旗,那大伙儿也会以‘安全’的名义搞搞市场,至于‘安全交换机’的说法是什么倒并不重要。”-  
 
攻打“安全”的阵地?
 
    对于那些集成了防火墙、VPN等真正安全产品功能的交换机,在未来是否会吞噬安全产品的市场呢?华为3Com赵晓轩、锐捷网络的罗自灵、网络集成商陈先生认为不太可能。
 
 “具有防火墙功能的安全交换机要替代防火墙就是一件难事。” 罗自灵说,“因为不同的用户在构建网络的时候,考虑到安全的着眼点不同。”
 
陈先生则坦承,在中小企业网络搭建过程中,他们更趋向建议用户分开用,交换机是交换机,防火墙是防火墙,分开以后,更好布署,同时性能会更好;对一些大点的企业,则建议分步实施防火墙、安全交换机,然后再根据要求不断的往上加。
 
“通俗地说,就是让对价格不那么敏感且未来对安全需求比较高的的客户购买可以拓展安全功能的交换机,需要时可以升级。” 陈先生解释,以便日后可以布署后台的一个安全保障系统,跟网络里面的相关设备能够进行安全联动 。
 
   赵晓轩认为,从目前来看,具有防火墙和VPN功能的安全交换机不能取代防火墙。原因有两个方面:
 
    其一,所放的位置不同,所起的安全左右也不一样。防火墙主要是放在网络接入层,来防止外来攻击;而带有防火墙功能的交换机则往往在网络的核心处,而不是在汇聚层和接入层面,其目的是通过核心的智能来提高安全性。(有专家曾指出电话网之所以安全是其结构为“傻瓜终端+智能核心”,而互联网则正好相反,是“智能终端+傻瓜核心”的结构,所以安全事件层出不穷)
 
其二,在一个网络安全解决方案中,选择在交换机中插入安全模块,还是外置安全产品,取决于用户自身的选择。
 
从用户的售后服务的角度来讲,安全产品越买越多,管理起来
非常不方便,如果能直接把安全产品直接融入在网络上的话 ,管理简单方便,安全交换机看上去很美。但事实上,如果一家企业能做出带有防火墙功能的核心交换机,他往往也能提供防火墙供用户选择。
 
在管理者为同一家厂商的情况下,用户考虑得更多的为性能价格比。他们希望在购买网络产品的同时获得一些免费的安全产品或安全功能。对于用户的这种需求,各厂商的主导的思路是不同的,华为3Com在低端产品上是增加端口的控制,策略比较简单;在65和 85等中高端交换机上,则从可扩容上去考虑,当用户需要交换机具备防火墙等功能时,再为其追加。
 
    天融信董事长贺卫东则认为,虽然带有安全功能的交换机产品不可能吞噬安全产品的市场,在网络与安全的融合的潮流下,纯粹的安全设备厂商将会受到网络设备厂商比较大的冲击。
 
   随着安全的矛盾越来越集中在应用层面, 未来有两类公司在网络安全业中可能控制话语权。一是以基础体系为核心,从管理到安全设备,都与通信相关,或者是将安全融合到网络通信当中去去的公司;二是以服务于应用系统为核心的专项安全技术公司,不过当它达到一定规模后,将卖给应用系统公司或者通讯网络公司,或独立发展成综合性以应用层为核心的专业性安全公司。   
 
链接一:交换机的安全含义
  
 交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
 
目前交换机的安全功能包括:一、802.1x加强安全认证,   802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的
访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 二、流量控制,交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用,能够实现对异常流量的控制,避免网络堵塞。三、防DDoS,采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。四、虚拟局域网VLAN,可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。五、基于访问控制列表的防火墙功能,用访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。六、入侵检测IDS,可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作;七、设备冗余,发生故障时能迅速切换到一个好设备上,后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
 
链接二:网络安全产品的七大趋势

     信息安全专家曲成义认为,目前整个安全产品、技术或者解决方案正呈现七大重要趋势:
 
其一,安全产品出现集成化能力,也就是把多种安全功能集成在同一产品上。例如很多防火墙集成VPN;安全性能功能有很大的发展,例如过去防火墙支持百兆,现在上千兆。
 
其二,动态防御思想进展很快,基于这一思想配套的技术产品发展很快。例如提前预警的入侵检测过去放在主机终端,现在则放在网络环境下;不单检测病毒,还看大面积流量的变化,为下一步可能发生的问题提前预警。
 
其三,把各个安全产品进行信息共享和业务联动来提高强度,就是搞集成安全管理平台。当入侵检测发现情况异常后,马上通知防火墙;防火墙在隔离的同时,通知交换机准备随时切掉病毒;交换机在切病毒的同时通知路由器作好防护准备。
 
   其四,由于信息安全事件70%往往是内部操作或内外勾结,而传统的防火墙、入侵检测,杀病毒对防内没用,信息安全从防外部的同时更重视系统的内控机制,特别是对用户的源头端控制,如何防止个人计算机违规操作,如非法联结,违规转储,越级访问等。
 
其五,纵深防御概念正在深入人心,这是信息化推进的必然结果。一方面,从互联网的角度来讲,安全是一步步深入的,内网安全,外网安全,互联网安全;另一方面,网络又是一个面向业务的实体,不同层面的业务,有不同的安全要求。
 
其六,内容安全技术不再局限于传统的关键字过滤,而是走向多样化。由于计算机理解内容的好坏比人要难,它对关键词上下文的语义缺乏了解,眼下通过依靠“行为识别”的技术,可以智能在线识别针网络上各种恶意攻击、病毒攻击、垃圾攻击,从而保证内容的安全。此外,针对图象、视频和语音等方面的内容安全技术也正在兴起之中。
 
其七,可信计算将成为未来潮流。