每当人们说起常青树,都会想到那些不管春夏秋冬,都生长得葱葱郁郁的高大树木。同样在网络领域内,也有这么一些产品,从网络建构的初期一直到现在,都是人们关注的重点,更是网络建构的座上宾。
交换机、路由器的发展已经经历着
从低速往高速,从功能单一到复杂多变的历程。
说到网络,人们最关心什么呢?安全、安全,还是安全!安全的范畴非常广泛,包括防火墙、入侵检测、安全网关、防垃圾邮件、防病毒、UTM 、VPN、隔离产品、安全PC、内网安全管理平台、安全审计等等,因此有人说,安全是网络领域内一个永恒的话题。
春天和煦的暖风终于吹走了冬天的严寒,从2001年纳斯达克崩盘后开始的网络低潮,终于再次迎来了网络的春天。随着互联网的全面复苏,网络业界又掀起久违了的欣欣向荣的景象。目前网络建设和采购的特点,不再是1999年和2000年那样的大规模网络基础架构建设,因为各个运营商都已经把全国性的骨干网络基本建成,各个大学、中学的校园网,公司、工厂的企业网,也大部分完成了网络连通。7年前建设的网络,对应着7年前建设网络时看得到的网络需求,随着这几年来网络应用的迅猛发展,网络与网络安全之间的关系越来越密不可分,网络、安全两手都要抓,两手都要硬的原则已经被奉为黄金法则。
交换机老兵新传
交换机在以太网中的地位,如同一个豪门旺族的主人,一人撑起半边天,是整个家族的顶梁柱。目前以太网交换机在速度方面的提升有目共睹,但是人们的需求也在不断上升,除了对于速度的要求,还对其可靠性、可用性、安全性、管理性能都提出了更高的要求。
万兆力量的崛起以及千兆的普及应用,为视频、音频以及多业务应用的承载开辟了网络高速路,进一步推动了信息化的深入,以万兆领衔的交换机将迎来发展的“黄金时期”。目前,百兆交换机在桌面的应用仍占主流地位,千兆交换机成为网络升级改造的必选,万兆交换机已是部署核心网络不可或缺的利器。
交换机发展趋势
从发展趋势上看,新型交换机将不仅具备嵌入式传统安全功能(如防火墙、IDS/IPS和SSL VPN),而且一些智能安全处理功能,如深度数据包监测。新型交换机还担当着大量应用优化处理功能,如Web加速、服务器负载均衡/缓冲等。
深层数据识别大有作为
交换机采用的深层数据识别技术不但能检查数据包,操纵数据包进行准确传送,而且能检测整个应用数据流,并执行适当的处理功能。而且这类功能是与增强的安全性和应用处理性能联系在一起的。这样一来,交换机将能“知晓”会话数据流的全部内部细节。交换机的功能不仅仅是识别数据包传递的正误,更重要的是数据包序列是否适于整个会话、有无异常,并采取相应措施加以纠正或阻止。
设备管理简单化
对于运营网络和大型企业,由于接入层的交换机数量众多,维护工作量巨大,迫切要求提供统一的管理和维护手段,引入集群管理协议非常必要。集群管理可以通过一个管理IP来维护众多的交换机,并提供设备拓朴发现功能、设备故障和链路故障告警、设备统一配置等多种灵活的网络维护手段,正逐渐发展成为管理网络接入层交换机的主要手段。
用户管理功能更加完善
802.1x认证方式采用特殊的802.1x报文来控制交换机端口的打开和关闭,从而控制网络用户对网络的访问。802.1x认证技术的出现,使网络能够获得更好的用户管理特性,从而为网络实现可运营、可管理奠定了基础。
智能交换机侧重Web配置
企业网络和宽带社区网络需要交换机具有一定的管理功能,但传统网管型交换机价格昂贵,而且使用复杂,很多功能在大部分应用场合都用不上,实际上造成了资源的浪费,徒增成本。通过串口配置的传统智能交换机虽然价格相对便宜,但功能不够丰富,而且任何配置更改都需要网管员带着电脑到交换机安装处进行本地配置,使用非常不便。
新型智能交换机(Web Smart Switch)能很好地解决这个问题。在功能上,它接近于网管型交换机,拥有大部分网管型交换机的常见功能项,而且能通过友好的Web界面便利地对远程交换机进行监控和配置。
交换机在汇聚层开始和核心“万兆”对话
自2002年万兆以太网标准被IEEE正式通过以来,经过两年的发展,万兆已经在网络的核心层确立了其坚实的地位。网络对带宽的需求越来越大,随着网络应用的深入发展, VoIP、视频点播、融合通讯等宽带应用的推广,来自接入层的流量如“百川入海”般涌向汇聚层,汇聚层再形成滚滚洪流上传至核心的万兆设备。当核心层从千兆升级到万兆,核心层不再是问题所在的时候,汇聚层上把来自接入层的流量及时上传至核心层的能力,就成为了影响整个网络性能的关键所在。
高密度千兆服务器汇聚成了日益流行的模式,通过采用基于Intel或Linux的刀片式服务器的“堆叠”系统,存储系统和服务器市场正在发生着巨大的转变。随着这些系统的对外接口标准配置变为千兆,并采用千兆上连,这将需要交换机与交换机之间采用万兆互连,极大推动万兆向汇聚层靠拢。汇聚层交换机采用万兆已经是理所当然的选择。
路由器重任在肩
路由器是互联网中最重要和最普遍的网络互联设备之一。随着网络流量的增长和网络规模的扩大,高端路由器的划分标准也水涨船高,目前,交换能力至少在80Gbps以上的路由器才算进入高端路由器的门槛。简单来说,高端路由器是指大型IP网络的核心位置用于连接骨干链路的设备。高端路由器主要应用于电信运营商网络的核心位置、大型企业网络的核心位置和大型数据中心的出口。
企业级路由器是相对高端而言的。由于企业级路由器通常位于运用商网络的边缘,有时也称为边缘路由器。企业级路由器通常提供多服务包括ATM、IPsec以及基于MPLS的VPN,其最重要的工作是把各种方式接入的用户汇接到网络中。企业级路由器最重要的特点是多服务能力。
企业级路由器提供多服务
企业级路由器担负着企业网络的多种责任,既要发挥它的多协议能力和其它异构网络的路由连接,还要用访问控制策略控制网络内的数据流向,禁止非授权访问。而且,很多企业级路由器还具备了VPN的功能,能在分支机构和企业本部之间架设VPN通道,方便在外移动的员工访问企业网资源。企业路由器还具有备份链路功能,在主链路断开的极端情况下,企业级路由器能自动通过拨号启动备份链路,使得关键业务不至于瘫痪。
对多种网络接口的支持、多种协议的支持是体现企业级路由器自身价值之处。开放标准的协议是设备互连的前提,所支持的协议也意味着设计上的灵活和高效,企业级路由器都能够对多种链路层的协议进行支持,比如PPP、MP、LAPB、X.25、SLIP、HDLC、SDLC等,可以很好地提供广域网的连接。
企业级路由器都提供了一些冗余的功能,保证用户的关键应用不受影响。接口备份最常见的应用是用Modem(PSTN)、ISDN等DDR线路备份串口、E1等专线,这样既可以做到关键链路冗余以提高网络可靠性,又可以充分利用DDR的按需拨号功能节省通信费用。热备份路由协议HSRP运行于具有多播和广播能力的局域网中,它提供了一种在特殊的网络环境下进行无间断服务的机制,主要为那些没有动态发现路由能力的主机提供服务,允许网络在一个路由器失效时,网络中的另一个路由器自动接管失效路由器,从而实现IP路由容错。
随着近年来VPN应用的开展,企业级路由器中带有的VPN功能成为越来越重要的功能,现在企业级路由器产品普遍支持IPSec的VPN,有的还支持L2TP、GRE的VPN功能。
边界安全:“厚”若金汤
对于任意一个网络节点,当享受于与互联网所建立的长期“连系(连接关系)”后,其在网络大洋中的裸露犹如一个刚出生的婴儿,没有任何抵御外犯的能力。网关就象是一个大门,网络内的任意访问或任意连接一旦穿过它,就需要面对外部的众多复杂又危险的安全隐患。
正如在信息安全产品刚刚兴起之时,传统的网络安全设置都会在网关处架构一台防火墙,以至于后来因多种多样的安全需求,又不断地在其上加载更多的安全机制,如VPN、防病毒、反垃圾邮件,甚至于IDS/IPS等等,毕竟在此处的安全防护是所有网络防护中首先要配备的。
防火墙之变
据有关资料显示,2005年第一季度,中国网络安全产品市场中,防火墙和防杀毒软件继续占据主要市场份额,两者合计占总市场接近70%的份额。其中,防火墙市场的销售额为3.25亿元。
在愈加复杂威胁的网络环境下,传统的防火墙由于功能单一,难以抵御。由此,针对单一线程攻击的简单防护已无法满足安全的需要,使用极端狡滑的混合式攻击方式正在颠覆着以往安全机制的定位。加上实际运行中,一次次的升级过程也让人非常烦琐。各种需求都在呼唤一种整合更多功能的一体化、便于维护的网络安全整体解决方案,以全面保障正常的网络运行与维护。
同时由于硬件产品的特殊优势及特性,防火墙类产品的特性自然就聚焦在芯片及硬件平台的实现与选择上。为适应各种安全需要以及产品定位的不同,在2005年国内外陆续有各厂家推出基于NP或加速ASIC的不同网关产品,硬件平台也因此出现了多样发展的趋势,显示出在不同体系结构下的不同优势与特色。
从趋势上来看,当百兆与千兆逐渐被普及后,万兆的防火墙也在零星出现,安全网关硬件的发展需要进一步地提高性能并集成更多的应用,这还有待于硬件和算法的进一步发展。
IPS/IDS之争宠
IDS(入侵检测系统)在安全界已经算一个明星了。然而对于它的评价,业界却一直有着“批判仍坚持”的态度,这一点不但从IDS的市场主导地位还是从其本质的功能实现上来看都可以得到证明。毫无疑问,网络数据包在通过防火墙的审核后,仍然有大量的不安全的数据包不能被阻拦,于是入侵检测作为一个功能机制就有了绝好的生存空间,只是在实际应用中,用户在自己的网络中难以实现预期想要的安全保障,如误报、漏报问题时有发生,当然与IDS本身的设计和实现有关系,然而从技术角度讲,基于特征字段或特征码识别的检测方式、以及协议过滤等实现机制都难以将隐藏很深的数据包得以剔除。更为关键的是,传统的IDS被动式检测的方法以及检测后无法做到阻断的局限性,最终导致了IPS(主动防御系统)的出现。
固然,IDS从一开始就存在这些问题,而IPS想实现的功能也更早就有人提出,直到2005年,当网络中不断增加的应用量逐渐显现出传统IDS的不足时,IPS才得到了更加广泛的市场应用。