淺析安全交換機的功能及發展前景

摘 要:隨著網絡技術不斷發展，也出現了不少的網絡安全問題，如病毒、黑客與多種多樣的危險漏洞，這會造成企業與個人的經濟損失。因此，安全交換機的出現適應了這一需求。本文作者分析了安全交換機的功能，展望了其發展前景。

關鍵詞:網絡安全問題安全交換機功能發展前景

中圖分類號:TP393文獻標識碼:A文章編號:1674-198X(2011)09(c)-0117-01

在各企業網絡中，交換機起著非常重要的作用，可以稱得上是整個網絡的核心。然而隨著網絡技術的不斷發展，各種網絡安全問題也越來越嚴重，如黑客不斷入侵、病毒猖狂肆虐，而交換機在網絡安全管理上毋庸置疑的有著重要的責任。所以，交換機應具有專業與高效的安全性能，保證整個網絡的安全。而安全交換機的出現正適應需求。安全交換機集多項功能于一體，如安全認證、入侵檢測、防火墻、ACL，更有防毒的功效，對網絡安全進行全方位的檢測與保護。

1 安全交換機含義解讀

轉發數據是交換機尤為重要的作用，而交換機應具備的最基本的安全功能即在黑客入侵與病毒肆虐的網絡環境下，交換機的數據轉發速率仍舊保持高效水平，且不受攻擊的影響。

其次，交換機應能夠區分訪問與存取網絡信息的用戶，并對其權限控制。最重要的一點，交換機還應與相關網絡安全設備相配合，及時監控與阻止非授權的訪問與網絡的攻擊。

2 安全交換機的功能分析

2.1 入侵檢測IDS

安全交換機具有入侵檢測的功能，其IDS功能的檢測主要以數據流內容與上報信息為根據，一旦檢測到網絡安全事件，則對其實行針對性操作，同時把反應安全事件的動作傳送到交換機上，通過交換機來完成精準的端口斷開操作。這種聯動的實現，需依托交換機的多項功能，如認證支持、端口鏡像、分類強制流等。

2.2 以訪問控制列表為基礎的防火墻功能

安全交換機通過運用訪問控制列表ACL來完成包過濾防火墻的安全功能，提高安全防御能力。過去，訪問控制列表僅使用于核心路由器。而如今，通過對安全交換機的使用，訪問控制過濾手段的實現以源/目標VLAN、端口、源/目標IP、MAC地址、TCP/UDP端口等為基礎。

ACL不僅能夠使網絡策略的制定者為網絡管理者，控制個別用戶或設定的數據流允許或拒絕的訪問權限，也能夠對網絡的安全屏蔽進行加強作用，防止黑客尋獲網絡中的特定主機并發動攻擊。

2.3 有效控制流量

在安全交換機中，其流量控制功能指限制流經端口的異常流量，使其保持在相應的范圍內，防止無限制地濫用交換機帶寬。通過流量控制可以達到控制異常流量的目的，以免出現網絡堵塞的現象。

2.4 802.1x增強安全認證

基于端口的訪問控制協的簡稱即為802.1x協議，與IEEE 802協議集的局域網接入控制協議相符合。802.1x通過認證與授權與局域網連接的用戶，實現接入合法用戶，保障全網安全。

其工作原理:802.1x對交換LAN架構的物理性進行利用，從而完成LAN端口上認證設備。LAN端口在認證中扮演著兩個角色--認證者與請求者。作為前者，用戶需利用LAN端口接入有關服務前，該端口先對其認證，若認證失敗就拒絕接入;作為后者，LAN端口的職責即將接入的服務申請提交給認證服務器。基于端口的MAC鎖定數據發送者僅為信任的MAC地址。自動丟棄“不信任”設備的數據流，最大限度地保證其安全性。

2.5 虛擬局域網VLAN

安全交換機不可忽缺的一項功能即為虛擬局域網。VLAN能夠使有限的廣播域在二層或三層交換機上得到實現，將網絡劃分為單獨的區域，同時對其控制，檢測此類區域是否能夠通訊。VLAN可在諸如IP地址、端口、MAC地址等不同形式上產生。VLAN對每個VLAN間的非授權訪問有限制作用，并能夠設定MAC/IP地址綁定，對用戶的非授權網絡訪問進行有效限制。

2.6 防DDoS

在實踐中，我們可以看到若工作網出現大量分布式拒絕服務攻擊時，那么會給用戶的正常網絡使用帶來極大的影響，甚至導致網絡癱瘓，這不利于正常工作的開展。而安全交換機應用專門的技術對DDoS攻擊進行防御，并在不影響正常工作的前提下，對惡意流量進行智能檢測與阻止，從而避免DDoS對網絡的攻擊威脅。

由上述我們可以看到安全交換機的功能是多方面的，值得我們推廣與應用，那么我們如何將其應用到所需環境中呢。

3 安全交換機的應用

3.1 安全交換機的應用

一方面，在網絡的核心配備安全交換機，如思科Catalyst 6500。這樣能夠在核心交換機上對安全策略進行統一配置，以便集中控制，使網絡管理的監控與調整更為便利。且核心交換機的能力強，安全性能高，促進安全工作的快速開展。

其次，在網絡的匯聚層或接入層中放入安全交換機。即核心將權力于邊緣下放，在不同邊緣執行安全交換機的性能，將入侵與攻擊及可疑流量限制邊緣外，保證網絡的安全。此外，有些安全交換機也需其設備的支持。如Radius幫助PPPoE認證。

3.2 安全交換機的升級

由于市場上安全交換機不斷更新換代，那么怎樣保證老交換機如的安全？通常，若為模塊化的交換機，常見的解決方法一般將新的安全模塊插入在老的模塊化交換機上，如思科Catalyst 6500帶有的安全模塊有入侵檢測IDS模塊、防火墻模塊等;神州數碼的6610交換機有PPPoE的認證模塊的配備。若為固定式的交換機，則需利用升級固件firmware的方法進行新安全功能的植入。

4 安全交換機的發展前景

隨著科學技術的不斷發展與更新，用戶安全意識的逐步提高，對網絡環境的要求也愈來愈高，各類網絡安全設施的需求也逐步上升，尤其是極具安全功能的交換機。實際上，在交換機的安全方面進行一定的投資，可以提高整個網絡的健壯性與安全性，這也是物有所值的。尤其是不少行業用戶，他們在網絡需求方面不僅僅是簡單的連通。比如證券、金融及大型企業，一旦遭遇大規模網絡病毒的入侵，其導致的經濟損失遠遠大于額外投資于安全交換機的花費。因而，安全交換機在不少企業中得到應用，其發展前景是廣闊的。

5 結語

總之，在病毒，黑客不斷入侵的網絡環境中，我們需要更具有安全功能的交換機來保證網絡的健康性，使得安全交換機應運而生。企業經營者應對其功能與發展前景進行全面分析與了解，結合企業實際，討論其在企業應用情況，保證企業網絡的順暢與穩定。

參考文獻

[1]柳文波.路由器和交換機的安全策略[J].電腦開發與應用，2009(6):20.

[2]周婕.交換機安全策略解析及安全交換機的導購[J].海軍航空工程學院學報，2008(3):88.

[3]胡宇翔，蘭巨龍，程東年.核心路由器中安全機制的分布式設計與實現[J].計算機工程，2008(7):35.

[4]朱培棟，盧澤新，盧錫城.網絡路由器核心安全技術[J].國防科技參考，2000(1):56.