路由交換機已經(jīng)成為網(wǎng)絡(luò)安全的重中之重

我國的路由交換機發(fā)展很迅猛，同時各個廠商之間的競爭也很激烈，這里主要分析了路由交換機在網(wǎng)絡(luò)安全中的重要責任。網(wǎng)絡(luò)安全不再單純依賴單一設(shè)備和單一技術(shù)來實現(xiàn)已成為業(yè)界共識。路由交換機作為網(wǎng)絡(luò)骨干設(shè)備，自然也肩負著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。

圍繞路由交換機的安全問題進行了用戶調(diào)查，在收到的 大量讀者反饋中，我們進行了統(tǒng)計和分析：70%的用戶曾經(jīng)遭受過Slammer、“沖擊波”等蠕蟲病毒的襲擊，這些蠕蟲病毒攻擊的直接目標通常是PC機和服務(wù)器，但是攻擊是通過網(wǎng)絡(luò)進行的，因此當這些蠕蟲病毒大規(guī)模爆發(fā)時，交換機、路由器會首先受到牽連。抽樣分析表明：近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了路由交換機，36%的用戶的路由器受到?jīng)_擊。用戶只有通過重啟交換路由設(shè)備、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡(luò)設(shè)備造成的影響。

蠕蟲病毒攻擊網(wǎng)絡(luò)設(shè)備

蠕蟲病毒發(fā)作導致網(wǎng)絡(luò)吞吐效率下降、變慢。如果網(wǎng)絡(luò)中存在瓶頸，就會導致網(wǎng)絡(luò)停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機的處理能力或者內(nèi)存資源。需要指出的是，網(wǎng)絡(luò)中的路由器、交換機已經(jīng)達到或接近線速，內(nèi)網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對局域網(wǎng)內(nèi)部帶寬不會造成致命堵塞，但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)核心位置的三層交換機卻要吞吐絕大多數(shù)的流量，因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發(fā)作就會嚴重消耗帶寬和交換機資源，造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象早已屢見不鮮。

蠕蟲病毒對網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種：一是堵塞帶寬，導致服務(wù)不可用;二是占用CPU資源，導致宕機，紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡(luò)出口堵塞。宕機共分幾種情況:一是普通三層交換機都采用流轉(zhuǎn)發(fā)模式，也就是將第一個數(shù)據(jù)包發(fā)送到CPU處理，根據(jù)其目的地址建流，頻繁建流會急劇消耗CPU資源，蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流，這對于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的;二是如果網(wǎng)絡(luò)規(guī)劃有問題，在Slammer作用下導致大量ARP請求發(fā)生，也會耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機之間鏈路帶寬，導致路由協(xié)議的數(shù)據(jù)包(如Hello包)丟失，導致整個網(wǎng)絡(luò)的路由震蕩。類似的情形還有利用路由交換機安全漏洞對交換機CPU等資源發(fā)起的DoS攻擊。在2003年第5期報紙上，我們曾集中介紹了路由器的安全問題，在這期報紙上我們將集中介紹交換機的安全問題。

交換機需要加強安全性

以太網(wǎng)路由交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機。而是計算機就有被攻擊的可能，比如非法獲取路由交換機的控制權(quán)，導致網(wǎng)絡(luò)癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。它們都利用了路由交換機的一些漏洞。一般交換機可以作生成權(quán)維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICMP報文進行處理，監(jiān)控交換機，這些都有可能成為黑客攻擊交換機的手段。

蠕蟲病毒的攻擊，使網(wǎng)絡(luò)設(shè)備廠商和用戶都開始注重路由交換機的安全性。對于交換機安全性的理解，近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性，31%的用戶認為是指路由交換機攜帶了安全模塊，21%的用戶認為兩者兼?zhèn)洹＝^大數(shù)網(wǎng)絡(luò)設(shè)備廠商認為路由交換機的安全性需經(jīng)過特殊設(shè)計、提高了抗攻擊能力，同時具有一定的安全功能。

傳統(tǒng)路由交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互連，加上TCP/IP協(xié)議本身的開放性，網(wǎng)絡(luò)安全成為一個突出問題，網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機密信息被泄露，重要數(shù)據(jù)設(shè)備被攻擊，而路由交換機作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，其原來的安全特性已經(jīng)無法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的路由交換機需要增加安全性。

在網(wǎng)絡(luò)設(shè)備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，預防病毒和網(wǎng)絡(luò)攻擊，限制非法訪問，進行事后分析，有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開展。實現(xiàn)安全性的一種作法就是在現(xiàn)有交換機中嵌入各種安全模塊。不同用戶有不同的需求，25%的用戶希望交換機中增加防火墻、VPN、數(shù)據(jù)加密、身份認證等功能，37%的用戶表示需要直接使用安全設(shè)備，48%的用戶表示兩種方式都需要。

在現(xiàn)階段，由于有過被攻擊的經(jīng)歷，絕大多數(shù)用戶對增強安全性的交換機表示出濃厚興趣，18%的用戶表示在三個月之內(nèi)購買，29%的用戶會在半年之內(nèi)購買，19%的用戶打算在一年之內(nèi)購買，只有34%的用戶表示近期不作考慮。同時，用戶對這種加強安全性的交換機的價格也表現(xiàn)出理性態(tài)度：8%的用戶希望能與傳統(tǒng)交換機價格相當，4%的用戶接受高于傳統(tǒng)交換機20%以上的價格，而88%的用戶接受10%～20%的價格上浮。

安全性加強的交換機本身具有抗攻擊性，比普通交換機具有更高的智能性和安全保護功能。在系統(tǒng)安全方面，交換機在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實現(xiàn)了安全機制，即通過特定技術(shù)對網(wǎng)絡(luò)管理信息進行加密、控制;在接入安全性方面，采用安全接入機制，包括802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛網(wǎng)技術(shù)等。不僅如此，許多交換機還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。目前路由交換機中常用的安全技術(shù)包括以下幾種。

流量控制技術(shù) 把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設(shè)定值的廣播流量進行丟棄處理。 不過，交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設(shè)定一個合適的閾值也比較困難。

訪問控制列表(ACL)技術(shù) ACL通過對網(wǎng)絡(luò)資源進行訪問輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，交換機按照順序執(zhí)行這些規(guī)則，并且處理每一個進入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對位置對于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡(luò)至關(guān)重要。安全與效率的權(quán)衡在我們的調(diào)查中，用戶對交換機安全問題的關(guān)注率高達97%以上。不過大約48%的用戶擔心增強路由交換機的安全功能會影響網(wǎng)絡(luò)的吞吐效率，34%的用戶表示無所謂，關(guān)注安全與效率問題的用戶主要是大中型企業(yè)。

安全與效率的確是對此消彼長的矛盾。從技術(shù)上講，傳統(tǒng)的路由交換機大都采用軟件方式，依靠CPU處理能力，來提供安全防御功能。眾所周知，病毒攻擊對路由交換機性能的影響較大，當網(wǎng)絡(luò)流量大到一定程度時必然造成交換機癱瘓，網(wǎng)絡(luò)中斷。但對于依靠硬件技術(shù)實現(xiàn)了安全功能的交換機來說，在負載范圍內(nèi)，其處理能力是全冗余的，不會影響性能。同時因為數(shù)據(jù)過濾、智能識別攻擊源、策略查找等功能也是基于硬件來實現(xiàn)，從而保證了病毒引起的流量不影響交換機的正常運行。當病毒報文流量大到一定程度，并且是未知類型的病毒時，可能會對路由交換機的正常業(yè)務(wù)造成影響，具有自我保護功能的交換設(shè)備則可以根據(jù)優(yōu)先級設(shè)置，丟棄低優(yōu)先級的、可能具有攻擊性的報文，保證高優(yōu)先級業(yè)務(wù)不中斷，系統(tǒng)穩(wěn)定運行。從上述分析可以看出，采用先進體系架構(gòu)的交換設(shè)備可以做到保障安全同時保證性能。對于強調(diào)效率的用戶來說，最好選擇依靠硬件實現(xiàn)安全功能的交換機。