新一代网络安全卫士——安全交换机

  • 来源:未知
  • 时间:2018-10-09
  • 阅读:
  • 本文标签:

  

  近几年,我国信息化建设得到了迅猛地发展,带宽越来越宽,网络速度翻了几倍,E-Mail在网间的传递流量呈现指数增长,IP语音、视频等技术极大地丰富了网络应用。但是,互联网在拉近人与人之间距离的同时,病毒、黑客也随之不请自到。

  病毒的智能化,变种、繁殖的快速,黑客工具的“傻瓜”化加上洪水般的泛滥趋势,使得企业的信息系统变得脆弱不堪,随时面临瘫痪甚至被永久损坏的危险。在此形势下,企业不得不加强对自身信息系统的安全防护,期望得到一个彻底的、一劳永逸的安全防护系统。但是,安全总是相对的,安全措施总是被动的,没有一个企业的安全系统能够得到线%的安全保证。

  病毒原理、入侵攻防技术发展的研究分析表明,单一的防病毒软件往往使得网络的安全防护并不完善,网络安全不能再靠单一设备、单一技术来实现已成为业界共识。在“软硬结合”、“内外相应”等业界近来广为推广的安全策略下,安全交换机作为网络骨干设备,自然也肩负着构筑网络安全防线的重任。

  安全交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能,比如非法获取安全交换机的控制权,导致网络瘫痪,另一方面也会受到DoS攻击,比如前面提到的几种蠕虫病毒。

  此外,交换机可以作生成权维护、路由协议维护、ARP、建路由表,维护路由协议,对ICMP报文进行处理,监控交换机,这些都有可能成为黑客攻击交换机的手段。传统安全交换机主要用于数据包的快速转发,强调转发性能。

  随着局域网的广泛互联,加上TCP/IP协议本身的开放性,网络安全成为一个突出问题,网络中的敏感数据、机密信息被泄露,重要数据设备被攻击,而安全交换机作为网络环境中重要的转发设备,其原来的安全特性已经无法满足现在的安全需求,因此传统的交换机需要增加安全性。

  在网络设备厂商看来,加强安全性的安全交换机是对普通交换机的升级和完善,除了具备一般的功能外,这种安全交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障用户网络业务的正常开展。

  实现安全性的一种作法就是在现有安全交换机中嵌入各种安全模块。现在,越来越多的用户都表示希望安全交换机中增加防火墙、VPN、数据加密、身份认证等功能。

  安全性加强的交换机本身具有抗攻击性,比普通安全交换机具有更高的智能性和安全保护功能。在系统安全方面,交换机在网络由核心到边缘的整体架构中实现了安全机制,即通过特定技术对网络管理信息进行加密、控制;在接入安全性方面,采用安全接入机制,包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此,许多交换机还增加了硬件形式的安全模块,一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。

  把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。

  不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。

  ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,安全交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

  现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过安全交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的安全交换机来实现安全目标。

  完美的产品首要要有个出色的体系结构设计。现在,很多安全交换机产品采用全分布式体系结构设计,通过功能强大的ASIC芯片进行高速路由查找,使用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。

  除采用上述的全分布式体系结构设计外,安全交换机还具有非常出色的安全性功能设计,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。

  Anti-Sweep(防扫描)功能可自动监测各种恶意扫描行为,实施报警或者采取其他安全措施,如禁止网络访问等,此特性可将很多未知的新型病毒扼制在大规模爆发之前;

  安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击(DDOS攻击)通过智

  随着工业化与信息化的高度融合发展,工业企业基于Internet网络的应用范围也随之扩大。工业控制系统设备接入联网的同时,也为恶意软件病毒入侵、非授权访问攻击工业控制系统创造了可能,并严重威胁着工业网络安全。据调查显示,部署了工业以太网交换机的工厂、炼油厂、港口和其它工业组织,都较容易受到黑客的网络攻击。因此,在工业领域,安全交换机有着更为广泛重要的应用。

  针对工业领域的网络安全需求,工业互联网解决方案提供商——三旺通信,基于其工业以太网交换机研发推出了新一代工业安全交换机产品,在原有交换机产品的基础上,添加了丰富的安全管理机制功能:L2/L3/L4层数据包过滤和流量限制,DoS攻击防护、URL访问过滤、多种已知应用访问控制、TCP访问方向控制和DMZ隔离区等功能。三旺工业安全交换机不仅具备了工业交换机卓越的性能品质,同时还具备了强大的防火墙安全防护能力,为电力、交通、能源、安防、石化等众多重要领域的网络安全提供可靠的通信保障。

本文来自电脑技术网www.it892.com),转载本文请注明来源.