我國(guó)的路由交換機(jī)發(fā)展很迅猛,同時(shí)各個(gè)廠商之間的競(jìng)爭(zhēng)也很激烈,這里主要分析了路由交換機(jī)在網(wǎng)絡(luò)安全中的重要責(zé)任。網(wǎng)絡(luò)安全不再單純依賴單一設(shè)備和單一技術(shù)來(lái)實(shí)現(xiàn)已成為業(yè)界共識(shí)。路由交換機(jī)作為網(wǎng)絡(luò)骨干設(shè)備,自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。
圍繞路由交換機(jī)的安全問(wèn)題進(jìn)行了用戶調(diào)查,在收到的 大量讀者反饋中,我們進(jìn)行了統(tǒng)計(jì)和分析:70%的用戶曾經(jīng)遭受過(guò)Slammer、“沖擊波”等蠕蟲病毒的襲擊,這些蠕蟲病毒攻擊的直接目標(biāo)通常是PC機(jī)和服務(wù)器,但是攻擊是通過(guò)網(wǎng)絡(luò)進(jìn)行的,因此當(dāng)這些蠕蟲病毒大規(guī)模爆發(fā)時(shí),交換機(jī)、路由器會(huì)首先受到牽連。抽樣分析表明:近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了路由交換機(jī),36%的用戶的路由器受到?jīng)_擊。用戶只有通過(guò)重啟交換路由設(shè)備、重新配置訪問(wèn)控制列表才能消除蠕蟲病毒對(duì)網(wǎng)絡(luò)設(shè)備造成的影響。
蠕蟲病毒攻擊網(wǎng)絡(luò)設(shè)備
蠕蟲病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)吞吐效率下降、變慢。如果網(wǎng)絡(luò)中存在瓶頸,就會(huì)導(dǎo)致網(wǎng)絡(luò)停頓甚至癱瘓。這些瓶頸可能是線路帶寬,也可能是路由器、交換機(jī)的處理能力或者內(nèi)存資源。需要指出的是,網(wǎng)絡(luò)中的路由器、交換機(jī)已經(jīng)達(dá)到或接近線速,內(nèi)網(wǎng)帶寬往往不收斂,在這種情況下,病毒攻擊產(chǎn)生的流量對(duì)局域網(wǎng)內(nèi)部帶寬不會(huì)造成致命堵塞,但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)核心位置的三層交換機(jī)卻要吞吐絕大多數(shù)的流量,因而首當(dāng)其沖地受到蠕蟲病毒的攻擊。接入層交換機(jī)通常需要與用戶終端直接連接,一旦用戶終端感染蠕蟲病毒,病毒發(fā)作就會(huì)嚴(yán)重消耗帶寬和交換機(jī)資源,造成網(wǎng)絡(luò)癱瘓,這一現(xiàn)象早已屢見(jiàn)不鮮。
蠕蟲病毒對(duì)網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種:一是堵塞帶寬,導(dǎo)致服務(wù)不可用;二是占用CPU資源,導(dǎo)致宕機(jī),紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址,在很短時(shí)間內(nèi)就占用大量的帶寬資源,造成網(wǎng)絡(luò)出口堵塞。宕機(jī)共分幾種情況:一是普通三層交換機(jī)都采用流轉(zhuǎn)發(fā)模式,也就是將第一個(gè)數(shù)據(jù)包發(fā)送到CPU處理,根據(jù)其目的地址建流,頻繁建流會(huì)急劇消耗CPU資源,蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流,這對(duì)于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的;二是如果網(wǎng)絡(luò)規(guī)劃有問(wèn)題,在Slammer作用下導(dǎo)致大量ARP請(qǐng)求發(fā)生,也會(huì)耗盡CPU資源。再比如,Slammer病毒擁塞三層交換機(jī)之間鏈路帶寬,導(dǎo)致路由協(xié)議的數(shù)據(jù)包(如Hello包)丟失,導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由震蕩。類似的情形還有利用路由交換機(jī)安全漏洞對(duì)交換機(jī)CPU等資源發(fā)起的DoS攻擊。
交換機(jī)需要加強(qiáng)安全性
以太網(wǎng)路由交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)。而是計(jì)算機(jī)就有被攻擊的可能,比如非法獲取路由交換機(jī)的控制權(quán),導(dǎo)致網(wǎng)絡(luò)癱瘓,另一方面也會(huì)受到DoS攻擊,比如前面提到的幾種蠕蟲病毒。它們都利用了路由交換機(jī)的一些漏洞。一般交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù)、ARP、建路由表,維護(hù)路由協(xié)議,對(duì)ICMP報(bào)文進(jìn)行處理,監(jiān)控交換機(jī),這些都有可能成為黑客攻擊交換機(jī)的手段。
蠕蟲病毒的攻擊,使網(wǎng)絡(luò)設(shè)備廠商和用戶都開(kāi)始注重路由交換機(jī)的安全性。對(duì)于交換機(jī)安全性的理解,近48%的用戶認(rèn)為交換機(jī)的安全性是指交換機(jī)本身具有抗攻擊性和安全性,31%的用戶認(rèn)為是指路由交換機(jī)攜帶了安全模塊,21%的用戶認(rèn)為兩者兼?zhèn)?。絕大數(shù)網(wǎng)絡(luò)設(shè)備廠商認(rèn)為路由交換機(jī)的安全性需經(jīng)過(guò)特殊設(shè)計(jì)、提高了抗攻擊能力,同時(shí)具有一定的安全功能。
傳統(tǒng)路由交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā),強(qiáng)調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互連,加上TCP/IP協(xié)議本身的開(kāi)放性,網(wǎng)絡(luò)安全成為一個(gè)突出問(wèn)題,網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機(jī)密信息被泄露,重要數(shù)據(jù)設(shè)備被攻擊,而路由交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備,其原來(lái)的安全特性已經(jīng)無(wú)法滿足現(xiàn)在的安全需求,因此傳統(tǒng)的路由交換機(jī)需要增加安全性。
在網(wǎng)絡(luò)設(shè)備廠商看來(lái),加強(qiáng)安全性的交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善,除了具備一般的功能外,這種交換機(jī)還具備普通交換機(jī)所不具有的安全策略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā),能夠?qū)崿F(xiàn)特定的安全策略,預(yù)防病毒和網(wǎng)絡(luò)攻擊,限制非法訪問(wèn),進(jìn)行事后分析,有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展。實(shí)現(xiàn)安全性的一種作法就是在現(xiàn)有交換機(jī)中嵌入各種安全模塊。不同用戶有不同的需求,25%的用戶希望交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能,37%的用戶表示需要直接使用安全設(shè)備,48%的用戶表示兩種方式都需要。
在現(xiàn)階段,由于有過(guò)被攻擊的經(jīng)歷,絕大多數(shù)用戶對(duì)增強(qiáng)安全性的交換機(jī)表示出濃厚興趣,18%的用戶表示在三個(gè)月之內(nèi)購(gòu)買,29%的用戶會(huì)在半年之內(nèi)購(gòu)買,19%的用戶打算在一年之內(nèi)購(gòu)買,只有34%的用戶表示近期不作考慮。同時(shí),用戶對(duì)這種加強(qiáng)安全性的交換機(jī)的價(jià)格也表現(xiàn)出理性態(tài)度:8%的用戶希望能與傳統(tǒng)交換機(jī)價(jià)格相當(dāng),4%的用戶接受高于傳統(tǒng)交換機(jī)20%以上的價(jià)格,而88%的用戶接受10%~20%的價(jià)格上浮。
安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性,比普通交換機(jī)具有更高的智能性和安全保護(hù)功能。在系統(tǒng)安全方面,交換機(jī)在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實(shí)現(xiàn)了安全機(jī)制,即通過(guò)特定技術(shù)對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密、控制;在接入安全性方面,采用安全接入機(jī)制,包括802.1x接入驗(yàn)證、RADIUS/TACACST、MAC地址檢驗(yàn)以及各種類型虛網(wǎng)技術(shù)等。不僅如此,許多交換機(jī)還增加了硬件形式的安全模塊,一些具有內(nèi)網(wǎng)安全功能的交換機(jī)則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。目前路由交換機(jī)中常用的安全技術(shù)包括以下幾種。
流量控制技術(shù) 把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機(jī)具有基于端口的流量控制功能,能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包,以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。 不過(guò),交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類流量進(jìn)行簡(jiǎn)單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無(wú)法區(qū)分哪些是正常流量,哪些是異常流量。同時(shí),如何設(shè)定一個(gè)合適的閾值也比較困難。
訪問(wèn)控制列表(ACL)技術(shù) ACL通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)輸入和輸出控制,確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)或被用作攻擊跳板。ACL是一張規(guī)則表,交換機(jī)按照順序執(zhí)行這些規(guī)則,并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過(guò)。由于規(guī)則是按照一定順序處理的,因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)至關(guān)重要。安全與效率的權(quán)衡在我們的調(diào)查中,用戶對(duì)交換機(jī)安全問(wèn)題的關(guān)注率高達(dá)97%以上。不過(guò)大約48%的用戶擔(dān)心增強(qiáng)路由交換機(jī)的安全功能會(huì)影響網(wǎng)絡(luò)的吞吐效率,34%的用戶表示無(wú)所謂,關(guān)注安全與效率問(wèn)題的用戶主要是大中型企業(yè)。
安全與效率的確是對(duì)此消彼長(zhǎng)的矛盾。從技術(shù)上講,傳統(tǒng)的路由交換機(jī)大都采用軟件方式,依靠CPU處理能力,來(lái)提供安全防御功能。眾所周知,病毒攻擊對(duì)路由交換機(jī)性能的影響較大,當(dāng)網(wǎng)絡(luò)流量大到一定程度時(shí)必然造成交換機(jī)癱瘓,網(wǎng)絡(luò)中斷。但對(duì)于依靠硬件技術(shù)實(shí)現(xiàn)了安全功能的交換機(jī)來(lái)說(shuō),在負(fù)載范圍內(nèi),其處理能力是全冗余的,不會(huì)影響性能。同時(shí)因?yàn)閿?shù)據(jù)過(guò)濾、智能識(shí)別攻擊源、策略查找等功能也是基于硬件來(lái)實(shí)現(xiàn),從而保證了病毒引起的流量不影響交換機(jī)的正常運(yùn)行。當(dāng)病毒報(bào)文流量大到一定程度,并且是未知類型的病毒時(shí),可能會(huì)對(duì)路由交換機(jī)的正常業(yè)務(wù)造成影響,具有自我保護(hù)功能的交換設(shè)備則可以根據(jù)優(yōu)先級(jí)設(shè)置,丟棄低優(yōu)先級(jí)的、可能具有攻擊性的報(bào)文,保證高優(yōu)先級(jí)業(yè)務(wù)不中斷,系統(tǒng)穩(wěn)定運(yùn)行。從上述分析可以看出,采用先進(jìn)體系架構(gòu)的交換設(shè)備可以做到保障安全同時(shí)保證性能。對(duì)于強(qiáng)調(diào)效率的用戶來(lái)說(shuō),最好選擇依靠硬件實(shí)現(xiàn)安全功能的交換機(jī)。