交换机安全解析

网络安全不再单纯依赖单一设备和单一技术来实现已成为业界共识。交换机作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。 

3月12日到3月29日，我们在《网络世界》网站www.cnw.com.cn）上，围绕交换机的安全问题进行了用户调查，在收到的 大量读者反馈中，我们进行了统计和分析：70%的用户曾经遭受过Slammer、“冲击波”等蠕虫病毒的袭击，这些蠕虫病毒攻击的直接目标通常是PC机和服务器，但是攻击是通过网络进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。抽样分析表明：近50%的用户反映Slammer、冲击波等蠕虫病毒冲击了交换机，36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。 

蠕虫病毒攻击网络设备 

蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可能是路由器、交换机的处理能力或者内存资源。需要指出的是，网络中的路由器、交换机已经达到或接近线速，内网带宽往往不收敛，在这种情况下，病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量，因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网络瘫痪，这一现象早已屡见不鲜。 

蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导致服务不可用；二是占用CPU资源，导致宕机，红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网络出口堵塞。宕机共分几种情况:一是普通三层交换机都采用流转发模式，也就是将第一个数据包发送到CPU处理，根据其目的地址建流，频繁建流会急剧消耗CPU资源，蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的；二是如果网络规划有问题，在Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源。再比如，Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡。类似的情形还有利用交换机安全漏洞对交换机CPU等资源发起的DoS攻击。在2003年第５期报纸上，我们曾集中介绍了路由器的安全问题，在这期报纸上我们将集中介绍交换机的安全问题。 

交换机需要加强安全性 

以太网交换机实际是一个为转发数据包优化的计算机。而是计算机就有被攻击的可能，比如非法获取交换机的控制权，导致网络瘫痪，另一方面也会受到DoS攻击，比如前面提到的几种蠕虫病毒。 

它们都利用了交换机的一些漏洞。一般交换机可以作生成权维护、路由协议维护、ARP、建路由表，维护路由协议，对ICＭP报文进行处理，监控交换机，这些都有可能成为黑客攻击交换机的手段。 

蠕虫病毒的攻击，使网络设备厂商和用户都开始注重交换机的安全性。对于交换机安全性的理解，近48%的用户认为交换机的安全性是指交换机本身具有抗攻击性和安全性，31%的用户认为是指交换机携带了安全模块，21%的用户认为两者兼备。绝大数网络设备厂商认为交换机的安全性需经过特殊设计、提高了抗攻击能力，同时具有一定的安全功能。 

传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互连，加上TCP/IP协议本身的开放性，网络安全成为一个突出问题，网络中的敏感数据、机密信息被泄露，重要数据设备被攻击，而交换机作为网络环境中重要的转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的交换机需要增加安全性。 

在网络设备厂商看来，加强安全性的交换机是对普通交换机的升级和完善，除了具备一般的功能外，这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能够实现特定的安全策略，预防病毒和网络攻击，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。不同用户有不同的需求，25%的用户希望交换机中增加防火墙、VPN、数据加密、身份认证等功能，37%的用户表示需要直接使用安全设备，48%的用户表示两种方式都需要。 

在现阶段，由于有过被攻击的经历，绝大多数用户对增强安全性的交换机表示出浓厚兴趣，18%的用户表示在三个月之内购买，29%的用户会在半年之内购买，19%的用户打算在一年之内购买，只有34%的用户表示近期不作考虑。同时，用户对这种加强安全性的交换机的价格也表现出理性态度：8%的用户希望能与传统交换机价格相当，4%的用户接受高于传统交换机20%以上的价格，而88%的用户接受10%～20%的价格上浮。 

安全性加强的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。目前交换机中常用的安全技术包括以下几种。 

流量控制技术 把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。 不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。 

访问控制列表(ACL)技术 ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。 

安全套接层(SSL) 为所有 HTTP流量加密，允许访问交换机上基于浏览器的管理 GUI。 

802.1x和RADIUS 网络登录 控制基于端口的访问，以进行验证和责任明晰。 

源端口过滤 只允许指定端口进行相互通信。 

Secure Shell (SSHv1/SSHv2) 加密传输所有的数据，确保IP网络上安全的CLI远程访问。 

安全FTP 实现与交换机之间安全的文件传输，避免不需要的文件下载或未授权的交换机配置文件复制。 

但是有安全功能不等于就行，一些交换机具有ACL，但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP（源目的MAC为广播地址）进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等，都是交换机面临的潜在威胁。 

交换机与IDS联动 

传统的IDS系统一直倍受争议，原因有四点：一是误报率和漏报率太高；二是没有主动防御能力，只能被动防守；三是缺乏准确的定位和处理机制，只能识别IP地址，无法定位IP地址；四是性能普遍不足，不能适应交换技术和高带宽环境，大流量冲击和多IP分片情况都可能造成IDS瘫痪或丢包，容易遭到DoS攻击。 

在采访网络设备厂商的过程中，思科、华为3Com、港湾都提到了交换机与IDS的联动，大家认为，交换机IDS联动，能够克服IDS的不足，实现双赢效果。众所周知，黑客和病毒都是依赖网络平台进行攻击，将IDS作为监控系统，与交换机进行联动，就能在网络平台上切断黑客和病毒的传播途径，实现意想不到的安全效果。具体来说，IDS与交换设备联动是指在运行的过程中，交换机将各种数据流的信息上报给安全设备，IDS可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能，同时具备线速交换特性。目前，新一代智能交换机能够与IDS实现联动。港湾FlexHammer5010就是这样一款产品，它具备多重网络标识的绑定和端口反查功能，防止网络欺骗行为，可以帮助IDS系统对攻击点进行准确定位。 

专家认为：在目前，智能交换机与IDS的联动是一个非常实际而且不会给用户带来额外投资的理想方案。不过与网络设备厂商看好交换机与IDS联动技术形成反差的是，绝大多数用户表示认可这项技术，但真正在实践中将交换机与IDS联动起来的用户却是极少数，这说明网络设备厂商在培训教育用户综合使用交换机和IDS方面还存在明显不足。 

安全与效率的权衡 

在我们的调查中，用户对交换机安全问题的关注率高达97%以上。不过大约48%的用户担心增强交换机的安全功能会影响网络的吞吐效率，34%的用户表示无所谓，关注安全与效率问题的用户主要是大中型企业。 

安全与效率的确是对此消彼长的矛盾。从技术上讲，传统的交换机大都采用软件方式，依靠CPU处理能力，来提供安全防御功能。众所周知，病毒攻击对交换机性能的影响较大，当网络流量大到一定程度时必然造成交换机瘫痪，网络中断。但对于依靠硬件技术实现了安全功能的交换机来说，在负载范围内，其处理能力是全冗余的，不会影响性能。同时因为数据过滤、智能识别攻击源、策略查找等功能也是基于硬件来实现，从而保证了病毒引起的流量不影响交换机的正常运行。当病毒报文流量大到一定程度，并且是未知类型的病毒时，可能会对交换机的正常业务造成影响，具有自我保护功能的交换设备则可以根据优先级设置，丢弃低优先级的、可能具有攻击性的报文，保证高优先级业务不中断，系统稳定运行。从上述分析可以看出，采用先进体系架构的交换设备可以做到保障安全同时保证性能。对于强调效率的用户来说，最好选择依靠硬件实现安全功能的交换机。 ■ 

产品篇 

思科Catalyst 6500: 模块化安全设计 

思科将安全模块集成在交换机中，企业可以根据自己的需求采用不同的安全措施和预防技术。Catalyst 6500系列交换机集成了IPSec VPN、防火墙、入侵检测以及多层LAN、WAN和MAN交换功能。针对Catalyst 6500系列，思科还设计了思科安全套接层（SSL）模块，提高Web应用的性能和安全性，提供安全联网。而如果将SSL与思科内容交换模块（CSM）集成在一起，将能够加速流量，同时从Web服务器卸载资源，从而提供安全的服务器负载均衡解决方案。 

HP Procurve SwTIch 5300xl: 实现安全登录 

HP Procurve SwTIch 5300xl交换机是面向中小企业网络核心的产品，它具有紧凑的4插槽或8插槽模块化外形，提供76.8G的交换容量和48Mpps的第二、三层转发性能，采用源端口过滤、802.1x和RADIUS 网络登录等安全技术与功能，使交换机具有很高的安全性。 

华为3Com Quidway S3500: 阻止蠕虫病毒 

华为3Com公司的Quidway S3500系列安全智能三层交换机提供完善的路由协议、VLAN控制、流量交换、QoS保证机制，适合作为关注业务管理控制和网络安全保障能力的汇聚三层交换机。该系列设备具有完备的安全控制策略，采用基于最长匹配的路由策略和逐包转发方式，能够防御蠕虫病毒的攻击。此外，该设备还支持802.1x和Web Portal认证，通过MAC、IP、VLAN、PORT任意组合绑定，防止用户非法访问网络，支持多种ACL访问控制策略，能够对用户访问网络资源权限进行设置。 

北电Alteon应用交换机: 抵御DoS攻击 

北电Alteon应用交换机具有智能流量管理功能和丰富的安全特性。Alteon 应用交换机采用虚拟矩阵交换结构和智能流量管理系统，具有出色的应用层处理性能，其基本应用层功能包括服务器负载均衡(SLB)、智能内容(第七层)交换、缓存重定向(WCR)、防火墙及VPN网关负载均衡等。此外，其先进的DoS防御能够保障应用交换机后端的服务器群及网络系统的安全性。更重要的是，这些安全功能可以与其他流量管理应用同时工作。 

锐捷STAR-S2100: 安全又智能

STAR-S2100系列是锐捷网络自主研发的、针对各种规模的网络汇聚接入而定制的智能千兆交换机。STAR-S2100系列能够提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，可以实施灵活多样的ACL访问控制，通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理功能。STAR-S2126G/S2150G以出色的性价比为各类型网络提供端到端的服务质量、灵活丰富的安全设置和基于策略的网络管理，满足高速、安全、智能的应用需求。 

编看编想 

交换机也需设防 

■ 宋丽娜 

有一种现象正在引起网络设备厂商和用户的注意，无论是黑客发动DoS、DDoS攻击，还是恶意蠕虫爆发，交换机常常受到冲击，最终瘫痪并导致网络中断。《网络世界》进行的交换机用户调查显示：近50%用户反映交换机曾经受到Slammer、冲击波等蠕虫病毒的冲击。 

很多企业网络系统不进行安全设防，作为网络核心的交换机，自然而然地肩负着构筑网络安全防线的任务，它的安全性、健壮性将直接影响到网络的可用性，在交换机上采取必要的安全技术不仅可以有效缓解其他设备的安全压力，而且能够及时发现并解决问题。例如，防病毒软件对蠕虫病毒无能为力，防火墙的反查找能力十分薄弱，入侵检测软件不能检测内部入侵，交换机可以轻松弥补上述安全设备的不足。对于网络层以上的安全问题，用户可以对交换机端口的流量进行控制来解决，对付Slammer蠕虫病毒，用户可以通过禁止交换机上采用UDP 1434端口来防范。 

业界一个普遍的观点是：安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。 

目前，绝大多数用户对通过交换机解决安全问题抱积极态度，近75%的用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。