看安全交换机如何攻陷“安全阵地”
安全交换机还是比较常用的,于是我研究了一下安全交换机如何攻陷“安全阵地”,在这里拿出来和大家分享一下,希望对大家有用。早在2001年下半年,中低端安全交换机市场出现了产能过剩的情况,当时仅珠江三角洲就活跃了300多家厂商,产品已经类似PC和家电 ,对于这些厂商来讲,他们没有技术和资金实力向高端挺进。
到2003年,在大部分安全交换机厂商规模并未扩大的情况下,中低端安全交换机的价格出现大幅下跌,在中关村海龙大厦的某些柜台上,低端交换机赫然甚至标出200多元。一些曾经发展迅猛的设备厂商突然销声匿迹,因为面目相似的所谓新产品,无法给市场以强有力的刺激,例如以“大猫”起家的全向科技,联想投资参股的记忆网络等;还有一些设备厂商或者“换牌”经营或变得非常低调,如LANTECH网络,TCL网络,清华比威等。随着信息化的推进,中国企业用户对于网络的需求已经从建网的假性需求上升到了和业务息息相关的真性应用,对实用性和可靠性的要求很高,即使是边缘层的产品,也要考虑数据不能中断。“安全可靠”成为网络产品的基本需求。
另一方面,随着互联网应用的推进,安全问题也越演越烈,出现三个趋势:计算机病毒与网络黑客结合,使得病毒渗入计算机,由内向外爆发,计算机即使装了防毒软件,也杀不掉所有的病毒;而广泛蔓延的病毒都是与操作系统平台紧密结合的,没有国界之分;随着软件和硬件的界限变得越来越模糊,在安全领域,黑客、病毒将会越来越转向硬件。
伴随着这些趋势,全球出现了一股网络基础设备和安全设备融合的潮流:如Juniper 以40亿美元收购NetScreen,以"安全、可靠和性能"的名义联手;思科则在5个月内,先后收购安全软件公司Psionic、Okena,一次性推出14个安全产品,提出"端到端安全解决方案",将包括防火墙、IDS、防病毒、3A、网络管理、路由器二层三层等安全技术在内的一揽子方案给用户。华为3Com, 2003年7月推出i3SAFE安全构架;港湾,2003年推出"交换机+IDS"方案;锐捷网络推出了联动式安全管理解决方案。“跟风是网络设备企业的传统。” 网络集成商陈先生说,“既然主流厂商们高举安全的大旗,那大伙儿也会以‘安全’的名义搞搞市场,至于‘安全交换机’的说法是什么倒并不重要。”-
攻打“安全”的阵地?
对于那些集成了防火墙、VPN等真正安全产品功能的交换机,在未来是否会吞噬安全产品的市场呢?华为3Com赵晓轩、锐捷网络的罗自灵、网络集成商陈先生认为不太可能。“具有防火墙功能的安全交换机要替代防火墙就是一件难事。” 罗自灵说,“因为不同的用户在构建网络的时候,考虑到安全的着眼点不同。”
陈先生则坦承,在中小企业网络搭建过程中,他们更趋向建议用户分开用,交换机是交换机,防火墙是防火墙,分开以后,更好布署,同时性能会更好;对一些大点的企业,则建议分步实施防火墙、安全交换机,然后再根据要求不断的往上加。“通俗地说,就是让对价格不那么敏感且未来对安全需求比较高的的客户购买可以拓展安全功能的交换机,需要时可以升级。” 陈先生解释,以便日后可以布署后台的一个安全保障系统,跟网络里面的相关设备能够进行安全联动。赵晓轩认为,从目前来看,具有防火墙和VPN功能的安全交换机不能取代防火墙。原因有两个方面:
其一,所放的位置不同,所起的安全左右也不一样。防火墙主要是放在网络接入层,来防止外来攻击;而带有防火墙功能的交换机则往往在网络的核心处,而不是在汇聚层和接入层面,其目的是通过核心的智能来提高安全性。(有专家曾指出电话网之所以安全是其结构为“傻瓜终端+智能核心”,而互联网则正好相反,是“智能终端+傻瓜核心”的结构,所以安全事件层出不穷)
其二,在一个网络安全解决方案中,选择在安全交换机中插入安全模块,还是外置安全产品,取决于用户自身的选择。
从用户的售后服务的角度来讲,安全产品越买越多,管理起来非常不方便,如果能直接把安全产品直接融入在网络上的话 ,管理简单方便,安全交换机看上去很美。但事实上,如果一家企业能做出带有防火墙功能的核心交换机,他往往也能提供防火墙供用户选择。
在管理者为同一家厂商的情况下,用户考虑得更多的为性能价格比。他们希望在购买网络产品的同时获得一些免费的安全产品或安全功能。对于用户的这种需求,各厂商的主导的思路是不同的,华为3Com在低端产品上是增加端口的控制,策略比较简单;在65和 85等中高端交换机上,则从可扩容上去考虑,当用户需要交换机具备防火墙等功能时,再为其追加。
天融信董事长贺卫东则认为,虽然带有安全功能的交换机产品不可能吞噬安全产品的市场,在网络与安全的融合的潮流下,纯粹的安全设备厂商将会受到网络设备厂商比较大的冲击。
随着安全的矛盾越来越集中在应用层面, 未来有两类公司在网络安全业中可能控制话语权。一是以基础体系为核心,从管理到安全设备,都与通信相关,或者是将安全融合到网络通信当中去去的公司;二是以服务于应用系统为核心的专项安全技术公司,不过当它达到一定规模后,将卖给应用系统公司或者通讯网络公司,或独立发展成综合性以应用层为核心的专业性安全公司。
链接一:交换机的安全含义
交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
目前,交换机的安全功能包括:一、802.1x加强安全认证,802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 二、流量控制,交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用,能够实现对异常流量的控制,避免网络堵塞。三、防DDoS,采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。四、虚拟局域网VLAN,可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。五、基于访问控制列表的防火墙功能,用访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。六、入侵检测IDS,可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作;七、设备冗余,发生故障时能迅速切换到一个好设备上,后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
链接二:网络安全产品的七大趋势
信息安全专家曲成义认为,目前整个安全产品、技术或者解决方案正呈现七大重要趋势:
其一,安全产品出现集成化能力,也就是把多种安全功能集成在同一产品上。例如很多防火墙集成VPN;安全性能功能有很大的发展,例如过去防火墙支持百兆,现在上千兆。
其二,动态防御思想进展很快,基于这一思想配套的技术产品发展很快。例如提前预警的入侵检测过去放在主机终端,现在则放在网络环境下;不单检测病毒,还看大面积流量的变化,为下一步可能发生的问题提前预警。
其三,把各个安全产品进行信息共享和业务联动来提高强度,就是搞集成安全管理平台。当入侵检测发现情况异常后,马上通知防火墙;防火墙在隔离的同时,通知安全交换机准备随时切掉病毒;安全交换机在切病毒的同时通知路由器作好防护准备。
其四,由于信息安全事件70%往往是内部操作或内外勾结,而传统的防火墙、入侵检测,杀病毒对防内没用,信息安全从防外部的同时更重视系统的内控机制,特别是对用户的源头端控制,如何防止个人计算机违规操作,如非法联结,违规转储,越级访问等。
其五,纵深防御概念正在深入人心,这是信息化推进的必然结果。一方面,从互联网的角度来讲,安全是一步步深入的,内网安全,外网安全,互联网安全;另一方面,网络又是一个面向业务的实体,不同层面的业务,有不同的安全要求。