专家观点:安全成交换机的基本功能
流量控制技术
把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。 不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。
访问控制列表(ACL)技术
ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。
“安全”需要出色的体系结构
完美的产品首要要有个出色的体系结构设计。现在,很多交换机产品采用全分布式体系结构设计,通过功能强大的ASIC芯片进行高速路由查找,使用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。
DCRS-7600系列IPv6万兆路由交换机除采用上述的全分布式体系结构设计外,还具有非常出色的安全性功能设计,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。它的S-ARP(安全ARP)功能可有效防止ARP-DOS攻击;Anti-Sweep(防扫描)功能可自动监测各种恶意扫描行为,实施报警或者采取其他安全措施,如禁止网络访问等,此特性可将很多未知的新型病毒扼制在大规模爆发之前;S-ICMP(安全ICMP)功能可有效防止PING-DOS攻击,灵活防止黑客利用ICMP Unreachable攻击第三方的行为;安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击(DDOS攻击)通过智能监控并调整报文数据Buffer和冲向CPU的IP报文队列流量,使得核心交换机在DDOS攻击下,安然无恙。
交换引擎CPU核心保护,可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪;关键协议绿色通道功能可保障正常、合法、速度合理的关键控制报文(STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;先进的LPM技术可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等;端口信任模式则可检测非法DHCP Server、非法Radius Server等,只在信任端口才能接入这些设备,从而保障网络的安全。
[责任编辑:editor]
最新相关文章发表评论