說一下安全交換機的“潛規則”
在安全交換機讀取到幀中足夠的信息并能識別出目的地址后,交換式局域網并不自動就是全雙工操作,只有在交換器中設置了全雙工端口以及做一些相應的改進。
交換機“安全”背后的潛臺詞是什么?它的安全功能可以取代安全產品嗎?安全交換機的未來走向怎樣? 看來,一些交換機廠商們集體上演了兩三年的產品“安全”秀,有些粗糙與匆忙。
做網絡集成的陳先生在2005年的一次招標中碰到一件鬧心事,在一個中型網絡構建的項目就要簽署的時候,被該用戶的一位領導喊暫緩。原因據說是,與之競爭的另一家集成商的銷售找到用戶的這位領導,許諾在同樣的價格下,將提供安全交換機。
陳先生找過去一看,嚇一跳。所謂的“安全交換機”和自己所提供的交換機在性能、功能上是一摸一樣,只是將802.1x認證和虛擬局域網VLAN這兩功能單獨提煉出來,強調是“安全交換機”。
“交換機在幾年前就有認證和VLAN這些基本功能了,但人們并沒有把它拿出來說是安全。”陳先生說,“我以為用戶應該很明白,就沒有去強調,沒想到差點丟單。”在做了4、5年網絡集成的陳先生看來。
交換機至少應該是集成了重要安全產品特性(例如防火墻,VPN)才能算得上安全交換機。究竟什么樣的交換機可稱作安全交換機?其“安全”背后的潛臺詞是什么?它可以取代安全產品嗎?“安全交換機”的未來走向怎樣?
概念模糊不清
記者在采訪中發現,主流廠商的技術人員對安全交換機被一些廠商和媒體追捧為網絡熱點產品持保留態度。“安全交換機是一個不準確的概念。” 一位思科工程師說,對于用戶來講,需要的是一個安全的可靠網絡,這個網絡能夠提供高質量的支持數據、語音和視頻服務。
在他看來,具備安全功能的交換機只是整合的網絡安全方案中的一個設備而已,不同廠商的不同類型的交換機中集成的安全功能各有不同,而思科也從未明確定義過何為安全交換機。
負責思科系統公司數據中心、交換和安全技術業務的高級副總裁Jayshree Ullal女士認為,“孤立”的安全服務不存在,安全正在發展成為為一種嵌入式的網絡服務,而思科正在將數據安全以服務器為中心的模式擴展為以網絡為中心的保護模式,提出了“數據中心網絡化應用”(Datacenter Networked Applications, DNA)。
因此,保障安全永續的業務運行,所需要的是整合的網絡安全解決方案,通過豐富的安全產品線和眾多融合了安全功能的網絡設備,進行關聯與防御控制,來提高威脅防御的智能水平,以確保應用安全和數據安全,也就是“自防御網絡”。
華為3Com高級產品經理趙曉軒認為,安全是一個非常復雜的概念,狹義的安全包括VPN,防火墻,IDS;而廣義的安全則比較泛,如果大家都往這上面套的話,安全交換機就是一個很虛的沒有實際意義的概念。
首先,在交換機這個層面上來看,低端產品根本做不到融合防火墻和VPN的等安全功能,高端交換機雖然依靠其自身體系結構的優勢,可以通過模塊,來疊加安全功能,但國內能夠提供高端交換機的廠商本來就寥寥無幾。從這個意義上講,國內一些廠商所叫嚷的安全交換機,大部分來得比較牽強。
其次,安全交換機單獨作為一個產品概念來營銷,未必真的有效。成熟的高端用戶往往很清楚,網絡安全是一個整體安全的概念,而不可能僅僅依靠設備安全來保證安全,他們需要的是一個端對端的安全解決方案,這個方案包括了VPN,防火墻,甚至殺毒軟件,而包括交換機在內的網絡設備和這些軟件之間要能做到安全聯動。
向中小企業用戶來推廣使用增加了真正安全功能的高端交換機,難度更大。一方面,這些用戶本身對于高端交換機需求量不大,性價比是其購買設備的重要驅動力,更何況增加了安全功能的交換機。
價格肯定要上去;另一方面,網絡設備在低端市場上是一個各司其職的概念,如果要融入安全基因,就會盡量以一種低成本的方式融入。“交換機和一些低端的網絡安全設備已經便宜。” 趙曉軒說,“用戶不可能為了一個看上去時髦和先進的模糊概念,放棄具有明顯的性價比優勢的網絡安全解決方案。”
“安全”潛臺詞
“交換機需要具有安全性。”銳捷網絡高級產品經理羅自靈的看法得到了思科、華為3Com、神碼網絡等主流廠商的技術同仁們的認同。普遍的看法認為,交換機的安全性可以分為三個層次:
其一,是交換機自身的安全。交換機實際是一個為轉發數據包優化的計算機,而是計算機就有被攻擊的可能。而交換機最基本的安全功能就是,在黑客攻擊和病毒侵擾下,能夠繼續保持其高效的數據轉發速率,不受到攻擊的干擾。
局域網交換機的交換方式一般地,交換機主要通過以下4中方式實現交換。(1)直通式:在這種模式下,交換機只需要知道幀的目的MAC地址就可以成功的將幀轉發到目的地。
在安全交換機讀取到幀中足夠的信息并能識別出目的地址后,它將立即把幀發送到目的端口。直通式的優點是由于不需要存儲,延遲非常小,交換非常快。但是缺點是由于沒有緩存,數據包內容并沒有被以太網交換機保存下來,所以無法檢查所傳送的數據包是否有誤,不能提供錯誤檢測能力,而且容易丟包。
存儲轉發:存儲轉發方式是將輸入端口的數據包先存儲起來,然后進行CRC檢查,在對錯誤包處理后才取出數據包的目的地址,通過查找MAC地址表轉換成輸出端口送出包。由于這種方式可以對進入交換機的數據包進行錯誤檢測。
使網絡中的無效幀大大減少,所以可有效的改善網絡性能。但是缺點是由于需要存儲再轉發,導致數據處理時延大,然而隨著ASIC的降低以及處理器的速度的增加,許多新的交換機都可以在很短的時間內完成整個幀的檢查,所以這種交換方式應用比較廣泛。
【編輯推薦】
