安全交換機(jī)還是比較常用的，于是我研究了一下安全交換機(jī)如何攻陷“安全陣地”，在這里拿出來和大家分享一下，希望對大家有用。早在2001年下半年，中低端安全交換機(jī)市場出現(xiàn)了產(chǎn)能過剩的情況，當(dāng)時(shí)僅珠江三角洲就活躍了300多家廠商，產(chǎn)品已經(jīng)類似PC和家電 ，對于這些廠商來講，他們沒有技術(shù)和資金實(shí)力向高端挺進(jìn)。

到2003年，在大部分安全交換機(jī)廠商規(guī)模并未擴(kuò)大的情況下，中低端安全交換機(jī)的價(jià)格出現(xiàn)大幅下跌，在中關(guān)村海龍大廈的某些柜臺上，低端交換機(jī)赫然甚至標(biāo)出200多元。一些曾經(jīng)發(fā)展迅猛的設(shè)備廠商突然銷聲匿跡，因?yàn)槊婺肯嗨频乃^新產(chǎn)品，無法給市場以強(qiáng)有力的刺激，例如以“大貓”起家的全向科技，聯(lián)想投資參股的記憶網(wǎng)絡(luò)等；還有一些設(shè)備廠商或者“換牌”經(jīng)營或變得非常低調(diào)，如LANTECH網(wǎng)絡(luò)，TCL網(wǎng)絡(luò)，清華比威等。隨著信息化的推進(jìn)，中國企業(yè)用戶對于網(wǎng)絡(luò)的需求已經(jīng)從建網(wǎng)的假性需求上升到了和業(yè)務(wù)息息相關(guān)的真性應(yīng)用，對實(shí)用性和可靠性的要求很高，即使是邊緣層的產(chǎn)品，也要考慮數(shù)據(jù)不能中斷。“安全可靠”成為網(wǎng)絡(luò)產(chǎn)品的基本需求。

另一方面，隨著互聯(lián)網(wǎng)應(yīng)用的推進(jìn)，安全問題也越演越烈，出現(xiàn)三個(gè)趨勢：計(jì)算機(jī)病毒與網(wǎng)絡(luò)黑客結(jié)合，使得病毒滲入計(jì)算機(jī)，由內(nèi)向外爆發(fā)，計(jì)算機(jī)即使裝了防毒軟件，也殺不掉所有的病毒；而廣泛蔓延的病毒都是與操作系統(tǒng)平臺緊密結(jié)合的，沒有國界之分；隨著軟件和硬件的界限變得越來越模糊，在安全領(lǐng)域，黑客、病毒將會越來越轉(zhuǎn)向硬件。

伴隨著這些趨勢，全球出現(xiàn)了一股網(wǎng)絡(luò)基礎(chǔ)設(shè)備和安全設(shè)備融合的潮流：如Juniper 以40億美元收購NetScreen，以"安全、可靠和性能"的名義聯(lián)手；思科則在5個(gè)月內(nèi)，先后收購安全軟件公司Psionic、Okena，一次性推出14個(gè)安全產(chǎn)品，提出"端到端安全解決方案"，將包括防火墻、IDS、防病毒、3A、網(wǎng)絡(luò)管理、路由器二層三層等安全技術(shù)在內(nèi)的一攬子方案給用戶。華為3Com， 2003年7月推出i3SAFE安全構(gòu)架；港灣，2003年推出"交換機(jī)＋I(xiàn)DS"方案；銳捷網(wǎng)絡(luò)推出了聯(lián)動(dòng)式安全管理解決方案。“跟風(fēng)是網(wǎng)絡(luò)設(shè)備企業(yè)的傳統(tǒng)。” 網(wǎng)絡(luò)集成商陳先生說，“既然主流廠商們高舉安全的大旗，那大伙兒也會以‘安全’的名義搞搞市場，至于‘安全交換機(jī)’的說法是什么倒并不重要。”-

攻打“安全”的陣地？

對于那些集成了防火墻、VPN等真正安全產(chǎn)品功能的交換機(jī)，在未來是否會吞噬安全產(chǎn)品的市場呢？華為3Com趙曉軒、銳捷網(wǎng)絡(luò)的羅自靈、網(wǎng)絡(luò)集成商陳先生認(rèn)為不太可能。“具有防火墻功能的安全交換機(jī)要替代防火墻就是一件難事。” 羅自靈說，“因?yàn)椴煌挠脩粼跇?gòu)建網(wǎng)絡(luò)的時(shí)候，考慮到安全的著眼點(diǎn)不同。”

陳先生則坦承，在中小企業(yè)網(wǎng)絡(luò)搭建過程中，他們更趨向建議用戶分開用，交換機(jī)是交換機(jī)，防火墻是防火墻，分開以后，更好布署，同時(shí)性能會更好；對一些大點(diǎn)的企業(yè)，則建議分步實(shí)施防火墻、安全交換機(jī)，然后再根據(jù)要求不斷的往上加。“通俗地說，就是讓對價(jià)格不那么敏感且未來對安全需求比較高的的客戶購買可以拓展安全功能的交換機(jī)，需要時(shí)可以升級。” 陳先生解釋，以便日后可以布署后臺的一個(gè)安全保障系統(tǒng)，跟網(wǎng)絡(luò)里面的相關(guān)設(shè)備能夠進(jìn)行安全聯(lián)動(dòng)。趙曉軒認(rèn)為，從目前來看，具有防火墻和VPN功能的安全交換機(jī)不能取代防火墻。原因有兩個(gè)方面：

其一，所放的位置不同，所起的安全左右也不一樣。防火墻主要是放在網(wǎng)絡(luò)接入層，來防止外來攻擊；而帶有防火墻功能的交換機(jī)則往往在網(wǎng)絡(luò)的核心處，而不是在匯聚層和接入層面，其目的是通過核心的智能來提高安全性。（有專家曾指出電話網(wǎng)之所以安全是其結(jié)構(gòu)為“傻瓜終端+智能核心”，而互聯(lián)網(wǎng)則正好相反，是“智能終端+傻瓜核心”的結(jié)構(gòu)，所以安全事件層出不窮）

其二，在一個(gè)網(wǎng)絡(luò)安全解決方案中，選擇在安全交換機(jī)中插入安全模塊，還是外置安全產(chǎn)品，取決于用戶自身的選擇。

從用戶的售后服務(wù)的角度來講，安全產(chǎn)品越買越多，管理起來非常不方便，如果能直接把安全產(chǎn)品直接融入在網(wǎng)絡(luò)上的話 ，管理簡單方便，安全交換機(jī)看上去很美。但事實(shí)上，如果一家企業(yè)能做出帶有防火墻功能的核心交換機(jī)，他往往也能提供防火墻供用戶選擇。

在管理者為同一家廠商的情況下，用戶考慮得更多的為性能價(jià)格比。他們希望在購買網(wǎng)絡(luò)產(chǎn)品的同時(shí)獲得一些免費(fèi)的安全產(chǎn)品或安全功能。對于用戶的這種需求，各廠商的主導(dǎo)的思路是不同的，華為3Com在低端產(chǎn)品上是增加端口的控制，策略比較簡單；在65和 85等中高端交換機(jī)上，則從可擴(kuò)容上去考慮，當(dāng)用戶需要交換機(jī)具備防火墻等功能時(shí)，再為其追加。

天融信董事長賀衛(wèi)東則認(rèn)為，雖然帶有安全功能的交換機(jī)產(chǎn)品不可能吞噬安全產(chǎn)品的市場，在網(wǎng)絡(luò)與安全的融合的潮流下，純粹的安全設(shè)備廠商將會受到網(wǎng)絡(luò)設(shè)備廠商比較大的沖擊。

隨著安全的矛盾越來越集中在應(yīng)用層面， 未來有兩類公司在網(wǎng)絡(luò)安全業(yè)中可能控制話語權(quán)。一是以基礎(chǔ)體系為核心，從管理到安全設(shè)備，都與通信相關(guān)，或者是將安全融合到網(wǎng)絡(luò)通信當(dāng)中去去的公司；二是以服務(wù)于應(yīng)用系統(tǒng)為核心的專項(xiàng)安全技術(shù)公司，不過當(dāng)它達(dá)到一定規(guī)模后，將賣給應(yīng)用系統(tǒng)公司或者通訊網(wǎng)絡(luò)公司，或獨(dú)立發(fā)展成綜合性以應(yīng)用層為核心的專業(yè)性安全公司。

鏈接一：交換機(jī)的安全含義

交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機(jī)所需要的最基本的安全功能。同時(shí)，交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心，應(yīng)該能對訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制。更重要的是，交換機(jī)還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止。

目前，交換機(jī)的安全功能包括：一、802.1x加強(qiáng)安全認(rèn)證，802.1x協(xié)議是剛剛完成標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的。 二、流量控制，交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機(jī)的帶寬被無限制濫用，能夠?qū)崿F(xiàn)對異常流量的控制，避免網(wǎng)絡(luò)堵塞。三、防DDoS，采用專門的技術(shù)來防范DDoS攻擊，它可以在不影響正常業(yè)務(wù)的情況下，智能地檢測和阻止惡意流量，從而防止網(wǎng)絡(luò)受到DDoS攻擊的威脅。四、虛擬局域網(wǎng)VLAN，可以在二層或者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個(gè)一個(gè)獨(dú)立的區(qū)域，可以控制這些區(qū)域是否可以通訊。五、基于訪問控制列表的防火墻功能，用訪問控制列表ACL來實(shí)現(xiàn)包過濾防火墻的安全功能，增強(qiáng)安全防范能力。六、入侵檢測IDS，可以根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對性的操作，并將這些對安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)上，由交換機(jī)來實(shí)現(xiàn)精確的端口斷開操作；七、設(shè)備冗余，發(fā)生故障時(shí)能迅速切換到一個(gè)好設(shè)備上，后備電源、后備管理模塊、冗余端口等冗余設(shè)備就能保證即使在設(shè)備出現(xiàn)故障的情況下，立刻賦予后備的模塊、安全保障網(wǎng)絡(luò)的運(yùn)行。

鏈接二：網(wǎng)絡(luò)安全產(chǎn)品的七大趨勢

信息安全專家曲成義認(rèn)為，目前整個(gè)安全產(chǎn)品、技術(shù)或者解決方案正呈現(xiàn)七大重要趨勢：

其一，安全產(chǎn)品出現(xiàn)集成化能力，也就是把多種安全功能集成在同一產(chǎn)品上。例如很多防火墻集成VPN；安全性能功能有很大的發(fā)展，例如過去防火墻支持百兆，現(xiàn)在上千兆。

其二，動(dòng)態(tài)防御思想進(jìn)展很快，基于這一思想配套的技術(shù)產(chǎn)品發(fā)展很快。例如提前預(yù)警的入侵檢測過去放在主機(jī)終端，現(xiàn)在則放在網(wǎng)絡(luò)環(huán)境下；不單檢測病毒，還看大面積流量的變化，為下一步可能發(fā)生的問題提前預(yù)警。

其三，把各個(gè)安全產(chǎn)品進(jìn)行信息共享和業(yè)務(wù)聯(lián)動(dòng)來提高強(qiáng)度，就是搞集成安全管理平臺。當(dāng)入侵檢測發(fā)現(xiàn)情況異常后，馬上通知防火墻；防火墻在隔離的同時(shí)，通知安全交換機(jī)準(zhǔn)備隨時(shí)切掉病毒；安全交換機(jī)在切病毒的同時(shí)通知路由器作好防護(hù)準(zhǔn)備。

其四，由于信息安全事件70％往往是內(nèi)部操作或內(nèi)外勾結(jié)，而傳統(tǒng)的防火墻、入侵檢測，殺病毒對防內(nèi)沒用，信息安全從防外部的同時(shí)更重視系統(tǒng)的內(nèi)控機(jī)制，特別是對用戶的源頭端控制，如何防止個(gè)人計(jì)算機(jī)違規(guī)操作，如非法聯(lián)結(jié)，違規(guī)轉(zhuǎn)儲，越級訪問等。

其五，縱深防御概念正在深入人心，這是信息化推進(jìn)的必然結(jié)果。一方面，從互聯(lián)網(wǎng)的角度來講，安全是一步步深入的，內(nèi)網(wǎng)安全，外網(wǎng)安全，互聯(lián)網(wǎng)安全；另一方面，網(wǎng)絡(luò)又是一個(gè)面向業(yè)務(wù)的實(shí)體，不同層面的業(yè)務(wù)，有不同的安全要求。

其六，內(nèi)容安全技術(shù)不再局限于傳統(tǒng)的關(guān)鍵字過濾，而是走向多樣化。由于計(jì)算機(jī)理解內(nèi)容的好壞比人要難，它對關(guān)鍵詞上下文的語義缺乏了解，眼下通過依靠“行為識別”的技術(shù)，可以智能在線識別針網(wǎng)絡(luò)上各種惡意攻擊、病毒攻擊、垃圾攻擊，從而保證內(nèi)容的安全。此外，針對圖象、視頻和語音等方面的內(nèi)容安全技術(shù)也正在興起之中。

其七，可信計(jì)算將成為未來潮流。