路由交换机有很多值得学习的地方,这里我们主要介绍路由交换机应如何加强网络安全性,网络安全不再单纯依赖单一设备和单一技术来实现已成为业界共识。路由交换机作为网络骨干设备,自然也肩负着构筑网络安全防线的重任。
围绕路由
交换机的安全问题进行了用户调查,在收到的大量读者反馈中,我们进行了统计和分析:70%的用户曾经遭受过Slammer、“冲击波”等蠕虫病毒的袭击,这些蠕虫病毒攻击的直接目标通常是PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。抽样分析表明:近50%的用户反映Slammer、冲击波等蠕虫病毒冲击了路由交换机,36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。
蠕虫病毒攻击网络设备
蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈,就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽,也可能是
路由器、
交换机的处理能力或者内存资源。需要指出的是,网络中的路由器、交换机已经达到或接近线速,内网带宽往往不收敛,在这种情况下,病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞,但位于网络出口位置的
路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量,因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接,一旦用户终端感染蠕虫病毒,病毒发作就会严重消耗带宽和交换机资源,造成网络瘫痪,这一现象早已屡见不鲜。
蠕虫病毒对
网络设备的冲击形式主要有两种:一是堵塞带宽,导致服务不可用;二是占用CPU资源,导致宕机,红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址,在很短时间内就占用大量的带宽资源,造成网络出口堵塞。宕机共分几种情况:一是普通三层交换机都采用流转发模式,也就是将第一个数据包发送到CPU处理,根据其目的地址建流,频繁建流会急剧消耗CPU资源,蠕虫病毒最重要的攻击手段就是不停地发送数据流,这对于采用流转发模式的网络设备是致命的;二是如果网络规划有问题,在Slammer作用下导致大量ARP请求发生,也会耗尽CPU资源。再比如,Slammer病毒拥塞三层交换机之间链路带宽,导致路由协议的数据包(如Hello包)丢失,导致整个网络的路由震荡。类似的情形还有利用路由交换机安全漏洞对交换机CPU等资源发起的DoS攻击。在2003年第5期报纸上,我们曾集中介绍了路由器的安全问题,在这期报纸上我们将集中介绍交换机的安全问题。
交换机需要加强安全性
以太网路由交换机实际是一个为转发数据包优化的计算机。而是计算机就有被攻击的可能,比如非法获取路由交换机的控制权,导致网络瘫痪,另一方面也会受到DoS攻击,比如前面提到的几种蠕虫病毒。它们都利用了路由交换机的一些漏洞。一般交换机可以作生成权维护、路由协议维护、ARP、建路由表,维护路由协议,对ICMP报文进行处理,监控交换机,这些都有可能成为黑客攻击交换机的手段。
蠕虫病毒的攻击,使网络设备厂商和用户都开始注重路由交换机的安全性。对于交换机安全性的理解,近48%的用户认为交换机的安全性是指交换机本身具有抗攻击性和安全性,31%的用户认为是指路由交换机携带了安全模块,21%的用户认为两者兼备。绝大数网络设备厂商认为路由交换机的安全性需经过特殊设计、提高了抗攻击能力,同时具有一定的安全功能。
传统
路由交换机主要用于数据包的快速转发,强调转发性能。随着局域网的广泛互连,加上TCP/IP协议本身的开放性,网络安全成为一个突出问题,网络中的敏感数据、机密信息被泄露,重要数据设备被攻击,而路由交换机作为网络环境中重要的转发设备,其原来的安全特性已经无法满足现在的安全需求,因此传统的路由交换机需要增加
安全性。