技巧：巧用交换机解决局域网安全

我☆能

现在人们一谈起网络安全，首先就会想到病毒、木马、黑客等等，令人不寒而栗。当问及采取的防范措施时，基本上也就是防火墙和杀毒软件。防火墙作为一种比较成熟而且也算是比较传统的网络安全设备，它的这种安全形象已经深入人心。可是，防火墙只是用于阻止外网计算机对内部网络的恶意攻击，并不能包治百病，而且随着互联网以及网络安全状况的发展变化，完全依靠防火墙来实现整个公司企业网络的安全已经不大可能了。

　　当今网络安全问题

　　当今世界信息化建设飞速发展,尤其以通信、计算机、网络为代表的互联网技术更是日新月异,令人眼花燎乱，目不睱接。由于互联网络的发展，计算机网络在政治、经济和生活的各个领域正在迅速普及，全社会对网络的依赖程度越来越大，整个世界经济正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，利用网络的信息和资源充分共享。网络已经成为社会和经济发展强大动力，其地位越来越重要。

　　自冲击波病毒开始，病毒在局域网疯狂传播所造成的强大杀伤力开始让用户心惊胆战，之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击，进入2006年，在网吧行业影响最严重的安全问题变成了ARP和DDOS，这些恶意程序不仅巧妙伪装而且无处不在，更严重的是一旦局域网某台计算机感染了病毒，就会造成大量的计算机掉线甚至整个网络陷入瘫痪，令网吧业主和网吧玩家万般无奈，在公司企业内部网络也几乎存在同样的问题，而此时传统的防火墙却显得毫无办法。

　　局域网---病毒高发区

　　相信任何一个网管都知道，病毒并不可怕，可怕的是局域网内病毒的传播。这些病毒不但感染内网中的机器，而且还会向外网(互联网)蔓延，感染互联网中的机器，同时网络带宽也会被这些病毒大量占用，导致局域网用户无法正常上网办公。

　　如果是在4年前，局域网还是非常安全的，很多公司也习惯了直接在局域网共享各种常用软件和资料，但是现在为了获得一些非正当的利益，很多病毒开发者打起了局域网的主意：

　　先是由于网游的热火而产生了ARP病毒。这是一种欺骗性质的病毒，虽然它的目的并不是破坏局域网，但为了达到它盗号盗宝的目的，会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关，欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关，所以就会导致大量信息堵塞，网速越来越慢，甚至造成网络瘫痪，而且ARP病毒这样做的目的就是为了截取用户的信息，盗取诸如网络游戏帐号、QQ密码等用户信息，因此它不仅会造成局域网堵塞，也会威胁到局域网用户的信息安全。


　　防火墙、路由器无法解决内网安全问题

　　面对日益严重的内网攻击和整网掉线问题，很多路由器和防火墙开发商也在产品中加入了相关技术，例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗，但是这些设备由于以太网工作原理的关系，其实还是无法全面解决内网安全问题。

　　例如DDOS攻击，虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征，但是它必须在收到这些数据包之后才能对数据包进行分析，而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源，由于路由器和防火墙都在局域网的最外端，这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵，而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连，加上大部分的局域网交换机都是线速转发的二层交换机，受感染客户端发送的大量数据包可以很快用完这些带宽，因此网络数据传输的压力都加载在路由器的LAN端口，这时候很多正常的请求都无法顺利通过LAN口提交过去，因此即使路由器知道哪些是正常的请求也无济于事。

　　交换机显现神奇实力

　　在大部分网管人员和技术员看来，交换机似乎和网络安全根本不搭界，在他们的印象中，交换机纯粹就是用来拓展上网计算机数量，提供更多的LAN口，似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备。

　　确实，要解决局域网的安全问题，交换机就不能再纯粹完成转发工作了事，还需要判断数封堵一些常见病毒所使用的端口，以及进行端口速率限制。有些读者会觉得，路由器上面不是也具备这些功能吗？没错，但如前面所说，路由器的这些功能发挥作用已经是在路由器的LAN口接收到数据包之后，而如果这些功能转移到交换机上，就可以防止这些病毒端口发送的数据包到达路由器，从而减轻路由器的负担，保证局域网其他用户的正常上网。

　　而为了能够识别各种恶意数据流量，交换机上就必须使用一款智能芯片，使其具备一定的分析处理能力，可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件，切断病毒传播的路径，一台这样的安全交换机，应当具有以下特点：

　　支持基于Ip、Mac、应用的访问控制列表功能（ACL）

　　支持常见病毒端口过滤功能

　　支持基于端口、Ip、Mac、应用的速率限制

　　支持基于端口、ip、mac、802.1p和应用的优先级控制（QOS）

　　支持基于mac+ip+vlan+端口的绑定（ARP防御）

　　支持ARP攻击和DDOS攻击事件记录日志

　　局域网安全应当受到更多的重视

　　其实对于网吧和大中型企业网络来说，关于局域网内部的管理一直是一个非常复杂和让管理人员头痛的问题，一个用户哪怕只是不小心点击一个恶意网站的链接，就会在几秒钟之内感染病毒，然后立刻影响到整个局域网的稳定和安全，加上现在恶意网站非常泛滥，病毒传播手段花样叠出，局域网安全必须受到广大网络管理人员的重视。

　　网络正在高速发展当中，网络安全问题也随之变化，新的安全形势对局域网安全提出新的考验。同时，网络管理人员也需要及时更新掌握最新的技术，采取适当有效的应对措施，以保障网络的稳定畅通。

我☆能

现在人们一谈起网络安全，首先就会想到病毒、木马、黑客等等，令人不寒而栗。当问及采取的防范措施时，基本上也就是防火墙和杀毒软件。防火墙作为一种比较成熟而且也算是比较传统的网络安全设备，它的这种安全形象已经深入人心。可是，防火墙只是用于阻止外网计算机对内部网络的恶意攻击，并不能包治百病，而且随着互联网以及网络安全状况的发展变化，完全依靠防火墙来实现整个公司企业网络的安全已经不大可能了。

　　当今网络安全问题

　　当今世界信息化建设飞速发展,尤其以通信、计算机、网络为代表的互联网技术更是日新月异,令人眼花燎乱，目不睱接。由于互联网络的发展，计算机网络在政治、经济和生活的各个领域正在迅速普及，全社会对网络的依赖程度越来越大，整个世界经济正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，利用网络的信息和资源充分共享。网络已经成为社会和经济发展强大动力，其地位越来越重要。

　　自冲击波病毒开始，病毒在局域网疯狂传播所造成的强大杀伤力开始让用户心惊胆战，之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击，进入2006年，在网吧行业影响最严重的安全问题变成了ARP和DDOS，这些恶意程序不仅巧妙伪装而且无处不在，更严重的是一旦局域网某台计算机感染了病毒，就会造成大量的计算机掉线甚至整个网络陷入瘫痪，令网吧业主和网吧玩家万般无奈，在公司企业内部网络也几乎存在同样的问题，而此时传统的防火墙却显得毫无办法。

　　局域网---病毒高发区

　　相信任何一个网管都知道，病毒并不可怕，可怕的是局域网内病毒的传播。这些病毒不但感染内网中的机器，而且还会向外网(互联网)蔓延，感染互联网中的机器，同时网络带宽也会被这些病毒大量占用，导致局域网用户无法正常上网办公。

　　如果是在4年前，局域网还是非常安全的，很多公司也习惯了直接在局域网共享各种常用软件和资料，但是现在为了获得一些非正当的利益，很多病毒开发者打起了局域网的主意：

　　先是由于网游的热火而产生了ARP病毒。这是一种欺骗性质的病毒，虽然它的目的并不是破坏局域网，但为了达到它盗号盗宝的目的，会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关，欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关，所以就会导致大量信息堵塞，网速越来越慢，甚至造成网络瘫痪，而且ARP病毒这样做的目的就是为了截取用户的信息，盗取诸如网络游戏帐号、QQ密码等用户信息，因此它不仅会造成局域网堵塞，也会威胁到局域网用户的信息安全。


　　防火墙、路由器无法解决内网安全问题

　　面对日益严重的内网攻击和整网掉线问题，很多路由器和防火墙开发商也在产品中加入了相关技术，例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗，但是这些设备由于以太网工作原理的关系，其实还是无法全面解决内网安全问题。

　　例如DDOS攻击，虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征，但是它必须在收到这些数据包之后才能对数据包进行分析，而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源，由于路由器和防火墙都在局域网的最外端，这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵，而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连，加上大部分的局域网交换机都是线速转发的二层交换机，受感染客户端发送的大量数据包可以很快用完这些带宽，因此网络数据传输的压力都加载在路由器的LAN端口，这时候很多正常的请求都无法顺利通过LAN口提交过去，因此即使路由器知道哪些是正常的请求也无济于事。

　　交换机显现神奇实力

　　在大部分网管人员和技术员看来，交换机似乎和网络安全根本不搭界，在他们的印象中，交换机纯粹就是用来拓展上网计算机数量，提供更多的LAN口，似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备。

　　确实，要解决局域网的安全问题，交换机就不能再纯粹完成转发工作了事，还需要判断数封堵一些常见病毒所使用的端口，以及进行端口速率限制。有些读者会觉得，路由器上面不是也具备这些功能吗？没错，但如前面所说，路由器的这些功能发挥作用已经是在路由器的LAN口接收到数据包之后，而如果这些功能转移到交换机上，就可以防止这些病毒端口发送的数据包到达路由器，从而减轻路由器的负担，保证局域网其他用户的正常上网。

　　而为了能够识别各种恶意数据流量，交换机上就必须使用一款智能芯片，使其具备一定的分析处理能力，可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件，切断病毒传播的路径，一台这样的安全交换机，应当具有以下特点：

　　支持基于Ip、Mac、应用的访问控制列表功能（ACL）

　　支持常见病毒端口过滤功能

　　支持基于端口、Ip、Mac、应用的速率限制

　　支持基于端口、ip、mac、802.1p和应用的优先级控制（QOS）

　　支持基于mac+ip+vlan+端口的绑定（ARP防御）

　　支持ARP攻击和DDOS攻击事件记录日志

　　局域网安全应当受到更多的重视

　　其实对于网吧和大中型企业网络来说，关于局域网内部的管理一直是一个非常复杂和让管理人员头痛的问题，一个用户哪怕只是不小心点击一个恶意网站的链接，就会在几秒钟之内感染病毒，然后立刻影响到整个局域网的稳定和安全，加上现在恶意网站非常泛滥，病毒传播手段花样叠出，局域网安全必须受到广大网络管理人员的重视。

　　网络正在高速发展当中，网络安全问题也随之变化，新的安全形势对局域网安全提出新的考验。同时，网络管理人员也需要及时更新掌握最新的技术，采取适当有效的应对措施，以保障网络的稳定畅通。