防火墙、路由器无法解决内网安全问题
面对日益严重的内网攻击和整网掉线问题,很多路由器和防火墙开发商也在产品中加入了相关技术,例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗,但是这些设备由于以太网工作原理的关系,其实还是无法全面解决内网安全问题。
例如DDOS攻击,虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征,但是它必须在收到这些数据包之后才能对数据包进行分析,而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源,由于路由器和防火墙都在局域网的最外端,这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵,而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连,加上大部分的局域网交换机都是线速转发的二层交换机,受感染客户端发送的大量数据包可以很快用完这些带宽,因此网络数据传输的压力都加载在路由器的LAN端口,这时候很多正常的请求都无法顺利通过LAN口提交过去,因此即使路由器知道哪些是正常的请求也无济于事。
交换机显现神奇实力
在大部分网管人员和技术员看来,交换机似乎和网络安全根本不搭界,在他们的印象中,交换机纯粹就是用来拓展上网计算机数量,提供更多的LAN口,似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备。
确实,要解决局域网的安全问题,交换机就不能再纯粹完成转发工作了事,还需要判断数封堵一些常见病毒所使用的端口,以及进行端口速率限制。有些读者会觉得,路由器上面不是也具备这些功能吗?没错,但如前面所说,路由器的这些功能发挥作用已经是在路由器的LAN口接收到数据包之后,而如果这些功能转移到交换机上,就可以防止这些病毒端口发送的数据包到达路由器,从而减轻路由器的负担,保证局域网其他用户的正常上网。
而为了能够识别各种恶意数据流量,交换机上就必须使用一款智能芯片,使其具备一定的分析处理能力,可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件,切断病毒传播的路径,一台这样的安全交换机,应当具有以下特点:
支持基于Ip、Mac、应用的访问控制列表功能(ACL)
支持常见病毒端口过滤功能
支持基于端口、Ip、Mac、应用的速率限制
支持基于端口、ip、mac、802.1p和应用的优先级控制(QOS)
支持基于mac+ip+vlan+端口的绑定(ARP防御)
支持ARP攻击和DDOS攻击事件记录日志
局域网安全应当受到更多的重视
其实对于网吧和大中型企业网络来说,关于局域网内部的管理一直是一个非常复杂和让管理人员头痛的问题,一个用户哪怕只是不小心点击一个恶意网站的链接,就会在几秒钟之内感染病毒,然后立刻影响到整个局域网的稳定和安全,加上现在恶意网站非常泛滥,病毒传播手段花样叠出,局域网安全必须受到广大网络管理人员的重视。
网络正在高速发展当中,网络安全问题也随之变化,新的安全形势对局域网安全提出新的考验。同时,网络管理人员也需要及时更新掌握最新的技术,采取适当有效的应对措施,以保障网络的稳定畅通。