用安全交換機解決局域網(wǎng)安全問題

2021-07-26 14:39 作者：admin 瀏覽量：

一談到加強網(wǎng)絡安全，大家可能第一反應就是使用“防火墻”，確實，防火墻作為一種比較成熟而且也算是比較傳統(tǒng)的網(wǎng)絡安全設備，它的這種安全形象已經(jīng)深入人心，但是，防火墻只是用于阻止外網(wǎng)計算機對內(nèi)部網(wǎng)絡的惡意攻擊，并不能包治百病，而且隨著互聯(lián)網(wǎng)以及網(wǎng)絡安全狀況的發(fā)展變化，完全依靠防火墻來實現(xiàn)整個公司企業(yè)網(wǎng)絡的安全已經(jīng)不大可能了。

當今網(wǎng)絡安全的新形勢

有一定網(wǎng)齡的朋友大概都知道，早期的網(wǎng)絡攻擊和惡意入侵主要來自外網(wǎng)，而且是少部分學習黑客技術(shù)的人所為，因此當時哪怕只是通過一個防火墻簡單的封堵一些端口，檢測一些特征數(shù)據(jù)包就能實現(xiàn)內(nèi)網(wǎng)的安全。

然而，自沖擊波病毒開始，病毒在局域網(wǎng)瘋狂傳播所造成的強大殺傷力開始讓用戶心驚膽戰(zhàn)，之后計算機病毒更是控制住大量的“僵尸”電腦對特定網(wǎng)站或者服務器發(fā)動洪水攻擊，進入2006年，在網(wǎng)吧行業(yè)影響最嚴重的安全問題變成了ARP和DDOS，這些惡意程序不僅巧妙偽裝而且無處不在，更嚴重的是一旦局域網(wǎng)某臺計算機感染了病毒，就會造成大量的計算機掉線甚至整個網(wǎng)絡陷入癱瘓，令網(wǎng)吧業(yè)主和網(wǎng)吧玩家萬般無奈，在公司企業(yè)內(nèi)部網(wǎng)絡也幾乎存在同樣的問題，而此時傳統(tǒng)的防火墻卻顯得毫無辦法。

局域網(wǎng)也成病毒高發(fā)地區(qū)

如果是在4年前，局域網(wǎng)還是非常安全的，很多公司也習慣了直接在局域網(wǎng)共享各種常用軟件和資料，但是現(xiàn)在為了獲得一些非正當?shù)睦妫芏嗖《鹃_發(fā)者打起了局域網(wǎng)的主意：

先是由于網(wǎng)游的熱火而產(chǎn)生了ARP病毒。這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達到它盜號盜寶的目的，會嚴重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動。所謂ARP攻擊其實就是內(nèi)網(wǎng)某臺主機偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其他主機將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺主機上。但是由于此臺主機的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠遠低于網(wǎng)關(guān)，所以就會導致大量信息堵塞，網(wǎng)速越來越慢，甚至造成網(wǎng)絡癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶的信息，盜取諸如網(wǎng)絡游戲帳號、QQ密碼等用戶信息，因此它不僅會造成局域網(wǎng)堵塞，也會威脅到局域網(wǎng)用戶的信息安全。

接著很多針對特殊服務器或是網(wǎng)游私服的DDOS攻擊也開始大舉利用網(wǎng)吧或企業(yè)網(wǎng)絡中的客戶機作為“僵尸”電腦，對指定的服務器IP發(fā)送大量的數(shù)據(jù)包，“僵尸”電腦越多，服務器被消耗的帶寬也越多，利用這個原理耗盡服務器的帶寬，就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網(wǎng)服務器，但是它在攻擊過程中需要向路由器發(fā)送大量的數(shù)據(jù)包，會直接導致路由器僅有的100M LAN口被“堵滿”，因此其他局域網(wǎng)的計算機的請求無法提交到路由器進行處理，結(jié)果就產(chǎn)生局域網(wǎng)計算機全部“掉線”的現(xiàn)象。

還有一種針對服務器的SYN攻擊也會令局域網(wǎng)電腦全體“掉線”： SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認缺陷，通過發(fā)送大量的半連接請求，耗費CPU和內(nèi)存資源。SYN攻擊除了能影響主機外，還可以危害路由器、防火墻等網(wǎng)絡系統(tǒng)，事實上SYN攻擊并不管目標是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務就可以實施。配合IP欺騙，SYN攻擊能達到很好的效果，通常，感染SYN病毒的客戶端在短時間內(nèi)偽造大量不存在的IP地址，向服務器不斷地發(fā)送SYN包，服務器回復確認包，并等待客戶的確認，由于源地址是不存在的，服務器需要不斷的重發(fā)直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統(tǒng)和路由器運行緩慢，嚴重的時候就直接引起整個局域網(wǎng)的網(wǎng)絡堵塞甚至系統(tǒng)癱瘓。

防火墻路由器無法解決內(nèi)網(wǎng)安全問題

面對日益嚴重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問題，很多路由器和防火墻開發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設備由于以太網(wǎng)工作原理的關(guān)系，其實還是無法全面解決內(nèi)網(wǎng)安全問題。

例如DDOS攻擊，雖然路由器和防火墻可以利用一些設定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對數(shù)據(jù)包進行分析，而這些數(shù)據(jù)包在收過來的時候其實就已經(jīng)占用了LAN口的帶寬資源，由于路由器和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡結(jié)構(gòu)已經(jīng)決定了它們無法在攻擊數(shù)據(jù)包產(chǎn)生的時候就進行封堵，而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連，加上大部分的局域網(wǎng)交換機都是線速轉(zhuǎn)發(fā)的二層交換機，受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網(wǎng)絡數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口，這時候很多正常的請求都無法順利通過LAN口提交過去，因此即使路由器知道哪些是正常的請求也無濟于事。

用交換機來解決局域網(wǎng)攻擊問題

既然路由器和防火墻無法全面解決局網(wǎng)安全問題，那么自然會有人想到用交換機來解決這個問題。

在大部分網(wǎng)管人員和技術(shù)員看來，交換機就是純粹用來拓展上網(wǎng)計算機數(shù)量，提供更多的LAN口，似乎它就只是一個只管線速轉(zhuǎn)發(fā)而從來不對數(shù)據(jù)包進行分析的設備，這也是二層交換機給人比較深刻的印象。

確實，要解決局域網(wǎng)的安全問題，交換機就不能再純粹完成轉(zhuǎn)發(fā)工作了事，還需要判斷數(shù)封堵一些常見病毒所使用的端口，以及進行端口速率限制。有些讀者會覺得，路由器上面不是也具備這些功能嗎？沒錯，但如前面所說，路由器的這些功能發(fā)揮作用已經(jīng)是在路由器的LAN口接收到數(shù)據(jù)包之后，而如果這些功能轉(zhuǎn)移到交換機上，就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達路由器，從而減輕路由器的負擔，保證局域網(wǎng)其他用戶的正常上網(wǎng)。

而為了能夠識別各種惡意數(shù)據(jù)流量，交換機上就必須使用一款智能芯片，使其具備一定的分析處理能力，可以準確的判斷、封堵、限制并記錄ARP攻擊和DDOS攻擊事件，切斷病毒傳播的路徑，一臺這樣的安全交換機，應當具有以下特點：

支持基于Ip、Mac、應用的訪問控制列表功能（ACL）

支持常見病毒端口過濾功能

支持基于端口、Ip、Mac、應用的速率限制

支持基于端口、ip、mac、802.1p和應用的優(yōu)先級控制（QOS）

支持基于mac+ip+vlan+端口的綁定（ARP防御）

支持ARP攻擊和DDOS攻擊事件記錄日志

局域網(wǎng)安全應當受到更多的重視

其實對于網(wǎng)吧和大中型企業(yè)網(wǎng)絡來說，關(guān)于局域網(wǎng)內(nèi)部的管理一直是一個非常復雜和令人頭痛的問題，一個用戶哪怕只是不小心點擊一個惡意網(wǎng)站的鏈接，就會在幾秒鐘之內(nèi)感染病毒，然后立刻影響到整個局域網(wǎng)的穩(wěn)定和安全，加上現(xiàn)在惡意網(wǎng)站非常泛濫，病毒傳播手段花樣疊出，局域網(wǎng)安全必須受到廣大網(wǎng)絡管理人員的重視。

網(wǎng)絡在不斷發(fā)展，網(wǎng)絡安全環(huán)境也隨之變化，新的安全形勢對局域網(wǎng)安全提出新的考驗，網(wǎng)絡管理人員也需要及時更新技術(shù)，采取適當?shù)膽獙Υ胧员Ｕ暇W(wǎng)絡的穩(wěn)定暢通。
 

中國首款I(lǐng)T服務微信小程序“企如意”，一款真心實意為企業(yè)謀福利的知音。IT產(chǎn)品一切應有盡有，讓您的企業(yè)輕松提升工作效率！自小程序上線以來，用戶注冊量已超過50000人，IT服務產(chǎn)品下單量已達到6500單。因為專注，所以專業(yè)，工單服務好評率也高達98%以上。小程序，大作為，真正成為您企業(yè)績效倍增的加速器！幫助企業(yè)的同時還有更多好禮相送。

更多活動請關(guān)注“企如意”小程序！