安全交換機還是比較常用的，于是我研究了一下安全交換機如何攻陷“安全陣地”，在這里拿出來和大家分享一下，希望對大家有用。早在2001年下半年，中低端安全交換機市場出現(xiàn)了產(chǎn)能過剩的情況，當時僅珠江三角洲就活躍了300多家廠商，產(chǎn)品已經(jīng)類似PC和家電 ，對于這些廠商來講，他們沒有技術和資金實力向高端挺進。

到2003年，在大部分安全交換機廠商規(guī)模并未擴大的情況下，中低端安全交換機的價格出現(xiàn)大幅下跌，在中關村海龍大廈的某些柜臺上，低端交換機赫然甚至標出200多元。一些曾經(jīng)發(fā)展迅猛的設備廠商突然銷聲匿跡，因為面目相似的所謂新產(chǎn)品，無法給市場以強有力的刺激，例如以“大貓”起家的全向科技，聯(lián)想投資參股的記憶網(wǎng)絡等；還有一些設備廠商或者“換牌”經(jīng)營或變得非常低調，如LANTECH網(wǎng)絡，TCL網(wǎng)絡，清華比威等。隨著信息化的推進，中國企業(yè)用戶對于網(wǎng)絡的需求已經(jīng)從建網(wǎng)的假性需求上升到了和業(yè)務息息相關的真性應用，對實用性和可靠性的要求很高，即使是邊緣層的產(chǎn)品，也要考慮數(shù)據(jù)不能中斷。“安全可靠”成為網(wǎng)絡產(chǎn)品的基本需求。

另一方面，隨著互聯(lián)網(wǎng)應用的推進，安全問題也越演越烈，出現(xiàn)三個趨勢：計算機病毒與網(wǎng)絡黑客結合，使得病毒滲入計算機，由內向外爆發(fā)，計算機即使裝了防毒軟件，也殺不掉所有的病毒；而廣泛蔓延的病毒都是與操作系統(tǒng)平臺緊密結合的，沒有國界之分；隨著軟件和硬件的界限變得越來越模糊，在安全領域，黑客、病毒將會越來越轉向硬件。

伴隨著這些趨勢，全球出現(xiàn)了一股網(wǎng)絡基礎設備和安全設備融合的潮流：如Juniper 以40億美元收購NetScreen，以"安全、可靠和性能"的名義聯(lián)手；思科則在5個月內，先后收購安全軟件公司Psionic、Okena，一次性推出14個安全產(chǎn)品，提出"端到端安全解決方案"，將包括防火墻、IDS、防病毒、3A、網(wǎng)絡管理、路由器二層三層等安全技術在內的一攬子方案給用戶。華為3Com， 2003年7月推出i3SAFE安全構架；港灣，2003年推出"交換機＋IDS"方案；銳捷網(wǎng)絡推出了聯(lián)動式安全管理解決方案。“跟風是網(wǎng)絡設備企業(yè)的傳統(tǒng)。” 網(wǎng)絡集成商陳先生說，“既然主流廠商們高舉安全的大旗，那大伙兒也會以‘安全’的名義搞搞市場，至于‘安全交換機’的說法是什么倒并不重要。”-

攻打“安全”的陣地？

對于那些集成了防火墻、VPN等真正安全產(chǎn)品功能的交換機，在未來是否會吞噬安全產(chǎn)品的市場呢？華為3Com趙曉軒、銳捷網(wǎng)絡的羅自靈、網(wǎng)絡集成商陳先生認為不太可能。“具有防火墻功能的安全交換機要替代防火墻就是一件難事。” 羅自靈說，“因為不同的用戶在構建網(wǎng)絡的時候，考慮到安全的著眼點不同。”

陳先生則坦承，在中小企業(yè)網(wǎng)絡搭建過程中，他們更趨向建議用戶分開用，交換機是交換機，防火墻是防火墻，分開以后，更好布署，同時性能會更好；對一些大點的企業(yè)，則建議分步實施防火墻、安全交換機，然后再根據(jù)要求不斷的往上加。“通俗地說，就是讓對價格不那么敏感且未來對安全需求比較高的的客戶購買可以拓展安全功能的交換機，需要時可以升級。” 陳先生解釋，以便日后可以布署后臺的一個安全保障系統(tǒng)，跟網(wǎng)絡里面的相關設備能夠進行安全聯(lián)動。趙曉軒認為，從目前來看，具有防火墻和VPN功能的安全交換機不能取代防火墻。原因有兩個方面：

其一，所放的位置不同，所起的安全左右也不一樣。防火墻主要是放在網(wǎng)絡接入層，來防止外來攻擊；而帶有防火墻功能的交換機則往往在網(wǎng)絡的核心處，而不是在匯聚層和接入層面，其目的是通過核心的智能來提高安全性。（有專家曾指出電話網(wǎng)之所以安全是其結構為“傻瓜終端+智能核心”，而互聯(lián)網(wǎng)則正好相反，是“智能終端+傻瓜核心”的結構，所以安全事件層出不窮）

其二，在一個網(wǎng)絡安全解決方案中，選擇在安全交換機中插入安全模塊，還是外置安全產(chǎn)品，取決于用戶自身的選擇。

從用戶的售后服務的角度來講，安全產(chǎn)品越買越多，管理起來非常不方便，如果能直接把安全產(chǎn)品直接融入在網(wǎng)絡上的話 ，管理簡單方便，安全交換機看上去很美。但事實上，如果一家企業(yè)能做出帶有防火墻功能的核心交換機，他往往也能提供防火墻供用戶選擇。

在管理者為同一家廠商的情況下，用戶考慮得更多的為性能價格比。他們希望在購買網(wǎng)絡產(chǎn)品的同時獲得一些免費的安全產(chǎn)品或安全功能。對于用戶的這種需求，各廠商的主導的思路是不同的，華為3Com在低端產(chǎn)品上是增加端口的控制，策略比較簡單；在65和 85等中高端交換機上，則從可擴容上去考慮，當用戶需要交換機具備防火墻等功能時，再為其追加。

天融信董事長賀衛(wèi)東則認為，雖然帶有安全功能的交換機產(chǎn)品不可能吞噬安全產(chǎn)品的市場，在網(wǎng)絡與安全的融合的潮流下，純粹的安全設備廠商將會受到網(wǎng)絡設備廠商比較大的沖擊。

隨著安全的矛盾越來越集中在應用層面， 未來有兩類公司在網(wǎng)絡安全業(yè)中可能控制話語權。一是以基礎體系為核心，從管理到安全設備，都與通信相關，或者是將安全融合到網(wǎng)絡通信當中去去的公司；二是以服務于應用系統(tǒng)為核心的專項安全技術公司，不過當它達到一定規(guī)模后，將賣給應用系統(tǒng)公司或者通訊網(wǎng)絡公司，或獨立發(fā)展成綜合性以應用層為核心的專業(yè)性安全公司。

鏈接一：交換機的安全含義

交換機最重要的作用就是轉發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵擾下，交換機要能夠繼續(xù)保持其高效的數(shù)據(jù)轉發(fā)速率，不受到攻擊的干擾，這就是交換機所需要的最基本的安全功能。同時，交換機作為整個網(wǎng)絡的核心，應該能對訪問和存取網(wǎng)絡信息的用戶進行區(qū)分和權限控制。更重要的是，交換機還應該配合其他網(wǎng)絡安全設備，對非授權訪問和網(wǎng)絡攻擊進行監(jiān)控和阻止。

目前，交換機的安全功能包括：一、802.1x加強安全認證，802.1x協(xié)議是剛剛完成標準化的一個符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎上提供一種對連接到局域網(wǎng)的用戶進行認證和授權的手段，達到了接受合法用戶接入，保護網(wǎng)絡安全的目的。 二、流量控制，交換機的流量控制技術把流經(jīng)端口的異常流量限制在一定的范圍內，避免交換機的帶寬被無限制濫用，能夠實現(xiàn)對異常流量的控制，避免網(wǎng)絡堵塞。三、防DDoS，采用專門的技術來防范DDoS攻擊，它可以在不影響正常業(yè)務的情況下，智能地檢測和阻止惡意流量，從而防止網(wǎng)絡受到DDoS攻擊的威脅。四、虛擬局域網(wǎng)VLAN，可以在二層或者三層交換機上實現(xiàn)有限的廣播域，它可以把網(wǎng)絡分成一個一個獨立的區(qū)域，可以控制這些區(qū)域是否可以通訊。五、基于訪問控制列表的防火墻功能，用訪問控制列表ACL來實現(xiàn)包過濾防火墻的安全功能，增強安全防范能力。六、入侵檢測IDS，可以根據(jù)上報信息和數(shù)據(jù)流內容進行檢測，在發(fā)現(xiàn)網(wǎng)絡安全事件的時候，進行有針對性的操作，并將這些對安全事件反應的動作發(fā)送到交換機上，由交換機來實現(xiàn)精確的端口斷開操作；七、設備冗余，發(fā)生故障時能迅速切換到一個好設備上，后備電源、后備管理模塊、冗余端口等冗余設備就能保證即使在設備出現(xiàn)故障的情況下，立刻賦予后備的模塊、安全保障網(wǎng)絡的運行。

鏈接二：網(wǎng)絡安全產(chǎn)品的七大趨勢

信息安全專家曲成義認為，目前整個安全產(chǎn)品、技術或者解決方案正呈現(xiàn)七大重要趨勢：

其一，安全產(chǎn)品出現(xiàn)集成化能力，也就是把多種安全功能集成在同一產(chǎn)品上。例如很多防火墻集成VPN；安全性能功能有很大的發(fā)展，例如過去防火墻支持百兆，現(xiàn)在上千兆。

其二，動態(tài)防御思想進展很快，基于這一思想配套的技術產(chǎn)品發(fā)展很快。例如提前預警的入侵檢測過去放在主機終端，現(xiàn)在則放在網(wǎng)絡環(huán)境下；不單檢測病毒，還看大面積流量的變化，為下一步可能發(fā)生的問題提前預警。

其三，把各個安全產(chǎn)品進行信息共享和業(yè)務聯(lián)動來提高強度，就是搞集成安全管理平臺。當入侵檢測發(fā)現(xiàn)情況異常后，馬上通知防火墻；防火墻在隔離的同時，通知安全交換機準備隨時切掉病毒；安全交換機在切病毒的同時通知路由器作好防護準備。

其四，由于信息安全事件70％往往是內部操作或內外勾結，而傳統(tǒng)的防火墻、入侵檢測，殺病毒對防內沒用，信息安全從防外部的同時更重視系統(tǒng)的內控機制，特別是對用戶的源頭端控制，如何防止個人計算機違規(guī)操作，如非法聯(lián)結，違規(guī)轉儲，越級訪問等。

其五，縱深防御概念正在深入人心，這是信息化推進的必然結果。一方面，從互聯(lián)網(wǎng)的角度來講，安全是一步步深入的，內網(wǎng)安全，外網(wǎng)安全，互聯(lián)網(wǎng)安全；另一方面，網(wǎng)絡又是一個面向業(yè)務的實體，不同層面的業(yè)務，有不同的安全要求。

其六，內容安全技術不再局限于傳統(tǒng)的關鍵字過濾，而是走向多樣化。由于計算機理解內容的好壞比人要難，它對關鍵詞上下文的語義缺乏了解，眼下通過依靠“行為識別”的技術，可以智能在線識別針網(wǎng)絡上各種惡意攻擊、病毒攻擊、垃圾攻擊，從而保證內容的安全。此外，針對圖象、視頻和語音等方面的內容安全技術也正在興起之中。

其七，可信計算將成為未來潮流。