現(xiàn)在人們一談起網(wǎng)絡(luò)安全，首先就會(huì)想到病毒、木馬、黑客等等，令人不寒而栗。當(dāng)問(wèn)及采取的防范措施時(shí)，基本上也就是防火墻和殺毒軟件。防火墻作為一種比較成熟而且也算是比較傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，它的這種安全形象已經(jīng)深入人心。可是，防火墻只是用于阻止外網(wǎng)計(jì)算機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的惡意攻擊，并不能包治百病，而且隨著互聯(lián)網(wǎng)以及網(wǎng)絡(luò)安全狀況的發(fā)展變化，完全依靠防火墻來(lái)實(shí)現(xiàn)整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全已經(jīng)不大可能了。

　　當(dāng)今網(wǎng)絡(luò)安全問(wèn)題

　　當(dāng)今世界信息化建設(shè)飛速發(fā)展,尤其以通信、計(jì)算機(jī)、網(wǎng)絡(luò)為代表的互聯(lián)網(wǎng)技術(shù)更是日新月異,令人眼花燎亂，目不睱接。由于互聯(lián)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及，全社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越大，整個(gè)世界經(jīng)濟(jì)正在迅速地融為一體，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為國(guó)家的經(jīng)濟(jì)基礎(chǔ)和命脈。眾多的企業(yè)、組織、政府部門(mén)與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，利用網(wǎng)絡(luò)的信息和資源充分共享。網(wǎng)絡(luò)已經(jīng)成為社會(huì)和經(jīng)濟(jì)發(fā)展強(qiáng)大動(dòng)力，其地位越來(lái)越重要。

　　自沖擊波病毒開(kāi)始，病毒在局域網(wǎng)瘋狂傳播所造成的強(qiáng)大殺傷力開(kāi)始讓用戶心驚膽戰(zhàn)，之后計(jì)算機(jī)病毒更是控制住大量的“僵尸”電腦對(duì)特定網(wǎng)站或者服務(wù)器發(fā)動(dòng)洪水攻擊，進(jìn)入2006年，在網(wǎng)吧行業(yè)影響最嚴(yán)重的安全問(wèn)題變成了ARP和DDOS，這些惡意程序不僅巧妙偽裝而且無(wú)處不在，更嚴(yán)重的是一旦局域網(wǎng)某臺(tái)計(jì)算機(jī)感染了病毒，就會(huì)造成大量的計(jì)算機(jī)掉線甚至整個(gè)網(wǎng)絡(luò)陷入癱瘓，令網(wǎng)吧業(yè)主和網(wǎng)吧玩家萬(wàn)般無(wú)奈，在公司企業(yè)內(nèi)部網(wǎng)絡(luò)也幾乎存在同樣的問(wèn)題，而此時(shí)傳統(tǒng)的防火墻卻顯得毫無(wú)辦法。

　　局域網(wǎng)---病毒高發(fā)區(qū)

　　相信任何一個(gè)網(wǎng)管都知道，病毒并不可怕，可怕的是局域網(wǎng)內(nèi)病毒的傳播。這些病毒不但感染內(nèi)網(wǎng)中的機(jī)器，而且還會(huì)向外網(wǎng)(互聯(lián)網(wǎng))蔓延，感染互聯(lián)網(wǎng)中的機(jī)器，同時(shí)網(wǎng)絡(luò)帶寬也會(huì)被這些病毒大量占用，導(dǎo)致局域網(wǎng)用戶無(wú)法正常上網(wǎng)辦公。

　　如果是在4年前，局域網(wǎng)還是非常安全的，很多公司也習(xí)慣了直接在局域網(wǎng)共享各種常用軟件和資料，但是現(xiàn)在為了獲得一些非正當(dāng)?shù)睦妫芏嗖《鹃_(kāi)發(fā)者打起了局域網(wǎng)的主意：

　　先是由于網(wǎng)游的熱火而產(chǎn)生了ARP病毒。這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達(dá)到它盜號(hào)盜寶的目的，會(huì)嚴(yán)重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動(dòng)。所謂ARP攻擊其實(shí)就是內(nèi)網(wǎng)某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其他主機(jī)將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺(tái)主機(jī)上。但是由于此臺(tái)主機(jī)的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠(yuǎn)遠(yuǎn)低于網(wǎng)關(guān)，所以就會(huì)導(dǎo)致大量信息堵塞，網(wǎng)速越來(lái)越慢，甚至造成網(wǎng)絡(luò)癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶的信息，盜取諸如網(wǎng)絡(luò)游戲帳號(hào)、QQ密碼等用戶信息，因此它不僅會(huì)造成局域網(wǎng)堵塞，也會(huì)威脅到局域網(wǎng)用戶的信息安全。

　　#p#副標(biāo)題#e#

　　防火墻、路由器無(wú)法解決內(nèi)網(wǎng)安全問(wèn)題

　　面對(duì)日益嚴(yán)重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問(wèn)題，很多路由器和防火墻開(kāi)發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設(shè)備由于以太網(wǎng)工作原理的關(guān)系，其實(shí)還是無(wú)法全面解決內(nèi)網(wǎng)安全問(wèn)題。

　　例如DDOS攻擊，雖然路由器和防火墻可以利用一些設(shè)定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對(duì)數(shù)據(jù)包進(jìn)行分析，而這些數(shù)據(jù)包在收過(guò)來(lái)的時(shí)候其實(shí)就已經(jīng)占用了LAN口的帶寬資源，由于路由器和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)決定了它們無(wú)法在攻擊數(shù)據(jù)包產(chǎn)生的時(shí)候就進(jìn)行封堵，而且這些設(shè)備大部分還是采用100Mb的帶寬與LAN交換機(jī)相連，加上大部分的局域網(wǎng)交換機(jī)都是線速轉(zhuǎn)發(fā)的二層交換機(jī)，受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口，這時(shí)候很多正常的請(qǐng)求都無(wú)法順利通過(guò)LAN口提交過(guò)去，因此即使路由器知道哪些是正常的請(qǐng)求也無(wú)濟(jì)于事。

　　交換機(jī)顯現(xiàn)神奇實(shí)力

　　在大部分網(wǎng)管人員和技術(shù)員看來(lái)，交換機(jī)似乎和網(wǎng)絡(luò)安全根本不搭界，在他們的印象中，交換機(jī)純粹就是用來(lái)拓展上網(wǎng)計(jì)算機(jī)數(shù)量，提供更多的LAN口，似乎它就只是一個(gè)只管線速轉(zhuǎn)發(fā)而從來(lái)不對(duì)數(shù)據(jù)包進(jìn)行分析的設(shè)備。

　　確實(shí)，要解決局域網(wǎng)的安全問(wèn)題，交換機(jī)就不能再純粹完成轉(zhuǎn)發(fā)工作了事，還需要判斷數(shù)封堵一些常見(jiàn)病毒所使用的端口，以及進(jìn)行端口速率限制。有些讀者會(huì)覺(jué)得，路由器上面不是也具備這些功能嗎？沒(méi)錯(cuò)，但如前面所說(shuō)，路由器的這些功能發(fā)揮作用已經(jīng)是在路由器的LAN口接收到數(shù)據(jù)包之后，而如果這些功能轉(zhuǎn)移到交換機(jī)上，就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達(dá)路由器，從而減輕路由器的負(fù)擔(dān)，保證局域網(wǎng)其他用戶的正常上網(wǎng)。

　　而為了能夠識(shí)別各種惡意數(shù)據(jù)流量，交換機(jī)上就必須使用一款智能芯片，使其具備一定的分析處理能力，可以準(zhǔn)確的判斷、封堵、限制并記錄ARP攻擊和DDOS攻擊事件，切斷病毒傳播的路徑，一臺(tái)這樣的安全交換機(jī)，應(yīng)當(dāng)具有以下特點(diǎn)：

　　支持基于Ip、Mac、應(yīng)用的訪問(wèn)控制列表功能（ACL）

　　支持常見(jiàn)病毒端口過(guò)濾功能

　　支持基于端口、Ip、Mac、應(yīng)用的速率限制

　　支持基于端口、ip、mac、802.1p和應(yīng)用的優(yōu)先級(jí)控制（QOS）

　　支持基于mac+ip+vlan+端口的綁定（ARP防御）

　　支持ARP攻擊和DDOS攻擊事件記錄日志

　　局域網(wǎng)安全應(yīng)當(dāng)受到更多的重視

　　其實(shí)對(duì)于網(wǎng)吧和大中型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，關(guān)于局域網(wǎng)內(nèi)部的管理一直是一個(gè)非常復(fù)雜和讓管理人員頭痛的問(wèn)題，一個(gè)用戶哪怕只是不小心點(diǎn)擊一個(gè)惡意網(wǎng)站的鏈接，就會(huì)在幾秒鐘之內(nèi)感染病毒，然后立刻影響到整個(gè)局域網(wǎng)的穩(wěn)定和安全，加上現(xiàn)在惡意網(wǎng)站非常泛濫，病毒傳播手段花樣疊出，局域網(wǎng)安全必須受到廣大網(wǎng)絡(luò)管理人員的重視。

　　網(wǎng)絡(luò)正在高速發(fā)展當(dāng)中，網(wǎng)絡(luò)安全問(wèn)題也隨之變化，新的安全形勢(shì)對(duì)局域網(wǎng)安全提出新的考驗(yàn)。同時(shí)，網(wǎng)絡(luò)管理人員也需要及時(shí)更新掌握最新的技術(shù)，采取適當(dāng)有效的應(yīng)對(duì)措施，以保障網(wǎng)絡(luò)的穩(wěn)定暢通。