思科認證輔導：路由交換機發(fā)展仍需安全保證

　　不知道各位同學(xué)提起思科認證考試來(lái)還頭疼嗎?還覺(jué)得沒(méi)有什么復習頭緒嗎?下面報名網(wǎng)的小編就為大家整理了一些思科認證復習備考資料。希望大家可以從中學(xué)習答題方法，讓自己的得到進(jìn)步!

　　到今天為止，組網(wǎng)設備都已經(jīng)非常完善穩定，這里我們分析了路由交換機的未來(lái)發(fā)展方向，和需要注意的問(wèn)題。網(wǎng)絡(luò )安全不再單純依賴(lài)單一設備和單一技術(shù)來(lái)實(shí)現已成為業(yè)界共識。路由交換機作為網(wǎng)絡(luò )骨干設備，自然也肩負著(zhù)構筑網(wǎng)絡(luò )安全防線(xiàn)的重任。

　　圍繞路由交換機的安全問(wèn)題進(jìn)行了用戶(hù)調查，在收到的 大量讀者反饋中，我們進(jìn)行了統計和分析：70%的用戶(hù)曾經(jīng)遭受過(guò)Slammer、“沖擊波”等蠕蟲(chóng)病毒的襲擊，這些蠕蟲(chóng)病毒攻擊的直接目標通常是PC機和服務(wù)器，但是攻擊是通過(guò)網(wǎng)絡(luò )進(jìn)行的，因此當這些蠕蟲(chóng)病毒大規模爆發(fā)時(shí)，交換機、路由器會(huì )首先受到牽連。抽樣分析表明：近50%的用戶(hù)反映Slammer、沖擊波等蠕蟲(chóng)病毒沖擊了路由交換機，36%的用戶(hù)的路由器受到?jīng)_擊。用戶(hù)只有通過(guò)重啟交換路由設備、重新配置訪(fǎng)問(wèn)控制列表才能消除蠕蟲(chóng)病毒對網(wǎng)絡(luò )設備造成的影響。

　　蠕蟲(chóng)病毒攻擊網(wǎng)絡(luò )設備

　　蠕蟲(chóng)病毒發(fā)作導致網(wǎng)絡(luò )吞吐效率下降、變慢。如果網(wǎng)絡(luò )中存在瓶頸，就會(huì )導致網(wǎng)絡(luò )停頓甚至癱瘓。這些瓶頸可能是線(xiàn)路帶寬，也可能是路由器、交換機的處理能力或者內存資源。需要指出的是，網(wǎng)絡(luò )中的路由器、交換機已經(jīng)達到或接近線(xiàn)速，內網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對局域網(wǎng)內部帶寬不會(huì )造成致命堵塞，但位于網(wǎng)絡(luò )出口位置的路由器和位于網(wǎng)絡(luò )核心位置的三層交換機卻要吞吐絕大多數的流量，因而首當其沖地受到蠕蟲(chóng)病毒的攻擊。接入層交換機通常需要與用戶(hù)終端直接連接，一旦用戶(hù)終端感染蠕蟲(chóng)病毒，病毒發(fā)作就會(huì )嚴重消耗帶寬和交換機資源，造成網(wǎng)絡(luò )癱瘓，這一現象早已屢見(jiàn)不鮮。

　　蠕蟲(chóng)病毒對網(wǎng)絡(luò )設備的沖擊形式主要有兩種：一是堵塞帶寬，導致服務(wù)不可用;二是占用CPU資源，導致宕機，紅色代碼、Slammer、沖擊波等蠕蟲(chóng)病毒不停地掃描IP地址，在很短時(shí)間內就占用大量的帶寬資源，造成網(wǎng)絡(luò )出口堵塞。宕機共分幾種情況:一是普通三層交換機都采用流轉發(fā)模式，也就是將第一個(gè)數據包發(fā)送到CPU處理，根據其目的地址建流，頻繁建流會(huì )急劇消耗CPU資源，蠕蟲(chóng)病毒最重要的攻擊手段就是不停地發(fā)送數據流，這對于采用流轉發(fā)模式的網(wǎng)絡(luò )設備是致命的;二是如果網(wǎng)絡(luò )規劃有問(wèn)題，在Slammer作用下導致大量ARP請求發(fā)生，也會(huì )耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機之間鏈路帶寬，導致路由協(xié)議的數據包(如Hello包)丟失，導致整個(gè)網(wǎng)絡(luò )的路由震蕩。類(lèi)似的情形還有利用路由交換機安全漏洞對交換機CPU等資源發(fā)起的DoS攻擊。在2003年第5期報紙上，我們曾集中介紹了路由器的安全問(wèn)題，在這期報紙上我們將集中介紹交換機的安全問(wèn)題。

　　路由交換機需要加強安全性

　　以太網(wǎng)路由交換機實(shí)際是一個(gè)為轉發(fā)數據包優(yōu)化的計算機。而是計算機就有被攻擊的可能，比如非法獲取路由交換機的控制權，導致網(wǎng)絡(luò )癱瘓，另一方面也會(huì )受到DoS攻擊，比如前面提到的幾種蠕蟲(chóng)病毒。它們都利用了路由交換機的一些漏洞。一般交換機可以作生成權維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICMP報文進(jìn)行處理，監控交換機，這些都有可能成為黑客攻擊交換機的手段。

　　蠕蟲(chóng)病毒的攻擊，使網(wǎng)絡(luò )設備廠(chǎng)商和用戶(hù)都開(kāi)始注重路由交換機的安全性。對于交換機安全性的理解，近48%的用戶(hù)認為交換機的安全性是指交換機本身具有抗攻擊性和安全性，31%的用戶(hù)認為是指路由交換機攜帶了安全模塊，21%的用戶(hù)認為兩者兼備。絕大數網(wǎng)絡(luò )設備廠(chǎng)商認為路由交換機的安全性需經(jīng)過(guò)特殊設計、提高了抗攻擊能力，同時(shí)具有一定的安全功能。

　　傳統路由交換機主要用于數據包的快速轉發(fā)，強調轉發(fā)性能。隨著(zhù)局域網(wǎng)的廣泛互連，加上TCP/IP協(xié)議本身的開(kāi)放性，網(wǎng)絡(luò )安全成為一個(gè)突出問(wèn)題，網(wǎng)絡(luò )中的敏感數據、機密信息被泄露，重要數據設備被攻擊，而路由交換機作為網(wǎng)絡(luò )環(huán)境中重要的轉發(fā)設備，其原來(lái)的安全特性已經(jīng)無(wú)法滿(mǎn)足現在的安全需求，因此傳統的路由交換機需要增加安全性。

　　在網(wǎng)絡(luò )設備廠(chǎng)商看來(lái)，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網(wǎng)絡(luò )安全和用戶(hù)業(yè)務(wù)應用出發(fā)，能夠實(shí)現特定的安全策略，預防病毒和網(wǎng)絡(luò )攻擊，限制非法訪(fǎng)問(wèn)，進(jìn)行事后分析，有效保障用戶(hù)網(wǎng)絡(luò )業(yè)務(wù)的正常開(kāi)展。實(shí)現安全性的一種作法就是在現有交換機中嵌入各種安全模塊。不同用戶(hù)有不同的需求，25%的用戶(hù)希望交換機中增加防火墻、VPN、數據加密、身份認證等功能，37%的用戶(hù)表示需要直接使用安全設備，48%的用戶(hù)表示兩種方式都需要。在現階段，由于有過(guò)被攻擊的經(jīng)歷，絕大多數用戶(hù)對增強安全性的交換機表示出濃厚興趣，18%的用戶(hù)表示在三個(gè)月之內購買(mǎi)，29%的用戶(hù)會(huì )在半年之內購買(mǎi)，19%的用戶(hù)打算在一年之內購買(mǎi)，只有34%的用戶(hù)表示近期不作考慮。同時(shí)，用戶(hù)對這種加強安全性的交換機的價(jià)格也表現出理性態(tài)度：8%的用戶(hù)希望能與傳統交換機價(jià)格相當，4%的用戶(hù)接受高于傳統交換機20%以上的價(jià)格，而 88%的用戶(hù)接受10%～20%的價(jià)格上浮。

【思科認證輔導：路由交換機發(fā)展仍需安全保證】相關(guān)文章：

思科認證輔導：交換機配置和電腦開(kāi)機自檢03-28

思科認證：交換機使用技巧03-21

思科認證輔導：cisco路由器忘記密碼恢復03-18

思科認證輔導：如何挑選無(wú)線(xiàn)寬帶路由器03-18

思科路由器及交換機的基本管理01-23

思科認證輔導：詳解數據中心交換機的關(guān)鍵參數03-18

思科認證無(wú)線(xiàn)路由密碼設置方法03-05

2016年思科認證輔導：cisco路由器忘記密碼恢復03-28

思科認證CCIE路由和交換筆試大綱03-18