安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性，比普通交換機(jī)具有更高的智能性和安全保護(hù)功能。在系統(tǒng)安全方面，交換機(jī)在網(wǎng)絡(luò)由到邊緣的整體架構(gòu)中實(shí)現(xiàn)了安全機(jī)制，即通過(guò)特定技術(shù)對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密、控制；在接入安全性方面，采用安全接入機(jī)制，包括802.1x接入驗(yàn)證、RADIUS/TACACST、MAC地址檢驗(yàn)以及各種類(lèi)型虛網(wǎng)技術(shù)等。不僅如此，許多交換機(jī)還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機(jī)則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。

　　圍繞路由交換機(jī)的安全問(wèn)題進(jìn)行了用戶調(diào)查，在收到的大量讀者反饋中，我們進(jìn)行了統(tǒng)計(jì)和分析：70%的用戶曾經(jīng)遭受過(guò)Slammer、"沖擊波"等蠕蟲(chóng)病毒的襲擊，這些蠕蟲(chóng)病毒攻擊的直接目標(biāo)通常是PC機(jī)和服務(wù)器，但是攻擊是通過(guò)網(wǎng)絡(luò)進(jìn)行的，因此當(dāng)這些蠕蟲(chóng)病毒大規(guī)模爆發(fā)時(shí)，交換機(jī)、路由器會(huì)首先受到牽連。抽樣分析表明：近50%的用戶反映Slammer、沖擊波等蠕蟲(chóng)病毒沖擊了路由交換機(jī)，36%的用戶的路由器受到?jīng)_擊。用戶只有通過(guò)重啟交換路由設(shè)備、重新配置訪問(wèn)控制列表才能消除蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備造成的影響。

　　交換機(jī)（英文：Switch,意為"開(kāi)關(guān)"）是一種用于電信號(hào)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備。它可以為接入交換機(jī)的任意兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)提供獨(dú)享的電信號(hào)通路。常見(jiàn)的交換機(jī)是以太網(wǎng)交換機(jī)。其他常見(jiàn)的還有電話語(yǔ)音交換機(jī)、光纖交換機(jī)等。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，交換概念的提出改進(jìn)了共享工作模式。我們以前介紹過(guò)的HUB集線器就是一種共享設(shè)備，HUB本身不能識(shí)別目的地址，當(dāng)同一局域網(wǎng)內(nèi)的A主機(jī)給B主機(jī)傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)包在以HUB為架構(gòu)的網(wǎng)絡(luò)上是以廣播方式傳輸?shù)模擅恳慌_(tái)終端通過(guò)驗(yàn)證數(shù)據(jù)包頭的地址信息來(lái)確定是否接收。

　　蠕蟲(chóng)病毒攻擊網(wǎng)絡(luò)設(shè)備

　　蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。初的蠕蟲(chóng)病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類(lèi)似蟲(chóng)子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲(chóng)病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身（蠕蟲(chóng)病毒）的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（通常是經(jīng)過(guò)網(wǎng)絡(luò)連接）。

　　蠕蟲(chóng)病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)吞吐效率下降、變慢。如果網(wǎng)絡(luò)中存在瓶頸，就會(huì)導(dǎo)致網(wǎng)絡(luò)停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機(jī)的處理能力或者內(nèi)存資源。需要指出的是，網(wǎng)絡(luò)中的路由器、交換機(jī)已經(jīng)達(dá)到或接近線速，內(nèi)網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對(duì)局域網(wǎng)內(nèi)部帶寬不會(huì)造成致命堵塞，但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)位置的三層交換機(jī)卻要吞吐絕大多數(shù)的流量，因而首當(dāng)其沖地受到蠕蟲(chóng)病毒的攻擊。接入層交換機(jī)通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲(chóng)病毒，病毒發(fā)作就會(huì)嚴(yán)重消耗帶寬和交換機(jī)資源，造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象早已屢見(jiàn)不鮮。

　　蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種：一是堵塞帶寬，導(dǎo)致服務(wù)不可用；二是占用CPU資源，導(dǎo)致宕機(jī)，紅色代碼、Slammer、沖擊波等蠕蟲(chóng)病毒不停地掃描IP地址，在很短時(shí)間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡(luò)出口堵塞。宕機(jī)共分幾種情況：一是普通三層交換機(jī)都采用流轉(zhuǎn)發(fā)模式，也就是將個(gè)數(shù)據(jù)包發(fā)送到CPU處理，根據(jù)其目的地址建流，頻繁建流會(huì)急劇消耗CPU資源，蠕蟲(chóng)病毒重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流，這對(duì)于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的；二是如果網(wǎng)絡(luò)規(guī)劃有問(wèn)題，在Slammer作用下導(dǎo)致大量ARP請(qǐng)求發(fā)生，也會(huì)耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機(jī)之間鏈路帶寬，導(dǎo)致路由協(xié)議的數(shù)據(jù)包（如Hello包）丟失，導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由震蕩。類(lèi)似的情形還有利用路由交換機(jī)安全漏洞對(duì)交換機(jī)CPU等資源發(fā)起的DoS攻擊。在2003年第5期報(bào)紙上，我們?cè)薪榻B了路由器的安全問(wèn)題，在這期報(bào)紙上我們將集中介紹交換機(jī)的安全問(wèn)題。

　　交換機(jī)需要加強(qiáng)安全性

　　以太網(wǎng)路由交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)。而是計(jì)算機(jī)就有被攻擊的可能，比如非法獲取路由交換機(jī)的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會(huì)受到DoS攻擊，比如前面提到的幾種蠕蟲(chóng)病毒。它們都利用了路由交換機(jī)的一些漏洞。一般交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù)、ARP、建路由表，維護(hù)路由協(xié)議，對(duì)ICMP報(bào)文進(jìn)行處理，監(jiān)控交換機(jī)，這些都有可能成為黑客攻擊交換機(jī)的手段。

　　蠕蟲(chóng)病毒的攻擊，使網(wǎng)絡(luò)設(shè)備廠商和用戶都開(kāi)始注重路由交換機(jī)的安全性。對(duì)于交換機(jī)安全性的理解，近48%的用戶認(rèn)為交換機(jī)的安全性是指交換機(jī)本身具有抗攻擊性和安全性，31%的用戶認(rèn)為是指路由交換機(jī)攜帶了安全模塊，21%的用戶認(rèn)為兩者兼?zhèn)?。絕大數(shù)網(wǎng)絡(luò)設(shè)備廠商認(rèn)為路由交換機(jī)的安全性需經(jīng)過(guò)特殊設(shè)計(jì)、提高了抗攻擊能力，同時(shí)具有一定的安全功能。