网络设备安全配置的重要性

保护网络的安全不仅包括直接面向用户的终端设备，如服务器、工作站等，更包括网络的传输设备，如路由器、交换机等。保护网络安全，也不仅仅依靠网络安全设备，通过对网络设备本身的配置来保障内网安全，对网络中所有接入的用户进行认证和安全管理，从而保护网络内部的安全，也是非常重要的。

面对来自内部的网络安全威胁，防火墙、入侵检测系统等一系列防护措施很难奏效，但对交换机进行合理配置却可以成功构筑网络安全防线。大多数的网络管理员都会把对网络安全的关注重点放在防范外部网络带来的风险，如病毒、木马、DDoS等。人们也经常会看到许多关于黑客攻破和破坏系统的报道，因此大家都把大部分的注意力放在如何防范外部风险上，如路由器的访问控制及QoS配置、防火墙配置、安装入侵检测系统、物理隔离等。这些措施无疑对网络的安全起到了良好的保护作用，然而最新研究却发现，80%以上的网络攻击事件源于网络内部。而在面对来自内部的网络安全威胁时，防火墙、IDS等一系列措施却束手无策。更重要的是，内网上的大多数应用对企业至关重要，一旦出现涉密、破坏的事件，将产生十分严重的后果。这些都使得内网安全问题变得越来越重要和突出。

交换机作为内网骨干设备，是PC、服务器等终端设备接入网络的第一道防线，自然也肩负着构筑网络安全防线的重任。交换机可以轻而易举地弥补上述的防火墙和IDS的缺陷。从网络的层次上来说，交换机位于OSI七层模型的数据链路层，它的安全主要是接入设备和核心设备链路的安全性，目前部署在交换机上的802.1x标准协议就可以轻松实现链路的安全快速切换。(www.xing528.com)

蠕虫病毒对交换机的冲击形式主要是堵塞带宽导致服务不可用，或者是占用CPU导致CPU资源耗尽，无法正常转发报文。如Slammer、冲击波等蠕虫病毒就是不停地扫描IP地址，在很短时间内占用大量的带宽资源，造成网络出口堵塞。对于这些主要依靠广播方式传播的病毒、DoS/DDoS等，就可以通过对交换机端口的流量控制等一些方式来很好地解决。例如，作为对付2003年1月底肆虐全球的“SQL Slammer”蠕虫病毒的最有效措施就是通过禁止交换机上采用UDP 1434端口。

从网络设备配置的角度，防范外部风险通常采用防火墙、入侵检测系统、入侵防御系统、路由器配置安全策略；防范内部风险主要通过交换机安全配置实现。