協議可控安全交換機技術

信息科技

作者：陳玉

摘要 安全交換機技術解決內部網絡安全問題，作為支撐該體係結構的關鍵技術，內部網存在的一個顯著問題就是網絡鏈路協議不可控，可以采用基於組幀變換和CRC校驗方式變換的秘密局域網SLAN協議，安全交換機防火牆是該體係結構的安全增強點，並設計實現了協議可控安全交換機係統的核心部件。

關鍵詞 體係結構；安全增強點；組幀變換

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0208-02

高速安全的計算機網絡是各行各業的信息平台，交換機實現了內部網計算機用戶的互連，交換機的“安全”沒有統一的標準，安全交換機運行於基於以太網的計算機內部網絡，安全交換機的核心是交換芯片和安全控製芯片。

1安全交換機安全策略與體係結構技術

1.1安全交換機安全策略與體係結構技術

完美的網絡安全設備需要出色的體係結構支持，一般來說，安全的交換機有三層含義。交換機作為網絡的核心設備，最重要的作用就是轉發數據，理想的安全交換機應具備以下安全功能和策略：防DoS/DDoS攻擊功能，支持數據鏈路層安全協議，基於訪問控製列表的防火牆功能，虛擬局域網（VLAN）功能，流量控製功能，入侵檢測功能，802.1x安全認證功能，L2-L4層過濾功能，Syslog和Watchdog功能，雙映象文件。

具體地說，安全交換機是數據鏈路層的重要設備，我們采用應用於安全交換機上的秘密局域網SLAN協議，入侵檢測係統應具備防範DDoS功能而訪問控製列表以前隻在核心路由器中才使用，可以讓網絡管理者用來製定網絡策略。VLAN是安全交換機必不可少的功能，安全交換機的流量控製功能避免網絡堵塞，入侵檢測能根據上報信息和數據流內容進行檢測，為了阻止非法用戶對局域網的接入，需要交換機能夠支持認證，保障網絡的安全性。

802.1x協議是符合IEEE 802協議集的局域網接入控製協議，802.1x協議與LAN是無縫融合的。在802.1x協議中，必須包括客戶端。一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端、認證係統和認證服務器，才能完成基於端口的訪問控製用戶認證和授權。根據過濾規則來過濾數據包，交換機的Syslog日誌功能可以將各種相關信息傳送給日誌服務器，保障網絡的運行。

1.2安全交換機體係結構-PCSS

網絡適配器作為內部網的關鍵設備，安全交換機運行於傳統的基於以太網的計算機內部網絡，安全交換機集成了防火牆功能，基本都是對數據報文頭進行軟件加密，IPS或SSE都采用專門的芯片，成本高。

PCSS是一個帶有網絡管理功能的高性能安全交換機。安全交換機硬件係統包括：係統管理CPU模塊、網絡管理CPU模塊、網絡交換模塊、安全控製芯片、網絡物理層模塊。SCC是一個小型的嵌入式係統，係統管理配置CPU是整個安全交換機的管理中心，數據傳輸通過串行外設接口，在安全網絡適配器上也具有SAC芯片。

PCSS的安全策略及優點為兩級安全交換機製，秘密局域網SLAN協議的動態切換策略，軟硬件結合的數據過濾與安全審計策略，全字段自主保密傳輸策略。全字段自主保密傳輸策略密鑰的更新方式完全由網絡管理員控製，網絡鏈路上傳輸的數據都是經過加密執行特定的安全措施，更進一步確保了數據傳輸的安全性。