基于Cyberpath系列产品的网络安全解决方案

    网络安全是大家普遍关注的问题，网络入侵、黑客攻击、网络病毒等时时刻刻威胁着我们的网络系统，稍不注意就会出现网络瘫痪、信息泄密、系统被破坏等。无论是个人还是企事业单位在规划网络的时候首先要考虑的是安全性，这方面虽有很多成熟的解决方法，如加防火墙、装防病毒软件等等，但成本高，对中小企业来说，无疑是个负担。交换机在企业网中占有重要的地位，通常是整个网络的核心所在，在这个黑客入侵风起云涌、病毒肆虐的网络时代，作为核心的交换机也理所当然要承担起网络安全的一部分责任。Cyberpath 的交换机系列除提供数据交换功能外，在网络安全方面有很多独到的特性：

    1、支持802.1x协议：802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它对连接到局域网的用户进行认证和授权，接受合法用户接入，保护网络安全的。在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外，在学校以及智能小区的网络中，由于涉及到网络的计费，所以验证用户接入的合法性也显得非常重要，IEEE 802.1x 正是解决这个问题的良药。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入;在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。

    2、流量控制：流量控制技术把流经端口的异常流量限制在一定的范围内，避免交换机的带宽被无限制滥用，实现对异常流量的控制，避免网络堵塞。

    3、防DDoS服务：采用专门的技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁，避免大规模分布式拒绝服务攻击，而影响用户的正常网络使用。

    4、全面支持VLAN：VLAN可限制了各个不同VLAN之间的非授权访问，还可以设置IP/MAC地址绑定功能限制用户的非授权网络访问，通过把网络分成一个一个独立的区域，可以控制这些区域之间的通讯，实现有限的广播域。

    5、基于访问控制列表（ACL）的防火墙功能：采用了访问控制列表（ACL）通过包过滤来实现防火墙的安全功能，增强网络的安全防范能力。ACL不仅可用来制定网络策略，针对个别用户或特定的数据流进行允许或拒绝的控制，还可用来增强网络的安全屏蔽，让黑客无法探测到网络中的特定主机，从而无法发动攻击。

    6、支持入侵检测：可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。

       7、能提供防火墙和VPN功能，可为用户节省成本：Cyberpath ESS_F10(ESS2226) 系列、ESS_F100(ESS3228)系列以及ESS_F1000(ESS3316)系列以太网交换机系都有扩展槽，能兼容多种功能模块。通过插入必要的可选卡，可为用户提供防火墙/VPN服务器功能。如图一：

图一 基于CyberPath 交换机系列的安全解决方案