完备安全 网管的快乐工作

自从在一家宽频公司从事网络管理这一工作以来，张小小就没有一天清闲过。时不时的病毒骚扰更是让小张精神紧张，不敢有丝毫懈怠。而现代网络病毒传播形式的日新月异，也让张小小陷入了困顿。

为什么我们的网络会如此脆弱呢？

    以往网络病毒还只是利用可执行文件进行传播，可现在通过文件交换、电子邮件、直接扫描操作系统漏洞等方式都能大范围爆发，俨然一副海陆空的立体进攻架势。特别是蠕虫病毒，它们通过扫描网络来搜寻下一个攻击目标，这种扫描耗费大量网络资源，一旦网络中存在瓶颈，就会导致网络停顿甚至瘫痪。此外，随着以太网接入交换机技术的成熟，线速转发能力已经成为二层交换机的必备能力，因此，病毒爆发时导致的海量数据包都能被尽数转发。这样使得位于网络出口位置的路由器和位于网络核心位置的三层交换机，在病毒导致的海量流量的冲击下就可能无法承受，一些边缘路由器以及可怜的WAN带宽势必成为了病毒洪流的牺牲品。

    每次想到这些隐患，张小小都如坐针毡。

如何才能从根本上解决这些问题呢？

    其实，张小小也有了答案，在目前多数网络有了防火墙等安全设备来把守门户之后，用户接入端口的安全保护就变得至关重要了。问题的关键是市场上有没有具备这样功能的交换机？一次偶然的机会，张小小在《网络世界》上看到了这样几行字：“安全上对基于端口的VLAN、802.1Q、GVRP都提供了良好的支持，同时也支持基于MAC、IP、TCP/UDP端口号等创建规则，对数据包进行安全控制。对SSL和SSH提供支持，以确保对交换机的安全访问。”张小小眼睛一亮，这不就是我需要的产品吗！于是，在张小小的强烈要求下，公司买了一款SMC6724AL2交换机。

    在谨慎运行了一段时间后，张小小终于露出了久违的笑脸。原来SMC6724AL2的每个端口都可以绑定一组安全规则(ACL)，这组规则可以是根据源或目的的L2地址、L3地址或者是四层的端口来判断是否该转发数据包，从而确保网络设备不被非法访问或被用作攻击跳板。

    更令张小小开心的是，SMC6724AL2还具备用户验证、防地址假冒、安全管理等技术和特性。以前，张小小也曾担心随着公司业务的发展，来往公司的客户及其他人员比较多，他们可以利用公共空间（如会议室）的网络接口通过DHCP服务器登陆Internet，使公司文件服务器上的机密文件安全性受到了威胁。可现在，小张只须启用SMC6724AL2的802.1x端口认证功能，未经许可的用户便无法进入公司内部网络。

    在交换机管理方面，SMC6724AL2则采用了安全套接层(SSL)，为所有通过web方式管理交换机的流量加密，通过SSH来实现安全的远程CLI登录管理。

    现在，张小小在网管员论坛中逢人便说：“其实网络管理也可以这么轻松，工作也有快乐的时候。不信，买款SMC6724AL2试试！”。