網(wǎng)絡(luò)安全不再單純依賴單一設(shè)備和單一技術(shù)來(lái)實(shí)現(xiàn)已成為業(yè)界共識(shí)。交換機(jī)作為網(wǎng)絡(luò)骨干設(shè)備，自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。 

3月12日到3月29日，我們?cè)凇毒W(wǎng)絡(luò)世界》網(wǎng)站www.cnw.com.cn）上，圍繞交換機(jī)的安全問(wèn)題進(jìn)行了用戶調(diào)查，在收到的 大量讀者反饋中，我們進(jìn)行了統(tǒng)計(jì)和分析：70%的用戶曾經(jīng)遭受過(guò)Slammer、“沖擊波”等蠕蟲病毒的襲擊，這些蠕蟲病毒攻擊的直接目標(biāo)通常是PC機(jī)和服務(wù)器，但是攻擊是通過(guò)網(wǎng)絡(luò)進(jìn)行的，因此當(dāng)這些蠕蟲病毒大規(guī)模爆發(fā)時(shí)，交換機(jī)、路由器會(huì)首先受到牽連。抽樣分析表明：近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了交換機(jī)，36%的用戶的路由器受到?jīng)_擊。用戶只有通過(guò)重啟交換路由設(shè)備、重新配置訪問(wèn)控制列表才能消除蠕蟲病毒對(duì)網(wǎng)絡(luò)設(shè)備造成的影響。 

蠕蟲病毒攻擊網(wǎng)絡(luò)設(shè)備 

蠕蟲病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)吞吐效率下降、變慢。如果網(wǎng)絡(luò)中存在瓶頸，就會(huì)導(dǎo)致網(wǎng)絡(luò)停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機(jī)的處理能力或者內(nèi)存資源。需要指出的是，網(wǎng)絡(luò)中的路由器、交換機(jī)已經(jīng)達(dá)到或接近線速，內(nèi)網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對(duì)局域網(wǎng)內(nèi)部帶寬不會(huì)造成致命堵塞，但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)核心位置的三層交換機(jī)卻要吞吐絕大多數(shù)的流量，因而首當(dāng)其沖地受到蠕蟲病毒的攻擊。接入層交換機(jī)通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發(fā)作就會(huì)嚴(yán)重消耗帶寬和交換機(jī)資源，造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象早已屢見不鮮。 

蠕蟲病毒對(duì)網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種：一是堵塞帶寬，導(dǎo)致服務(wù)不可用；二是占用CPU資源，導(dǎo)致宕機(jī)，紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時(shí)間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡(luò)出口堵塞。宕機(jī)共分幾種情況:一是普通三層交換機(jī)都采用流轉(zhuǎn)發(fā)模式，也就是將第一個(gè)數(shù)據(jù)包發(fā)送到CPU處理，根據(jù)其目的地址建流，頻繁建流會(huì)急劇消耗CPU資源，蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流，這對(duì)于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的；二是如果網(wǎng)絡(luò)規(guī)劃有問(wèn)題，在Slammer作用下導(dǎo)致大量ARP請(qǐng)求發(fā)生，也會(huì)耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機(jī)之間鏈路帶寬，導(dǎo)致路由協(xié)議的數(shù)據(jù)包（如Hello包）丟失，導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由震蕩。類似的情形還有利用交換機(jī)安全漏洞對(duì)交換機(jī)CPU等資源發(fā)起的DoS攻擊。在2003年第５期報(bào)紙上，我們?cè)薪榻B了路由器的安全問(wèn)題，在這期報(bào)紙上我們將集中介紹交換機(jī)的安全問(wèn)題。 

交換機(jī)需要加強(qiáng)安全性 

以太網(wǎng)交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)。而是計(jì)算機(jī)就有被攻擊的可能，比如非法獲取交換機(jī)的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會(huì)受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。 

它們都利用了交換機(jī)的一些漏洞。一般交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù)、ARP、建路由表，維護(hù)路由協(xié)議，對(duì)ICＭP報(bào)文進(jìn)行處理，監(jiān)控交換機(jī)，這些都有可能成為黑客攻擊交換機(jī)的手段。 

蠕蟲病毒的攻擊，使網(wǎng)絡(luò)設(shè)備廠商和用戶都開始注重交換機(jī)的安全性。對(duì)于交換機(jī)安全性的理解，近48%的用戶認(rèn)為交換機(jī)的安全性是指交換機(jī)本身具有抗攻擊性和安全性，31%的用戶認(rèn)為是指交換機(jī)攜帶了安全模塊，21%的用戶認(rèn)為兩者兼?zhèn)?。絕大數(shù)網(wǎng)絡(luò)設(shè)備廠商認(rèn)為交換機(jī)的安全性需經(jīng)過(guò)特殊設(shè)計(jì)、提高了抗攻擊能力，同時(shí)具有一定的安全功能。 

傳統(tǒng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，強(qiáng)調(diào)轉(zhuǎn)發(fā)性能。隨著局域網(wǎng)的廣泛互連，加上TCP/IP協(xié)議本身的開放性，網(wǎng)絡(luò)安全成為一個(gè)突出問(wèn)題，網(wǎng)絡(luò)中的敏感數(shù)據(jù)、機(jī)密信息被泄露，重要數(shù)據(jù)設(shè)備被攻擊，而交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，其原來(lái)的安全特性已經(jīng)無(wú)法滿足現(xiàn)在的安全需求，因此傳統(tǒng)的交換機(jī)需要增加安全性。 

在網(wǎng)絡(luò)設(shè)備廠商看來(lái)，加強(qiáng)安全性的交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善，除了具備一般的功能外，這種交換機(jī)還具備普通交換機(jī)所不具有的安全策略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，預(yù)防病毒和網(wǎng)絡(luò)攻擊，限制非法訪問(wèn)，進(jìn)行事后分析，有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開展。實(shí)現(xiàn)安全性的一種作法就是在現(xiàn)有交換機(jī)中嵌入各種安全模塊。不同用戶有不同的需求，25%的用戶希望交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能，37%的用戶表示需要直接使用安全設(shè)備，48%的用戶表示兩種方式都需要。 

在現(xiàn)階段，由于有過(guò)被攻擊的經(jīng)歷，絕大多數(shù)用戶對(duì)增強(qiáng)安全性的交換機(jī)表示出濃厚興趣，18%的用戶表示在三個(gè)月之內(nèi)購(gòu)買，29%的用戶會(huì)在半年之內(nèi)購(gòu)買，19%的用戶打算在一年之內(nèi)購(gòu)買，只有34%的用戶表示近期不作考慮。同時(shí)，用戶對(duì)這種加強(qiáng)安全性的交換機(jī)的價(jià)格也表現(xiàn)出理性態(tài)度：8%的用戶希望能與傳統(tǒng)交換機(jī)價(jià)格相當(dāng)，4%的用戶接受高于傳統(tǒng)交換機(jī)20%以上的價(jià)格，而88%的用戶接受10%～20%的價(jià)格上浮。 

安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性，比普通交換機(jī)具有更高的智能性和安全保護(hù)功能。在系統(tǒng)安全方面，交換機(jī)在網(wǎng)絡(luò)由核心到邊緣的整體架構(gòu)中實(shí)現(xiàn)了安全機(jī)制，即通過(guò)特定技術(shù)對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密、控制；在接入安全性方面，采用安全接入機(jī)制，包括802.1x接入驗(yàn)證、RADIUS/TACACST、MAC地址檢驗(yàn)以及各種類型虛網(wǎng)技術(shù)等。不僅如此，許多交換機(jī)還增加了硬件形式的安全模塊，一些具有內(nèi)網(wǎng)安全功能的交換機(jī)則更好地遏制了隨著WLAN應(yīng)用而泛濫的內(nèi)網(wǎng)安全隱患。目前交換機(jī)中常用的安全技術(shù)包括以下幾種。 

流量控制技術(shù) 把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多交換機(jī)具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包，以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。 不過(guò)，交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無(wú)法區(qū)分哪些是正常流量，哪些是異常流量。同時(shí)，如何設(shè)定一個(gè)合適的閾值也比較困難。 

訪問(wèn)控制列表(ACL)技術(shù) ACL通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)或被用作攻擊跳板。ACL是一張規(guī)則表，交換機(jī)按照順序執(zhí)行這些規(guī)則，并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過(guò)。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)至關(guān)重要。 

安全套接層(SSL) 為所有 HTTP流量加密，允許訪問(wèn)交換機(jī)上基于瀏覽器的管理 GUI。 

802.1x和RADIUS 網(wǎng)絡(luò)登錄 控制基于端口的訪問(wèn)，以進(jìn)行驗(yàn)證和責(zé)任明晰。 

源端口過(guò)濾 只允許指定端口進(jìn)行相互通信。 

Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數(shù)據(jù)，確保IP網(wǎng)絡(luò)上安全的CLI遠(yuǎn)程訪問(wèn)。 

安全FTP 實(shí)現(xiàn)與交換機(jī)之間安全的文件傳輸，避免不需要的文件下載或未授權(quán)的交換機(jī)配置文件復(fù)制。 

但是有安全功能不等于就行，一些交換機(jī)具有ACL，但如果ASIC支持的ACL少仍舊沒(méi)有用。一般交換機(jī)還不能對(duì)非法的ARP（源目的MAC為廣播地址）進(jìn)行特殊處理。網(wǎng)絡(luò)中是否會(huì)出現(xiàn)路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對(duì)交換機(jī)網(wǎng)管系統(tǒng)的DoS攻擊等，都是交換機(jī)面臨的潛在威脅。 

交換機(jī)與IDS聯(lián)動(dòng) 

傳統(tǒng)的IDS系統(tǒng)一直倍受爭(zhēng)議，原因有四點(diǎn)：一是誤報(bào)率和漏報(bào)率太高；二是沒(méi)有主動(dòng)防御能力，只能被動(dòng)防守；三是缺乏準(zhǔn)確的定位和處理機(jī)制，只能識(shí)別IP地址，無(wú)法定位IP地址；四是性能普遍不足，不能適應(yīng)交換技術(shù)和高帶寬環(huán)境，大流量沖擊和多IP分片情況都可能造成IDS癱瘓或丟包，容易遭到DoS攻擊。 

在采訪網(wǎng)絡(luò)設(shè)備廠商的過(guò)程中，思科、華為3Com、港灣都提到了交換機(jī)與IDS的聯(lián)動(dòng)，大家認(rèn)為，交換機(jī)IDS聯(lián)動(dòng)，能夠克服IDS的不足，實(shí)現(xiàn)雙贏效果。眾所周知，黑客和病毒都是依賴網(wǎng)絡(luò)平臺(tái)進(jìn)行攻擊，將IDS作為監(jiān)控系統(tǒng)，與交換機(jī)進(jìn)行聯(lián)動(dòng)，就能在網(wǎng)絡(luò)平臺(tái)上切斷黑客和病毒的傳播途徑，實(shí)現(xiàn)意想不到的安全效果。具體來(lái)說(shuō)，IDS與交換設(shè)備聯(lián)動(dòng)是指在運(yùn)行的過(guò)程中，交換機(jī)將各種數(shù)據(jù)流的信息上報(bào)給安全設(shè)備，IDS可以根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對(duì)性的操作，并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)上，由交換機(jī)來(lái)實(shí)現(xiàn)精確的端口斷開操作。實(shí)現(xiàn)這種聯(lián)動(dòng)，需要交換機(jī)能夠支持認(rèn)證、端口鏡像、強(qiáng)制流分類、進(jìn)程數(shù)控制、端口反查等功能，同時(shí)具備線速交換特性。目前，新一代智能交換機(jī)能夠與IDS實(shí)現(xiàn)聯(lián)動(dòng)。港灣FlexHammer5010就是這樣一款產(chǎn)品，它具備多重網(wǎng)絡(luò)標(biāo)識(shí)的綁定和端口反查功能，防止網(wǎng)絡(luò)欺騙行為，可以幫助IDS系統(tǒng)對(duì)攻擊點(diǎn)進(jìn)行準(zhǔn)確定位。 

專家認(rèn)為：在目前，智能交換機(jī)與IDS的聯(lián)動(dòng)是一個(gè)非常實(shí)際而且不會(huì)給用戶帶來(lái)額外投資的理想方案。不過(guò)與網(wǎng)絡(luò)設(shè)備廠商看好交換機(jī)與IDS聯(lián)動(dòng)技術(shù)形成反差的是，絕大多數(shù)用戶表示認(rèn)可這項(xiàng)技術(shù)，但真正在實(shí)踐中將交換機(jī)與IDS聯(lián)動(dòng)起來(lái)的用戶卻是極少數(shù)，這說(shuō)明網(wǎng)絡(luò)設(shè)備廠商在培訓(xùn)教育用戶綜合使用交換機(jī)和IDS方面還存在明顯不足。 

安全與效率的權(quán)衡 

在我們的調(diào)查中，用戶對(duì)交換機(jī)安全問(wèn)題的關(guān)注率高達(dá)97%以上。不過(guò)大約48%的用戶擔(dān)心增強(qiáng)交換機(jī)的安全功能會(huì)影響網(wǎng)絡(luò)的吞吐效率，34%的用戶表示無(wú)所謂，關(guān)注安全與效率問(wèn)題的用戶主要是大中型企業(yè)。 

安全與效率的確是對(duì)此消彼長(zhǎng)的矛盾。從技術(shù)上講，傳統(tǒng)的交換機(jī)大都采用軟件方式，依靠CPU處理能力，來(lái)提供安全防御功能。眾所周知，病毒攻擊對(duì)交換機(jī)性能的影響較大，當(dāng)網(wǎng)絡(luò)流量大到一定程度時(shí)必然造成交換機(jī)癱瘓，網(wǎng)絡(luò)中斷。但對(duì)于依靠硬件技術(shù)實(shí)現(xiàn)了安全功能的交換機(jī)來(lái)說(shuō)，在負(fù)載范圍內(nèi)，其處理能力是全冗余的，不會(huì)影響性能。同時(shí)因?yàn)閿?shù)據(jù)過(guò)濾、智能識(shí)別攻擊源、策略查找等功能也是基于硬件來(lái)實(shí)現(xiàn)，從而保證了病毒引起的流量不影響交換機(jī)的正常運(yùn)行。當(dāng)病毒報(bào)文流量大到一定程度，并且是未知類型的病毒時(shí)，可能會(huì)對(duì)交換機(jī)的正常業(yè)務(wù)造成影響，具有自我保護(hù)功能的交換設(shè)備則可以根據(jù)優(yōu)先級(jí)設(shè)置，丟棄低優(yōu)先級(jí)的、可能具有攻擊性的報(bào)文，保證高優(yōu)先級(jí)業(yè)務(wù)不中斷，系統(tǒng)穩(wěn)定運(yùn)行。從上述分析可以看出，采用先進(jìn)體系架構(gòu)的交換設(shè)備可以做到保障安全同時(shí)保證性能。對(duì)于強(qiáng)調(diào)效率的用戶來(lái)說(shuō)，最好選擇依靠硬件實(shí)現(xiàn)安全功能的交換機(jī)。 ■ 

產(chǎn)品篇 

思科Catalyst 6500: 模塊化安全設(shè)計(jì) 

思科將安全模塊集成在交換機(jī)中，企業(yè)可以根據(jù)自己的需求采用不同的安全措施和預(yù)防技術(shù)。Catalyst 6500系列交換機(jī)集成了IPSec VPN、防火墻、入侵檢測(cè)以及多層LAN、WAN和MAN交換功能。針對(duì)Catalyst 6500系列，思科還設(shè)計(jì)了思科安全套接層（SSL）模塊，提高Web應(yīng)用的性能和安全性，提供安全聯(lián)網(wǎng)。而如果將SSL與思科內(nèi)容交換模塊（CSM）集成在一起，將能夠加速流量，同時(shí)從Web服務(wù)器卸載資源，從而提供安全的服務(wù)器負(fù)載均衡解決方案。 

HP Procurve SwTIch 5300xl: 實(shí)現(xiàn)安全登錄 

HP Procurve SwTIch 5300xl交換機(jī)是面向中小企業(yè)網(wǎng)絡(luò)核心的產(chǎn)品，它具有緊湊的4插槽或8插槽模塊化外形，提供76.8G的交換容量和48Mpps的第二、三層轉(zhuǎn)發(fā)性能，采用源端口過(guò)濾、802.1x和RADIUS 網(wǎng)絡(luò)登錄等安全技術(shù)與功能，使交換機(jī)具有很高的安全性。 

華為3Com Quidway S3500: 阻止蠕蟲病毒 

華為3Com公司的Quidway S3500系列安全智能三層交換機(jī)提供完善的路由協(xié)議、VLAN控制、流量交換、QoS保證機(jī)制，適合作為關(guān)注業(yè)務(wù)管理控制和網(wǎng)絡(luò)安全保障能力的匯聚三層交換機(jī)。該系列設(shè)備具有完備的安全控制策略，采用基于最長(zhǎng)匹配的路由策略和逐包轉(zhuǎn)發(fā)方式，能夠防御蠕蟲病毒的攻擊。此外，該設(shè)備還支持802.1x和Web Portal認(rèn)證，通過(guò)MAC、IP、VLAN、PORT任意組合綁定，防止用戶非法訪問(wèn)網(wǎng)絡(luò)，支持多種ACL訪問(wèn)控制策略，能夠?qū)τ脩粼L問(wèn)網(wǎng)絡(luò)資源權(quán)限進(jìn)行設(shè)置。 

北電Alteon應(yīng)用交換機(jī): 抵御DoS攻擊 

北電Alteon應(yīng)用交換機(jī)具有智能流量管理功能和豐富的安全特性。Alteon 應(yīng)用交換機(jī)采用虛擬矩陣交換結(jié)構(gòu)和智能流量管理系統(tǒng)，具有出色的應(yīng)用層處理性能，其基本應(yīng)用層功能包括服務(wù)器負(fù)載均衡(SLB)、智能內(nèi)容(第七層)交換、緩存重定向(WCR)、防火墻及VPN網(wǎng)關(guān)負(fù)載均衡等。此外，其先進(jìn)的DoS防御能夠保障應(yīng)用交換機(jī)后端的服務(wù)器群及網(wǎng)絡(luò)系統(tǒng)的安全性。更重要的是，這些安全功能可以與其他流量管理應(yīng)用同時(shí)工作。 

銳捷STAR-S2100: 安全又智能

STAR-S2100系列是銳捷網(wǎng)絡(luò)自主研發(fā)的、針對(duì)各種規(guī)模的網(wǎng)絡(luò)匯聚接入而定制的智能千兆交換機(jī)。STAR-S2100系列能夠提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，可以實(shí)施靈活多樣的ACL訪問(wèn)控制，通過(guò)SNMP、Telnet、Web和Console口等多種方式提供豐富的管理功能。STAR-S2126G/S2150G以出色的性價(jià)比為各類型網(wǎng)絡(luò)提供端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)絡(luò)管理，滿足高速、安全、智能的應(yīng)用需求。 

編看編想 

交換機(jī)也需設(shè)防 

■ 宋麗娜 

有一種現(xiàn)象正在引起網(wǎng)絡(luò)設(shè)備廠商和用戶的注意，無(wú)論是黑客發(fā)動(dòng)DoS、DDoS攻擊，還是惡意蠕蟲爆發(fā)，交換機(jī)常常受到?jīng)_擊，最終癱瘓并導(dǎo)致網(wǎng)絡(luò)中斷?！毒W(wǎng)絡(luò)世界》進(jìn)行的交換機(jī)用戶調(diào)查顯示：近50%用戶反映交換機(jī)曾經(jīng)受到Slammer、沖擊波等蠕蟲病毒的沖擊。 

很多企業(yè)網(wǎng)絡(luò)系統(tǒng)不進(jìn)行安全設(shè)防，作為網(wǎng)絡(luò)核心的交換機(jī)，自然而然地肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線的任務(wù)，它的安全性、健壯性將直接影響到網(wǎng)絡(luò)的可用性，在交換機(jī)上采取必要的安全技術(shù)不僅可以有效緩解其他設(shè)備的安全壓力，而且能夠及時(shí)發(fā)現(xiàn)并解決問(wèn)題。例如，防病毒軟件對(duì)蠕蟲病毒無(wú)能為力，防火墻的反查找能力十分薄弱，入侵檢測(cè)軟件不能檢測(cè)內(nèi)部入侵，交換機(jī)可以輕松彌補(bǔ)上述安全設(shè)備的不足。對(duì)于網(wǎng)絡(luò)層以上的安全問(wèn)題，用戶可以對(duì)交換機(jī)端口的流量進(jìn)行控制來(lái)解決，對(duì)付Slammer蠕蟲病毒，用戶可以通過(guò)禁止交換機(jī)上采用UDP 1434端口來(lái)防范。 

業(yè)界一個(gè)普遍的觀點(diǎn)是：安全應(yīng)該遍布于整個(gè)網(wǎng)絡(luò)之內(nèi)，內(nèi)網(wǎng)到外網(wǎng)的安全既需要通過(guò)防火墻之類的專業(yè)安全設(shè)備來(lái)解決，也需要交換機(jī)在保護(hù)用戶方面發(fā)揮作用。 

目前，絕大多數(shù)用戶對(duì)通過(guò)交換機(jī)解決安全問(wèn)題抱積極態(tài)度，近75%的用戶打算今后在實(shí)踐中對(duì)交換機(jī)采取安全措施，希望通過(guò)加固遍布網(wǎng)絡(luò)的交換機(jī)來(lái)實(shí)現(xiàn)安全目標(biāo)。