博通(Broadcom)最近针对企业网络应用推出一款多层Gigabit以太网络(GbE)交换器BCM56510,这是Broadcom StrataXGS III系列的最新一代产品,与前一代BCM56500最大不同之处,在于新组件采用了该公司针对当前网络安全威胁开发的BroadShield安全技术,可支持微软的网络存取保护(NAP)政策强制技术,以提升网络安全。
随着企业网络应用日广,安全性已成为迫切需求。Broadcom资深产品经理Ammar Khan引述Symantec发布的安全报告指出,2006年,全球平均每天有6,110次DoS攻击,由网页浏览器导致的网络攻击占47%;另外,到2006年6月为止,全球共侦测出157,477个网络钓鱼式攻击;而在垃圾邮件方面,全球约58%的垃圾邮件是从美国发出,而在最严重的10个网络安全风险中,就有8个来自于恶意网络广告软件。
BCM56510搭载的BroadShield安全框架就是针对日益增加的安全威胁所设计。特别针对企业用户开发的BroadShield安全功能包含:标准化认证、使用者隔离(user quarantine)、防范拒绝服务攻击(DoS)、防御中间人攻击(man in the middle attack)、防范电子诈骗(spoofing)和支持先进的存取控制清单(ACL)等。
这个安全框架包含了主机状态评价和执行(HPAE)、硬件协议检查、连接端口安全与虚拟路由转发(VRF)。以HPAE为例,它能在任何主机加入网络前先评估其状态,并隔离不兼容的主机。这将能实现微软的NAP、Cisco的网络存取控制(NAC)以及可信任运算组织的可信任网络控制(Trust Network Control)。
Khan表示,NAP是为了Windows Vista和Windows Server“Longhorn”设计的资安政策强制执行(policy enforcement)技术,强制未遵守安全政策的计算机遵循网络健康政策(network health policy)。微软NAP技术将随Window Vista测试版出货;Windows Server未来版本(代号Longhorn) Beta 2版的NAP仅提供给特定合作厂商与客户。
在网络协议层安全性部份,BroadShield提供了连接端口阻断、MAC阻断、个别信息串流阻断与个别封包控制等能力。而协议检查则可提升对已知威胁的防御。简单来说,BroadShield是利用一种以数据串流为基础独特的使用者分类架构,并以逐一封包的方式强制执行资安政策。不论用户规模大小,都能更轻易地执行安全设定并扩及整个网络。
这些安全功能都整合在此次推出的BCM56510芯片中,该芯片具备IPv4/IPv6等Layer 2交换和Layer 3路由功能;涵盖IPv6到IPv4、ISATAP、IP到IP等隧道技术,提供多种转换机制;而虚拟路由器技术则可提供安全的网络流量虚拟化功能。另外,该组件还能以精密的排程机制支持八个服务级别(CoS),并支持802.1ad开发的可扩充载波存取(carrier access)。
BCM56510系列现有BCM56510、BCM56511、BCM56512、BCM56513与BCM56514等型号,现已提供样品。