一、
网络安全是一个综合性的技术。在Internet这样的环境中,其本身的目的就是为了提供一种开放式的交互环境,但是为了保护一些秘密信息,网络安全成为了在开放网络环境中必要的技术之一。网络安全技术是随着网络技术的进步逐步发展的。
网络安全的必要技术
针对网络存在的各种安全隐患,安全路由器必须具有如下安全特性:
可靠性和线路安全
身份认证
访问控制
信息隐蔽
数据加密和防伪
安全管理
二、一般来说,网络的攻击方式主要有以下一些方式:
+窃听报文
攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
+IP地址欺骗
攻击者通过改变自己的IP地址来伪装成内部网络用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
+源路由攻击
报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
+端口扫描
通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
+拒绝服务攻击
攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。后来拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。
+应用层攻击
有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
总之,网络攻击的主要手段就是寻找TCP/IP网络中可能出现的漏洞。有些攻击手段是针对于特定的操作系统,这些都属于应用层攻击。
三、可靠性和线路安全
+可靠性要求主要针对故障恢复和负载能力
++主备运行: 主接口故障时,备份接口自动接替主用接口的工作
++负载分担: 网络流量增大时,备份链路承担部分主用链路的工作
+线路安全指的是线路本身的安全性
++防止非法用户利用线路接口尽心访问
可靠性要求主要是针对物理设备提出的,如设备具有主从备份、负载分担的能力,同时为了达到良好的可靠性需求应该保证路由器等重要的网络设备工作在安全的环境中。
线路安全主要是指线路本身不被非法盗用和窃听,所以应注意在隐蔽的和不安全的地方不要留下可以连接到网络的接口。
四、身份认证
+访问路由器时的身份认证
console口配置
telnet登陆配置
SNMP配置
Modem远程配置
+对其他路由的身份认证
直接相连的邻居路由器
逻辑连接的对等体
+路由信息的身份认证
防止伪造路由信息的侵入
身份认证是网络安全中解决的一个重要的问题,主要保证的是只有合法的用户、经过授权的用户才可以访问、控制路由器,如配置路由器时需要验证用户名和密码。同时还需要保证和其它网络设备的信息交互具有合法的身份认证,如防止伪造路由信息的侵入等。
因此在一些对路由器重要信息的场合,都需要进行身份验证,保证信息来源的可靠。
五、访问控制
+对网络设备的访问控制
分级保护
不同级别的用户拥有不同的操作权限
+基于五元组的访问控制
根据数据包信息进行数据分类
不同的数据流采用不同的策略
+基于用户的访问控制
对于接入服务用户,设定特定的过滤属性
访问控制是路由器提供的一种重要的安全策略,访问控制可以有效的防止一些非法的访问。
五元组_是指IP包头中的源IP地址、目的IP地址、协议号、源端口、目的端口5个元素_。
六、信息隐蔽
+地址转换
隐藏私网内部地址
仅仅是内部用户可以直接发起建立连接请求
+应用场合
内部局域网访问internet
地址转换技术,主要使用在内部局域网对公有网络的访问。使用地址转换技术不仅可以使用许多局域网用户可以共享一个IP地址上网,而且可以使内部局域网的网络结构、IP地址等信息都不在Internet上暴露,增强了这个内部局域网的安全特性。
七、数据加密和防伪
+数据加密
利用公网传输数据不可避免的面临数据窃听的问题
传输之前进行数据加密,保证只有与之通信的对端能够解密
+数据防伪
报文在传输过程中,被截获、修改,重新投放到网络上
接收端进行数据识别,丢弃被修改的报文
+相关技术
数据加密
数字签名
IPsec
数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面:一个是普通的加密、一个是防伪。防伪技术就是可以防止报文被不法分子截获报文之后,将报文修改,然后重新放到网上继续传递。
数据加密防伪是保护Internet上数据安全的一个重要手段,利用这种技术可以在Internet上为用户提供一种“安全的VPN”服务,利用加密技术可以为用户提供一种安全的在Internet上传递数据的手段。
八、安全管理
+保证重要的网络设备处于安全的运行环境,防止人为破坏
+保护好访问口令、密码等重要的安全信息
+进行安全策略管理,有效利用安全策略
+在网络出入口实现报文审计和过滤,提供网络运行的必要信息
对路由器等重要网络设备的管理是保证路由器安全运行的一个重要方面,一定要保证没有权限的用户不能随便配置路由器,也不能得到路由器的配置信息。网络安全同样需要保障网络拓扑信息的安全。
九、
(一)Quidway路由器的安全技术
+AAA(Authentication,Authorization,Accounting)网络安全服务
提供一个实现身份认证的主框架
提供验证、授权、记账的服务
使用RADIUS等协议实现对网络的访问控制
AAA是验证、授权、记帐的简称。AAA技术可以提供基于用户的验证、授权、记帐服务。基于用户的含义是,AAA技术不是根据IP地址等信息来验证用户,而是根据用户名、口令对用户进行验证。
AAA技术主要使用在拨号接入访问上,用户利用电话拨号上网就是依靠AAA技术来实现验证、授权和计费的。因此在接入服务中,AAA是一个最有效实用的安全手段。
(二)
+包过滤技术
提供访问控制的基本框架
提供基于IP地址等信息的包过滤
提供基于接口的包过滤
提供基于时间段的包过滤
包过滤技术是利用访问控制列表实现的一种防火墙技术。包过滤技术是最常用的一种访问控制的手段,包过滤技术最显著的特点是利用IP数据包的特征进行访问控制,它不像AAA技术那样是根据用户名、密码进行访问控制的。
因此包过滤技术不能使用在接入服务中,它适用于用户根据IP地址、端口等定义合适的规则,阻止对网络直接的非法访问。利用包过滤技术可以阻挡“不信任网络”的访问。
(三)
+地址转换技术
地址转换技术提供内部用户透明访问外部网络的功能
有效屏蔽内部网络的地址,禁止外部主机直接访问内部网络
实现内部主机的隐藏
地址转换技术主要使用在一个局域网公用一个IP地址或少量IP地址(地址池)上网的情况。
地址转换技术同时隐藏了内部局域网的IP地址,使Internet上的其他网络不知道内部局域网的真实的IP地址和网络拓扑,保护了内部局域网的安全,同时又不影响内部局域网访问外部的Internet。
路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址。与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。
(四)IPsec
+IPsec和IKE技术
IPsec(IP Security)可以实现数据的加密以及防伪,可以使在不安全的线路上传输加密信息,形成"安全的隧道"。可以为用户子啊internet上提供安全的VPN解决方案
IKE(密钥交换协议)为通信双上提供交换密钥等服务,IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且包装永远不在不安全的网络上直接传送密钥,而是通过一系列交换信息计算密钥。
IPSEC和IKE技术结合使用,有效的提供了在Internet网络上进行数据加密、数据防伪的功能。
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH (Authentication Header)和ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥,并且即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
(五)
+隧道技术
隧道技术是实现VPN的核心技术
二层隧道技术主要有VPDN,主要用来提供拨号接入服务
三层隧道技术主要有GRE,主要用来使用户在Internet上构建自己的虚拟专网
虚拟私有网(Virtual Private Network)简称为VPN,是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、培训和合作等活动。许多企业趋向于利用Internet来替代它们的私有数据网络。相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。
VPN的一个核心技术就是“隧道技术(tunneling)”,这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道,三层隧道是建立在网络层的隧道。
十、安全接入Internet
+基于接口的包过滤
+基于时间段定义过滤规则
+通过地址转换灵活访问Internet
+外部不能直接访问内部网络
+可以通过地址转换向外提供WWW、FTP等服务器
利用Quidway路由器提供的安全技术,可以使内部局域网用户安全的访问Internet。
基于接口的包过滤,并可以在进、出方向上分别设置;
可以为特殊的时间段定义特殊的包过滤规则,实现与时间相关的访问需求;
内部网络的用户可以通过地址转换访问Internet,内部地址对外屏蔽;
外部不能直接访问内部网络;
可以通过地址转换向外提供WWW、FTP等服务,避免内部服务器直接受到攻击;
日志主机可以记录网络运行情况,便于用户的安全分析与管理。
十一、构建安全的虚拟私有网
组建VPN
+出差员工通过当地的ISP接入到Internet,进而接入公司总部
+办事处及分支机构通过GRE和IPsec实现与总部间的互联,数据加密采取加密传输
www.huawei.com