網(wǎng)絡(luò)安全技術(shù)白皮書030319

網(wǎng)絡(luò)安全技術(shù)白皮書第5頁共49頁網(wǎng)絡(luò)安全技術(shù)白皮書華為技術(shù)有限公司北京市上地信息產(chǎn)業(yè)基地信息中路3號華為大廈100085二ＯＯ三年三月

1 概述 52 安全網(wǎng)絡(luò)體系架構(gòu) 62.1 網(wǎng)絡(luò)安全層次分析 62.1.1 物理層安全 62.1.2 網(wǎng)絡(luò)層安全 62.1.3 應(yīng)用層安全 72.1.4 系統(tǒng)層安全 92.1.5 管理層安全 92.2 體系架構(gòu) 92.3 安全解決方案模型 133 組網(wǎng)應(yīng)用的安全設(shè)計原則 163.1 可靠性與線路安全 163.2 用戶驗證 173.3 防地址假冒 173.4 身份認(rèn)證 173.5 訪問控制 183.6 信息隱藏 183.7 數(shù)據(jù)加密 193.8 攻擊探測和防范 193.9 安全管理 194 華為網(wǎng)絡(luò)設(shè)備所采用的安全技術(shù) 204.1 CallBack技術(shù) 204.2 VLAN技術(shù) 204.3 IP組播 214.4 包過濾技術(shù) 214.5 VPN特性 224.5.1 結(jié)合防火墻的VPN解決方案 224.6 IPSecVPN 234.6.1 IPsec公私密鑰的自協(xié)商 254.7 AAA（Authentication,Authorization,Accounting） 264.8 互聯(lián)網(wǎng)密鑰交換（互聯(lián)網(wǎng)KeyExchange，IKE） 264.9 CA(CertificateAuthority） 284.10 網(wǎng)絡(luò)地址轉(zhuǎn)換特性 304.11 智能防火墻 304.12 入侵檢測與防范技術(shù) 314.13 QoS特性 335 防火墻設(shè)備的安全特性 335.1 防火墻的工作原理 335.2 防火墻工作方式 365.3 應(yīng)用規(guī)則報文過濾（AppliedSpecificationPacketFilter） 365.4 多個接口和安全等級 375.5 數(shù)據(jù)在防火墻中的傳送方式 375.6 內(nèi)部地址的轉(zhuǎn)換（NAT） 385.7 認(rèn)證代理 385.8 訪問控制 395.9 啟動專有協(xié)議和應(yīng)用 395.10 防火墻可靠性及高可用性 406 安全設(shè)備的系統(tǒng)管理 406.1 系統(tǒng)級安全策略－綜合訪問認(rèn)證系統(tǒng) 406.2 IDS檢測系統(tǒng)及與防火墻的集成聯(lián)動 426.3 使用系統(tǒng)日志服務(wù)器 436.4 安全設(shè)備網(wǎng)管 436.4.1 信息中心 446.5 安全策略分析與管理 446.6 ISPKeeper技術(shù)應(yīng)用 456.7 NetStream技術(shù) 487 總結(jié) 49

摘要本文基于華為技術(shù)有限公司Quidway以太網(wǎng)交換機、Quidway路由器、Quidway防火墻系列產(chǎn)品、iManagerN2000/Quidview網(wǎng)管、CAMS綜合管理平臺等詳細(xì)介紹了目前運營商和企業(yè)網(wǎng)中應(yīng)用的網(wǎng)絡(luò)安全技術(shù)以及華為公司在網(wǎng)絡(luò)安全技術(shù)方面的研究擴(kuò)展，其中包括訪問控制技術(shù)、身份認(rèn)證技術(shù)、加密與密鑰交換技術(shù)、報文檢測過濾、連接狀態(tài)檢測，防DOS功能，IDS檢測，日志分析審計，安全策略分析、網(wǎng)絡(luò)安全管理等等。并提出了融合網(wǎng)絡(luò)設(shè)備、應(yīng)用業(yè)務(wù)能力的安全體系架構(gòu)，以及系列安全產(chǎn)品在安全方面的發(fā)展方向。結(jié)合Quidway以太網(wǎng)交換機、路由器、防火墻系列產(chǎn)品和網(wǎng)絡(luò)安全管理系統(tǒng)在安全方面的功能特點，給出了相應(yīng)應(yīng)用的實際解決方案。關(guān)鍵詞FireWall，防火墻，狀態(tài)檢測，過濾，網(wǎng)絡(luò)安全，IDS、以太網(wǎng)交換機、路由器說明由于網(wǎng)絡(luò)安全體系架構(gòu)所涵蓋的內(nèi)容相當(dāng)多，包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層多個層面的安全性，具體的可靠性規(guī)劃、彈性策略、MPLSVPN、CA應(yīng)用等將不在本文詳述，鑒于其應(yīng)用的復(fù)雜度重要性和討論篇幅超出本文能力的情況，將另出MPLSVPN技術(shù)白皮書、CA應(yīng)用技術(shù)白皮書等進(jìn)行詳述。

概述眾所周知，網(wǎng)絡(luò)為人們提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，提供一種開放式的環(huán)境，網(wǎng)絡(luò)安全成為一個在開放式環(huán)境中必要的技術(shù)，成為必須面對的一個實際問題。而由于目前網(wǎng)絡(luò)應(yīng)用的自由性、廣泛性以及黑客的“流行”，網(wǎng)絡(luò)面臨著各種安全威脅，存在著各種類型的機密泄漏和攻擊方式，包括：竊聽報文——攻擊者使用報文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名/口令或者是敏感的數(shù)據(jù)信息。通過Internet的數(shù)據(jù)傳輸，存在時間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)徹底不受竊聽，基本是不可能的。IP地址欺騙——攻擊者通過改變自己的IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文（如發(fā)送ICMP的特定報文）來更改路由信息，以竊取信息。源路由攻擊——報文發(fā)送方通過在IP報文的Option域中指定該報文的路由，使報文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。端口掃描—通過探測防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道路由器軟件的某個版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對路由器進(jìn)行攻擊，使得路由器整個DOWN掉或無法正常運行。拒絕服務(wù)攻擊——攻擊者的目的是阻止合法用戶對資源的訪問。比如通過發(fā)送大量報文使得網(wǎng)絡(luò)帶寬資源被消耗。Mellisa宏病毒所達(dá)到的效果就是拒絕服務(wù)攻擊。最近拒絕服務(wù)攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務(wù)攻擊，DistributedDenialOfService，簡稱DDOS。許多大型網(wǎng)站都曾被黑客用DDOS方式攻擊而造成很大的損失。應(yīng)用層攻擊——有多種形式，包括探測應(yīng)用軟件的漏洞、“特洛依木馬”等等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些敏感場合（如電子商務(wù)、政府機關(guān)等）的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的重要需求。網(wǎng)絡(luò)安全包括兩層內(nèi)容：其一是網(wǎng)絡(luò)資源的安全性，其二是數(shù)據(jù)交換的安全性。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)資源和數(shù)據(jù)通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護(hù)功能，Quidway系列交換機、路由器、防火墻、網(wǎng)管、業(yè)務(wù)平臺等產(chǎn)品提供了多種網(wǎng)絡(luò)安全機制，為網(wǎng)絡(luò)資源和數(shù)據(jù)交換提供了有力的安全保護(hù)。本文將對其技術(shù)與實現(xiàn)作詳細(xì)的介紹。安全網(wǎng)絡(luò)體系架構(gòu)網(wǎng)絡(luò)安全層次分析為了便于分析網(wǎng)絡(luò)安全分析和設(shè)計網(wǎng)絡(luò)安全解決方案，我們采取對網(wǎng)絡(luò)分層的方法，并且在每個層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險分析的結(jié)果設(shè)計出符合具體實際的、可行的網(wǎng)絡(luò)安全整體解決方案。從網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個安全層中，即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全管理。物理層安全網(wǎng)絡(luò)的物理安全主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)安全考慮時，首先要考慮物理安全。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。除此之外，在一些特殊機密的網(wǎng)絡(luò)應(yīng)用中，由于專用網(wǎng)絡(luò)涉及業(yè)務(wù)網(wǎng)核心機密與管理網(wǎng)普同機密兩個不同的密級，因此在方案中可利用“物理隔離”技術(shù)，將兩個網(wǎng)絡(luò)從物理上隔斷而保證邏輯上連通實現(xiàn)所謂的“信息擺渡”。網(wǎng)絡(luò)層安全1、網(wǎng)絡(luò)傳送安全重要業(yè)務(wù)數(shù)據(jù)泄漏：由于在同級局域網(wǎng)和上下級網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。重要數(shù)據(jù)被破壞：由于目前尚無安全的數(shù)據(jù)庫及個人終端安全保護(hù)措施，還不能抵御來自網(wǎng)絡(luò)上的各種對數(shù)據(jù)庫及個人終端的攻擊。同時一旦不法分子針對網(wǎng)上傳輸數(shù)據(jù)做出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。存儲數(shù)據(jù)對于網(wǎng)絡(luò)系統(tǒng)來說極為重要，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。2、網(wǎng)絡(luò)服務(wù)安全由于企業(yè)網(wǎng)可能處于一個較為開放的網(wǎng)絡(luò)環(huán)境中，而且中間業(yè)務(wù)委托方的網(wǎng)絡(luò)很可能與INTERNET網(wǎng)絡(luò)進(jìn)行互連，所以中間業(yè)務(wù)網(wǎng)絡(luò)環(huán)境的復(fù)雜性和開放性成為中間業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)潛在威脅的最大來源。此外，許多網(wǎng)絡(luò)提供與INTERNET連接的服務(wù)，并且內(nèi)部用戶也有上網(wǎng)需求，但現(xiàn)有的網(wǎng)絡(luò)安全防范措施還很薄弱，存在的安全風(fēng)險主要有：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)的重要信息。入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)中重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。網(wǎng)絡(luò)安全不僅來自外部網(wǎng)絡(luò)，同樣存在于內(nèi)部網(wǎng)，而且來自內(nèi)部的攻擊更嚴(yán)重、更難防范。如果辦公系統(tǒng)與業(yè)務(wù)系統(tǒng)沒有采取相應(yīng)安全措施，同樣是內(nèi)部網(wǎng)用戶的個別員工可能訪問到他本不該訪問的信息。還可能通過可以訪問的條件制造一些其它不安全因素（偽造、篡改數(shù)據(jù)等）?；蛘咴趧e的用戶關(guān)機后，盜用其IP進(jìn)行非法操作，來隱瞞自已的身份。網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，如交換機、路由器等。使得這些設(shè)備的自身安全性也會直接關(guān)系的系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風(fēng)險等。應(yīng)用層安全網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險：業(yè)務(wù)網(wǎng)和辦公網(wǎng)之間的非法訪問；中間業(yè)務(wù)的安全；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)進(jìn)行事后抵賴；由于網(wǎng)絡(luò)對外提供網(wǎng)上WWW服務(wù)，因此存在外網(wǎng)非法用戶對服務(wù)器攻擊。1、與INTERNET連接帶來的安全隱患為滿足企業(yè)網(wǎng)內(nèi)部用戶上網(wǎng)需求，網(wǎng)絡(luò)與INETRNET直接連接，這樣網(wǎng)絡(luò)結(jié)構(gòu)信息極易為攻擊者所利用，有人可能在未經(jīng)授權(quán)的情況下非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，竊取信息同時由于二者之間尚無專門的安全防護(hù)措施，服務(wù)器主機所提供的網(wǎng)絡(luò)服務(wù)也極易被攻擊者所利用，發(fā)動進(jìn)一步攻擊。即使采用代理服務(wù)器進(jìn)行網(wǎng)絡(luò)隔離，一旦代理服務(wù)器失控，內(nèi)部網(wǎng)絡(luò)將直接暴露在INTERNET上，如果企業(yè)開通網(wǎng)上服務(wù)，內(nèi)部部分業(yè)務(wù)系統(tǒng)還需要向公眾開放，面臨網(wǎng)絡(luò)黑客攻擊的威脅更大。2、身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機登錄使用的是靜態(tài)口令，口令在一定時間內(nèi)是不變的，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對資源非法訪問和越權(quán)操作。3、高速局域網(wǎng)服務(wù)器群安全企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是一項需要解決的問題。與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)服務(wù)器是網(wǎng)絡(luò)應(yīng)用的核心。對于業(yè)務(wù)系統(tǒng)服務(wù)器應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。業(yè)務(wù)系統(tǒng)服務(wù)器面臨以下安全問題：(1)對業(yè)務(wù)服務(wù)器的非授權(quán)訪問(2)對業(yè)務(wù)服務(wù)器的攻擊(3)業(yè)務(wù)服務(wù)器的帶寬要求(4)業(yè)務(wù)系統(tǒng)服務(wù)器應(yīng)保障：訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問，業(yè)務(wù)系統(tǒng)資源不被其他應(yīng)用非法占用。數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性和數(shù)據(jù)傳輸?shù)陌踩?。入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。對業(yè)務(wù)服務(wù)器信息流應(yīng)有相應(yīng)的審計功能。4、內(nèi)部管理服務(wù)平臺的安全分析管理公用服務(wù)平臺指由網(wǎng)絡(luò)提供給網(wǎng)內(nèi)客戶的公共信息服務(wù)，公用服務(wù)平臺有可能受到來自內(nèi)部網(wǎng)絡(luò)人員資源非法占用和做攻擊性測試。公用服務(wù)平臺的安全要求：(1)訪問控制。(2)服務(wù)器實時安全監(jiān)控。(3)應(yīng)用系統(tǒng)的通訊安全。系統(tǒng)層安全系統(tǒng)級的安全風(fēng)險分析主要針對專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。專用網(wǎng)絡(luò)通常采用的操作系統(tǒng)(主要為UNIX)本身在安全方面有一定考慮，但服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。管理層安全再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險，并采取相應(yīng)的安全措施。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。體系架構(gòu)從上節(jié)可知，網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個層面，由“物理級安全、網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和管理級安全”五個層次組成。在物理層次的安全主要依靠物理線路的可靠保障、維護(hù)等措施防護(hù)，對于一些不同機密的內(nèi)外網(wǎng)隔離，可采用一些物理隔離設(shè)備實現(xiàn)信息擺渡。而系統(tǒng)級層次的安全主要依靠操作系統(tǒng)的可靠性、漏洞補救、病毒防護(hù)等措施保障，該層次的安全性可以結(jié)合網(wǎng)絡(luò)層、應(yīng)用層和管理層的措施共同防護(hù)。所以網(wǎng)絡(luò)的安全解決方案應(yīng)該主要從三個層次解決：網(wǎng)絡(luò)層、應(yīng)用層和管理層。包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識別、安全防御、安全監(jiān)控、審計分析、集中管理等多個方面。這需要依靠技術(shù)方面的安全保護(hù)和管理方面的安全管理進(jìn)行全面防護(hù)。其中在技術(shù)方面主要由數(shù)據(jù)安全識別、防御、傳送、監(jiān)控四個部分支撐；在管理方面需要進(jìn)行實時的安全保護(hù)、審計、分析、智能管理。此外，僅僅依靠安全技術(shù)和安全的管理是無法徹底解決安全問題的，解決安全問題是個循序的過程，還需要對緊急事件進(jìn)行及時的處理響應(yīng)并完善更新策略規(guī)則，增強整個系統(tǒng)安全性。安全解決方案層次結(jié)構(gòu)安全識別技術(shù)包括用戶接入身份認(rèn)證、用戶訪問權(quán)限區(qū)分、管理員權(quán)限識別與限制、業(yè)務(wù)使用訪問控制、網(wǎng)絡(luò)服務(wù)使用控制、管理員視圖控制、訪問策略服務(wù)等等。安全防御一般通過防火墻來進(jìn)行安全防御，防火墻是在內(nèi)部可信任設(shè)施和外部非信任網(wǎng)絡(luò)之間的屏障，防火墻的設(shè)計的原則是：只信任內(nèi)部網(wǎng)絡(luò)，對一切來自外部/去網(wǎng)外部的流量進(jìn)行監(jiān)控；對于本地網(wǎng)絡(luò)的信任問題，應(yīng)該通過其他方法解決掉（如識別、監(jiān)控和管理策略等）。安全傳送包括采用IPsec、路由安全、SSL等方式。安全監(jiān)控一般采用防火墻和入侵檢測系統(tǒng)配合的方式，防火墻是處于網(wǎng)絡(luò)邊界的設(shè)備，自身可能被攻破，需要在內(nèi)部進(jìn)行監(jiān)控，采用入侵檢測識別行為終點是內(nèi)部系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)資源的可疑行為，并對這些行為做出反應(yīng)；入侵檢測是對防御技術(shù)的重要補充，入侵檢測既快處針對外部網(wǎng)絡(luò)，也針對內(nèi)部網(wǎng)絡(luò)。下圖為華為“i3安全”網(wǎng)絡(luò)體系架構(gòu)：“i3安全”三維度集成安全體系架構(gòu)華為“i3安全”網(wǎng)絡(luò)體系架構(gòu)為三維體系架構(gòu)，以時間、空間、網(wǎng)絡(luò)層次為三維實現(xiàn)端到端的安全防護(hù)體系。在網(wǎng)絡(luò)層次的方向，解決網(wǎng)絡(luò)層傳送安全和網(wǎng)絡(luò)層服務(wù)安全問題，在用戶層上解決用戶的身份識別、驗證授權(quán)、服務(wù)授權(quán)的安全問題，在業(yè)務(wù)應(yīng)用層解決業(yè)務(wù)應(yīng)用、平臺服務(wù)、管理審計的的安全問題。而且針對攻擊的特點對事前時候進(jìn)行充分的防御和分析，采用數(shù)通系列產(chǎn)品的防火墻特性和IDS入侵檢測系統(tǒng)實現(xiàn)對攻擊的檢測和全面防御，降低攻擊者對網(wǎng)絡(luò)攻擊的可能性；此外，防火墻、IDS系統(tǒng)等能夠做到對攻擊日志、過濾日志、NAT日志等的分析審計，對事后的跟蹤分析定位提供有效的記錄，采用集中管理、策略服務(wù)管理，杜絕網(wǎng)絡(luò)漏洞。該安全體系針對企業(yè)網(wǎng)內(nèi)外網(wǎng)絡(luò)不同的機密等級安全層次，采用不同的安全措施，對于內(nèi)部機密網(wǎng)絡(luò)提供用戶精細(xì)認(rèn)證授權(quán)、防火墻防御和入侵檢測、策略服務(wù)集中管理的高安全控制體系，對于外部網(wǎng)絡(luò)不同用戶的訪問，包括出差遠(yuǎn)程用戶、分支節(jié)點用戶、合作方用戶、其他部門用戶、internet用戶等，采用不同的安全服務(wù)等級和策略，既可以實現(xiàn)外部合法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，避免對內(nèi)部網(wǎng)絡(luò)和internet服務(wù)器的攻擊，也可以防范內(nèi)部用戶對服務(wù)中心的未授權(quán)訪問、機密竊取和服務(wù)攻擊。整個構(gòu)架充分體現(xiàn)了網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用與安全融合的整體解決方案思路，全面解決用戶各方面各層次的安全需求?！癷3安全”三維度集成安全體系架構(gòu)華為安全體系架構(gòu)主要由路由器、以太網(wǎng)交換機、防火墻、網(wǎng)管、業(yè)務(wù)平臺多個網(wǎng)絡(luò)設(shè)備支撐，由安全認(rèn)證、訪問控制、過濾檢測、掃描、IDS檢測、VPN、審計分析、策略服務(wù)管理等多方面構(gòu)成完善的防護(hù)體系。安全網(wǎng)絡(luò)體系架構(gòu)安全解決方案模型華為能夠提供完善的安全解決方案，并能夠與設(shè)備業(yè)務(wù)解決方案有機融合，其最終目的是架構(gòu)一個安全的，開放的，多功能的，穩(wěn)定的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用平臺；建立一個安全的，系統(tǒng)的，可靠的網(wǎng)絡(luò)交換平臺；建立一個安全的，系統(tǒng)的，可靠的操作系統(tǒng)平臺；建立一個安全的，系統(tǒng)的，穩(wěn)定的應(yīng)用系統(tǒng)平臺；建立一個全面的，合理的網(wǎng)絡(luò)安全管理制度。華為公司提供并實施的網(wǎng)絡(luò)安全解決方案主要由四部分構(gòu)成：采用具有用戶身份識別、驗證授權(quán)、訪問控制特性的路由器、交換機等系列產(chǎn)品實現(xiàn)對于機密內(nèi)網(wǎng)和外網(wǎng)用戶的強管理控制，實現(xiàn)用戶的有效授權(quán)訪問。避免非法用戶在未授權(quán)的情況下實現(xiàn)對重要數(shù)據(jù)的竊取、篡改，以及對服務(wù)提供點的攻擊，避免仿冒用戶、偽用戶獲得授權(quán)造成網(wǎng)絡(luò)危害?？赏ㄟ^系列路由器和交換機、防火墻設(shè)備與CAMS綜合管理平臺配合實現(xiàn)用戶的PKI/CA、用戶名/口令、帳號等的精細(xì)認(rèn)證授權(quán)管理以及服務(wù)策略集中管理下發(fā)。采用MPLSVPN技術(shù)、可控組播技術(shù)、冗余備份技術(shù)等實現(xiàn)對不同業(yè)務(wù)群體和用戶群體之間的有效隔離和互通，并采用IPsec隧道、SSL、加密技術(shù)等保證數(shù)據(jù)的保密、完整、有效的傳送交換。此外采用接入控制、VPN業(yè)務(wù)、防火墻等網(wǎng)絡(luò)設(shè)備特性實現(xiàn)不同安全性機密性的內(nèi)部可信網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)的隔離控制。使用防火墻、入侵檢測產(chǎn)品（包括系列路由器、交換機和專用防火墻產(chǎn)品等）實現(xiàn)各種關(guān)鍵應(yīng)用服務(wù)器與其它所有外部網(wǎng)絡(luò)的隔離與訪問控制，通過配置防火墻安全策略對所有服務(wù)器的請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)服務(wù)器，其它的請求服務(wù)在到達(dá)主機前就遭到拒絕，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時，進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警和及時阻斷。同時，當(dāng)事故發(fā)生后，應(yīng)提供黑客攻擊行為的追蹤線索及破案依據(jù)，有對網(wǎng)絡(luò)的可控性與可審查性。使用與Eudemon防火墻系統(tǒng)聯(lián)動的專用入侵檢測系統(tǒng)（IDS）對服務(wù)器與重保護(hù)網(wǎng)段加以監(jiān)控、記錄，并與防火墻一起構(gòu)成一個動態(tài)的防御、報警系統(tǒng)；采用iManagerN2000/Quidview網(wǎng)管平臺和CAMS綜合管理策略平臺實現(xiàn)整網(wǎng)設(shè)備、業(yè)務(wù)以及安全性的集中管理控制，可實現(xiàn)MPLSVPN業(yè)務(wù)、組播等業(yè)務(wù)的分級分權(quán)管理；可實現(xiàn)對不同級別用戶的認(rèn)證、授權(quán)、服務(wù)策略的控制，以及安全日志的分析審計，提供記錄攻擊行為追蹤線索，并進(jìn)行事后的細(xì)致分析、策略規(guī)劃重新下發(fā)服務(wù)策略?？杀O(jiān)控可管理強保護(hù)的安全網(wǎng)絡(luò)針對廣域網(wǎng)存在的各種安全隱患，建議采取如下一體化安全措施來保證整網(wǎng)的安全性。接入層網(wǎng)絡(luò)安全解決方案針對以太網(wǎng)存在的各種鏈路層和網(wǎng)絡(luò)層安全隱患，QuidwayS系列以太網(wǎng)交換機采用多種網(wǎng)絡(luò)安全機制，包括訪問控制、用戶驗證、防地址假冒、入侵與防范、安全管理等技術(shù)，提供了一個有效的網(wǎng)絡(luò)安全解決方案。由于企業(yè)網(wǎng)站再提供對內(nèi)服務(wù)的同時，還直接連接internet，提供對外服務(wù)，所以企業(yè)可能會受到從外部經(jīng)網(wǎng)站過來的安全威脅。所以，在考慮內(nèi)部局域網(wǎng)絡(luò)安全的同時，還需要考慮網(wǎng)站的安全措施。局域網(wǎng)和internet網(wǎng)站的安全方案組網(wǎng)應(yīng)用的安全設(shè)計原則針對網(wǎng)絡(luò)存在的各種安全隱患，安全的組網(wǎng)設(shè)備必須具有如下的安全特性：可靠性與線路安全用戶驗證防地址假冒身份認(rèn)證訪問控制信息隱藏數(shù)據(jù)加密攻擊探測和防范安全管理可靠性與線路安全可靠性要求是針對故障恢復(fù)和負(fù)載能力而提出來的。對于路由器、以太網(wǎng)交換級等設(shè)備來說，可靠性主要體現(xiàn)在接口故障和網(wǎng)絡(luò)流量增大兩種情況下，為此，備份是設(shè)備不可或缺的手段之一。當(dāng)主接口故障時，備份接口自動投入工作，保證網(wǎng)絡(luò)的正常運行；當(dāng)網(wǎng)絡(luò)流量增大時，備份接口又可承當(dāng)負(fù)載分擔(dān)的任務(wù)。此外，強大的QOS能力不僅能針對具體用戶數(shù)據(jù)流進(jìn)行不同優(yōu)先級的服務(wù)，還可阻止在大流量情況下或在流量攻擊的情況下保證設(shè)備業(yè)務(wù)運行的安全可靠。線路安全指的是線路本身的安全性。華為路由器在接受呼入時，能防止非法用戶的訪問，而只在安全的線路上進(jìn)行信息交換。 用戶驗證用戶驗證是實現(xiàn)用戶安全防護(hù)的基礎(chǔ)功能。對用戶進(jìn)行識別和區(qū)分，不僅能保護(hù)接入的用戶不受網(wǎng)絡(luò)攻擊，而且能阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。經(jīng)過驗證的用戶可以享受服務(wù)，而未經(jīng)驗證的用戶則被拒絕。訪問網(wǎng)絡(luò)設(shè)備存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過SNMP進(jìn)行配置；通過modem遠(yuǎn)程配置等等。對于這些訪問方式，都需要有相應(yīng)的用戶身份驗證。驗證時可以選擇采用交換機本身維護(hù)的用戶數(shù)據(jù)庫，還可以采用RADIUS服務(wù)器所維護(hù)的用戶數(shù)據(jù)庫對用戶進(jìn)行驗證。遠(yuǎn)程用戶驗證主要包括：PPP驗證、WEB驗證和端口驗證、CA/PKI證書驗證。防地址假冒為了有效的防止假冒IP地址和假冒MAC地址，Quidway系列設(shè)備使用了地址綁定技術(shù)嚴(yán)格控制用戶的接入。例如，綁定用戶接入的端口與MAC地址、IP地址。身份認(rèn)證路由器和交換機、防火墻等設(shè)備的身份認(rèn)證主要包括以下幾個部分：1、訪問設(shè)備時的身份認(rèn)證。訪問設(shè)備時存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過SNMP進(jìn)行配置；通過modem遠(yuǎn)程配置等等。對于這些訪問方式，都需要有相應(yīng)的身份認(rèn)證。2、對端設(shè)備的身份認(rèn)證：對端設(shè)備不僅僅指物理上的直接以串口線相連的路由器，同時還包括端到端相連以及虛擬的點對點（如通過隧道協(xié)議）相連的路由器。在對端路由器與本端建立連接之前，需要進(jìn)行身份認(rèn)證。3、路由信息的身份認(rèn)證：路由器依據(jù)路由信息表來發(fā)送報文，路由信息對于路由器來說是至關(guān)重要的。收到虛假的路由信息，有可能使得路由器將數(shù)據(jù)報文發(fā)往不正確的目的地。這些報文可以被用于分析其中的數(shù)據(jù)內(nèi)容，嚴(yán)重的情況下，造成正常的通信中斷。所以，在接受任何路由變化的信息之前，有必要對此信息的發(fā)送方進(jìn)行驗證，以保證收到的路由信息是合法。訪問控制訪問控制分為以下幾種情況：1、對于設(shè)備的訪問控制。對設(shè)備的訪問權(quán)限需要進(jìn)行口令的分級保護(hù)。只有持有相應(yīng)口令的特權(quán)用戶才能對設(shè)備進(jìn)行配置；一般用戶只有查看普通信息的權(quán)力。2、基于IP地址的訪問控制。一般情況下，用戶（包括網(wǎng)內(nèi)用戶和分支機構(gòu)、合作伙伴等網(wǎng)外用戶）是通過IP地址來區(qū)分的，不同的用戶具有不同的權(quán)限。通過包過濾實現(xiàn)基于IP地址的訪問控制，可以實現(xiàn)對重要資源的保護(hù)。3、基于用戶的訪問控制。路由器、以太網(wǎng)交換機提供接入服務(wù)功能。對于以接入方式的用戶來說，他們之間的權(quán)限也有可能是不一樣的。通過對用戶設(shè)置特定的過濾屬性，可實現(xiàn)對接入用戶的訪問控制。4、基于流基于狀態(tài)連接的訪問控制。華為路由器、以太網(wǎng)交換機和防火墻設(shè)備可以提供報文的多元組包過濾或者連接的狀態(tài)檢測分析，以實現(xiàn)對于非法流量非法連接的防護(hù)，并可起到防DOS、流量攻擊的功能，可對網(wǎng)絡(luò)和業(yè)務(wù)提供不同安全層次的防護(hù)服務(wù)。5、基于Vlan的訪問控制。企業(yè)內(nèi)部通常以VLan方式劃分成不同部門，各個部門的訪問權(quán)限有可能是不一樣的。通過實現(xiàn)基于Vlan的訪問控制，可以實現(xiàn)對部門的訪問控制。信息隱藏與對端通信時，不一定需要用真實身份進(jìn)行通信。通過地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪問外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源。路由器和防火墻的NAT特性在節(jié)約IP地址的同時，可以做到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免外部攻擊和掃描。數(shù)據(jù)加密在公網(wǎng)上傳輸數(shù)據(jù)不能保證數(shù)據(jù)不被竊聽。為了避免因為數(shù)據(jù)竊聽而造成的信息泄漏，有必要對所傳輸?shù)男畔⑦M(jìn)行加密，只有與之通信的對端才能對此密文進(jìn)行解密。通過對路由器所發(fā)送的報文進(jìn)行加密，即使在Internet上進(jìn)行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報文內(nèi)容的真實性。對于利用公網(wǎng)構(gòu)建VPN的情況，數(shù)據(jù)加密能夠保證通過隧道傳輸?shù)臄?shù)據(jù)安全。攻擊探測和防范為了防止網(wǎng)上的大流量攻擊，Quidway系列設(shè)備提供了兩種基本的攻擊檢測技術(shù)：1、報文鏡像。使用報文鏡像，可以將指定類型的報文，例如ICMP報文，拷貝到指定端口，然后通過連接到鏡像端口的協(xié)議分析儀進(jìn)行測試記錄。使用這種方法，可以有效的檢測到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多種協(xié)議報文。2、報文統(tǒng)計。使用報文統(tǒng)計，可以按時間段、協(xié)議類型、IP地址五元組等特性分別進(jìn)行報文包數(shù)和字節(jié)數(shù)的統(tǒng)計。Quidway系列設(shè)備通過基于ACL的流量限制，預(yù)防并控制網(wǎng)上的大流量攻擊。當(dāng)發(fā)現(xiàn)大流量攻擊時，可以限制到達(dá)被攻擊目的地址的報文流量。Quidway系列設(shè)備作為一個內(nèi)部網(wǎng)絡(luò)對外的接口設(shè)備，是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一個目標(biāo)。如果出口路由器不提供攻擊檢測和防范，則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個橋梁。在路由器上提供攻擊檢測，可以防止一部分的攻擊。此外，專業(yè)的Eudemon防火墻等安全設(shè)備可以做到保護(hù)內(nèi)部網(wǎng)絡(luò)和服務(wù)的安全，可以采用防火墻和IDS入侵檢測等設(shè)備的結(jié)合能夠提供對整個內(nèi)部網(wǎng)絡(luò)的攻擊探測和防范，以彌補開放式網(wǎng)絡(luò)架構(gòu)所導(dǎo)致的網(wǎng)絡(luò)服務(wù)的不安全性。安全管理內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個數(shù)據(jù)報文都會通過路由器和防火墻，在路由器和防火墻上進(jìn)行報文的審計可以提供網(wǎng)絡(luò)運行的必要信息，有助于分析網(wǎng)絡(luò)的運行情況。另一方面，設(shè)備的安全運行牽涉到越來越多的安全策略，為了達(dá)到這些安全策略的有效利用，進(jìn)行安全策略管理是必需的。華為網(wǎng)絡(luò)設(shè)備所采用的安全技術(shù)CallBack技術(shù)CallBack技術(shù)即回呼技術(shù)，最初由Client端發(fā)起呼叫，要求Server端向本端回呼；而Server端接受呼叫，并決定是否向Client端發(fā)起回呼。利用CallBack技術(shù)可增強安全性?；睾籼幚碇校琒erver端根據(jù)本端配置的呼叫號碼呼叫Client端，從而可避免因用戶名、口令失密而導(dǎo)致的不安全性。另外，Server端還可根據(jù)本端的配置，對呼入請求進(jìn)行分類，即拒絕呼叫、接收呼叫（不回呼）或接收回呼，從而可以對不同的Client端實施不同的限制，并且Server端在外部呼入時可以實現(xiàn)資源訪問的主動性。CallBack還具有以下優(yōu)點：節(jié)省話費、改變話費承擔(dān)方、合并話費清單。Quidway系列路由器支持CallBack技術(shù)，分為ISDN主叫識別回呼與有PPP參與的回呼兩種方式。前者無需PPP的參與，直接驗證呼入的電話號碼是否與Server配置的號碼匹配，所以只需在Server端進(jìn)行相應(yīng)的配置即可，Client端不需要做任何改動。而有PPP參與的回呼需要在Client端配置用戶名和口令，在Server端配置相應(yīng)的回呼撥號串，并且對以下三種情況都可實現(xiàn)支持：a、兩端都有固定的網(wǎng)絡(luò)層地址，都實現(xiàn)了RFC1570；b、client端需動態(tài)分配網(wǎng)絡(luò)層地址；c、只有server端實現(xiàn)了RFC1570。由此可見，在ISDN主叫回呼方式下，非合法的電話號碼呼入將會被拒絕；在有PPP參與的回呼方式下，即使有非法用戶獲取了合法的用戶名和口令，Server端也只會回呼到預(yù)先配置好的電話上，避免了非法用戶的訪問。從而保證了Server的安全。VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。關(guān)于華為VLAN的解決方案可參考VLAN技術(shù)白皮書。IP組播IP組播的基本思想是，源主機只發(fā)送一份數(shù)據(jù)，這份數(shù)據(jù)中的目的地址為組播組地址；組播組中的所有接收者都可接收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機（目標(biāo)主機）可以接收該數(shù)據(jù)，網(wǎng)絡(luò)中其它主機不能收到。盡管組播技術(shù)具備開展新業(yè)務(wù)的許多優(yōu)勢，并且協(xié)議日臻完善，但開展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播信源安全性和組播流量擴(kuò)散安全性等問題。結(jié)合目前網(wǎng)絡(luò)的特點、組播技術(shù)和應(yīng)用的實際情況，華為公司在完全符合標(biāo)準(zhǔn)組播協(xié)議的基礎(chǔ)上，提出受控組播技術(shù)（包括組播信源管理、組播用戶管理和組播安全控制），有效的解決了當(dāng)前組播業(yè)務(wù)開展所遇到的各種問題。關(guān)于華為組播的解決方案可參考組播技術(shù)白皮書。包過濾技術(shù)IP報文的IP報頭及所承載的上層協(xié)議（如TCP）報頭的每個域包含了可以由路由器進(jìn)行處理的信息。包過濾通常用到IP報文的以下屬性：IP的源、目的地址及協(xié)議域；TCP或UDP的源、目的端口；ICMP碼、ICMP的類型域；TCP的標(biāo)志域 表示請求連接的單獨的SYN 表示連接確認(rèn)的SYN/ACK 表示正在使用的一個會話連接 表示連接終斷的FIN可以由這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機到主機的FTP連接，包過濾可以創(chuàng)建這樣的規(guī)則用于丟棄相應(yīng)的報文：IP目的地址=IP源地址=IP的協(xié)議域=6（TCP）目的端口=21（FTP）操作=丟棄其他的域一般情況下不用考慮。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過濾規(guī)則。Quidway系列安全路由器和Eudemon安全網(wǎng)關(guān)防火墻提供了基于接口的包過濾，即可以在一個接口的進(jìn)出兩個方向上對報文進(jìn)行過濾。同時還提供了基于時間段的包過濾，可以規(guī)定過濾規(guī)則發(fā)生作用的時間范圍，比如上例中可設(shè)置每周一的8:00至20:00允許FTP報文進(jìn)入以完成必要的服務(wù)，而其余時間則禁止FTP連接。在時間段的設(shè)置上，可以采用絕對時間段和周期時間段以及連續(xù)時間段和離散時間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。VPN特性VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。VPN的安全性包含以下特征：隧道與加密、數(shù)據(jù)驗證、用戶驗證、防火墻與攻擊檢測。防火墻用于過濾數(shù)據(jù)包，防止非法訪問，而攻擊檢測則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實時應(yīng)用安全策略，斷開包含非法訪問內(nèi)容的會話鏈接，并產(chǎn)生非法訪問記錄。結(jié)合防火墻的VPN解決方案VPN與防火墻的結(jié)合使用，可以利用防火墻的許多安全特性在VPN上建立更加安全的網(wǎng)絡(luò)環(huán)境，增強抵御“黑客”攻擊、禁止非法訪問的能力。 Quidway系列路由器結(jié)合防火墻的VPN解決方案如上圖所示，公司內(nèi)部特定的用戶可以訪問Internet網(wǎng)絡(luò)，但是Internet網(wǎng)絡(luò)內(nèi)的主機不能通過防火墻訪問公司的內(nèi)部網(wǎng)絡(luò)，只被允許訪問位于DMZ（非軍事化區(qū)）的內(nèi)部服務(wù)器主機（如WWW、FTP等服務(wù)器）。公司的外地辦事處機構(gòu)可以利用VPN和總部建立安全的私有隧道以訪問總部的資源。關(guān)于VPN更詳細(xì)的介紹應(yīng)用可參見華為的VPN技術(shù)白皮書。IPSecVPNIPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個安全協(xié)議來實現(xiàn)。而且此實現(xiàn)不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現(xiàn)。借助IPSec，用戶可以通過互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏感信息。IPSec在網(wǎng)絡(luò)層操作，能保護(hù)和鑒別所涉及的IPSec設(shè)備（對等物）之間的IP包。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：數(shù)據(jù)私有性－IPSec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性；數(shù)據(jù)完整性－IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；數(shù)據(jù)真實性－IPSec端要驗證所有受IPSec保護(hù)的數(shù)據(jù)包；IPSec接收者還可以識別所發(fā)送的IPSec包的來源，這種服務(wù)與數(shù)據(jù)完整性服務(wù)相關(guān)；防重放－IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。IPSec接收者可以刪除和拒絕重播的包。IPSec在兩個端點之間通過建立安全聯(lián)盟（SecurityAssociation）進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報頭后面。AH報頭用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據(jù)包進(jìn)行保護(hù)。AH沒有對用戶數(shù)據(jù)進(jìn)行加密。AH在IP包中的位置如圖5所示（隧道方式）：AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實性和私有性。ESP頭在IP包中的位置如下（隧道方式）：ESP處理示意圖AH和ESP可以單獨使用，也可以同時使用。使用IPSec，數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個主機之間、兩個安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個端點之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（access-list），IPSec可以對不同的數(shù)據(jù)流實施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個端點之間存在四個安全聯(lián)盟，每個端點兩個，一個用于數(shù)據(jù)發(fā)送，一個用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。IPSec提供了兩臺對等設(shè)備之間的安全通道，例如兩個Eudemon防火墻單元之間的安全通道。用戶可以自己確定哪些包屬于敏感信息，應(yīng)該通過這些安全通道發(fā)送。通過確定這些通道的特性，用戶還可以確定應(yīng)該使用哪些參數(shù)保護(hù)這些敏感包。當(dāng)IPSec對等設(shè)備看到敏感包時，它將建立相應(yīng)的安全通道，并通過通道將包發(fā)送給遠(yuǎn)程用戶。用于傳輸信息的安全通道基于加密密鑰以及安全協(xié)會（SA）規(guī)定的其它安全參數(shù)。IPsec公私密鑰的自協(xié)商IKE協(xié)議使用數(shù)字證書生成一對SA，為協(xié)商IPSecSA提供安全通道。為使用證書協(xié)商IKESA，兩臺IPSec對等設(shè)備都必須產(chǎn)生公用/專用密鑰對，請求和接收公用密鑰證書，并確保信任發(fā)行證書的CA。默認(rèn)狀態(tài)下，多數(shù)瀏覽器都信任來自著名CA的證書，例如VeriSign，并提供用于增加CA的選項，以便產(chǎn)生和請求數(shù)字證書。用戶還可以在將瀏覽器分布給用戶之前為瀏覽器軟件預(yù)先配置CA和必要的證書。要想了解CA幫助配置IKE的方式，應(yīng)該先了解公用/專用密鑰加密。公用/專有密鑰也稱為非對稱密鑰，它是一對密鑰，用一個密鑰加密的數(shù)據(jù)可以用另一個密鑰解密。這個屬性可用于解決通過非安全網(wǎng)絡(luò)共享秘密時遇到的擴(kuò)展問題。產(chǎn)生公用/專用密鑰對之后，一個密鑰保密（專用密鑰），另一個密鑰公開（公用密鑰）。當(dāng)任何對等設(shè)備需要與專用密鑰的所有者共享秘密時，只需使用公用密鑰對信息加密即可。對原始信息解密的唯一方式是使用專用密鑰。使用這種方法，無需傳送對加密信息解密的秘密口令就能通過非安全網(wǎng)絡(luò)共享加密信息。公用/專用密鑰對的這個獨特屬性還提供了一種出色的認(rèn)證方法。公用密鑰只能對用相應(yīng)專用密鑰加密的信息進(jìn)行解密。如果消息可以借助某個公用密鑰閱讀，就可以肯定，信息的發(fā)送者擁有相應(yīng)的專用密鑰。這就是使用CA的原因。這種公共密鑰證書，或稱數(shù)字證書，用于將公用/專用密鑰對與某個IP地址或主機名稱聯(lián)系在一起。認(rèn)證機構(gòu)（CA）在某段時間發(fā)行公用密鑰證書。CA可以是自己內(nèi)部機構(gòu)運作的專用（內(nèi)部）CA，也可以是公共CA。VeriGign等公共CA由客戶信任的第三方運作，它將負(fù)責(zé)核實獲取證書的每臺客戶機和服務(wù)器的身份。AAA（Authentication,Authorization,Accounting）AAA提供了對用戶的驗證、授權(quán)及記帳功能。驗證－用戶（包括Login用戶、PPP接入用戶等）在被允許訪問網(wǎng)絡(luò)資源之前需要先經(jīng)過驗證，驗證時可以選擇是采用路由器本身維護(hù)的用戶數(shù)據(jù)庫，還是采用RADIUS服務(wù)器所維護(hù)的用戶數(shù)據(jù)庫對用戶進(jìn)行驗證。授權(quán)－通過定義一組屬性來描述用戶的權(quán)限信息，用以決定用戶的實際訪問權(quán)限。這些信息存儲在RADIUS所維護(hù)的數(shù)據(jù)庫中。對于接入用戶，還可以由用戶的"filterID"屬性來確定采用哪類規(guī)則對用戶的報文進(jìn)行過濾。記帳－AAA的計費功能允許對用戶的訪問網(wǎng)絡(luò)資源等情況進(jìn)行跟蹤審計。當(dāng)AAA的計費功能打開后，網(wǎng)絡(luò)接入服務(wù)器按照一定的計費格式向RADIUS服務(wù)器發(fā)送用戶的活動信息，這些信息被儲存在服務(wù)器上，可以用來進(jìn)行網(wǎng)絡(luò)運行情況的分析、用戶帳單的生成等。AAA網(wǎng)絡(luò)安全服務(wù)提供了一個實現(xiàn)身份認(rèn)證以及訪問控制的主框架。AAA使用RADIUS、TACACS+、Kerberos等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)的訪問控制。Quidway系列安全路由器實現(xiàn)時采用了使用最廣泛的RADIUS協(xié)議?；ヂ?lián)網(wǎng)密鑰交換（互聯(lián)網(wǎng)KeyExchange，IKE）Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計算出共享的密鑰。其中的核心技術(shù)就是DH（DiffieHellman）交換技術(shù)。DH交換基于公開的信息計算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計算復(fù)雜度非常高從而是不可實現(xiàn)的。DH交換（Diffie-HellmanExchange）的前提是雙方擁有共享的兩個參數(shù)：底數(shù)g和模數(shù)p。這兩個參數(shù)由所使用的DH組定義，在實際應(yīng)用中是公開的。DH交換及計算分為四個步驟（如下圖所示）：①雙方各自產(chǎn)生一個隨機數(shù)，如a和b；②冪模運算，得到結(jié)果c和d；③模交換；④DH公有值計算，即圖中的damodp和cbmodp?？梢宰C明：DH公有值gabmodp=damodp=cbmodp。注意到以上步驟中僅模交換是在公開的網(wǎng)絡(luò)上進(jìn)行，若網(wǎng)絡(luò)上的第三方截獲了雙方的模c和d，那么他要計算出DH公有值gabmodp還需要獲得a或b，而由模c和d計算a或b需要進(jìn)行離散對數(shù)運算，而p為素數(shù)，當(dāng)p足夠大時（一般為768位以上的二進(jìn)制數(shù)），數(shù)學(xué)上已經(jīng)證明，其計算復(fù)雜度非常高從而是不可實現(xiàn)的。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息。DH交換及計算示意圖在身份驗證方面，IKE提供了共享驗證字（Pre-sharedKey）、公鑰加密驗證、數(shù)字簽名驗證等驗證方法。后兩種方法通過對CA的支持來實現(xiàn)。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMPSA，有主模式（MainMode）和激進(jìn)模式（AggressiveMode）兩種；階段2在階段1ISAKMPSA的保護(hù)下建立IPSecSA，稱之為快速模式（QuickMode）。IPSecSA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換（InformationalExchange）和建立新DH組的組交換（DHGroupExchange）。在身份驗證方面，IKE提供了共享驗證字（Pre-sharedKey）、公鑰加密驗證、數(shù)字簽名驗證等驗證方法。后兩種方法通過對CA（CertificateAuthority）中心的支持來實現(xiàn)。另外，IKE還包含有傳送信息的信息交換（InformationalExchange）和建立新DH組的組交換（DHGroupExchange）。IPSec自動建立安全通道的過程分為兩個階段：第一階段：這個階段通過互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議實施，能建立一對IKESA。IKESA用于協(xié)商一個或多種IPSecSA，以便實際傳輸應(yīng)用數(shù)據(jù)。第二階段：這個階段使用IKESA提供的安全通道協(xié)商IPSecSA。當(dāng)這個階段結(jié)束時，兩臺對等設(shè)備均已建立了一對IPSecSA，以便提供傳輸應(yīng)用數(shù)據(jù)所需的安全通道。SA參數(shù)之一是壽命，可配置的壽命期結(jié)束之后，SA將自動終止，因此，這個參數(shù)能提高IPSec的安全性。IKE協(xié)議為協(xié)商IPSecSA建立了安全通道。借助IKE，無需人工配置每臺IPSec對等設(shè)備就能實施IPSec。隨著對等設(shè)備的增加，人工配置IPSec對等設(shè)備將變得異常復(fù)雜，因為每臺對等設(shè)備都需要一對SA才能與借助IPSec通信的另一臺對等設(shè)備通信。與IPSec相似，IKE也使用一對SA在兩臺對等設(shè)備之間建立安全通信通道。IKE使用SA為IPSec通道安全協(xié)商SA，而不是傳輸用戶信息。用戶可以人工配置SA，以便在兩臺對等設(shè)備之間建立IPSec通道。但是，這種方法并不安全，因為人工配置的SA不會自動過期。另外，隨著對等設(shè)備的增加將出現(xiàn)嚴(yán)重的擴(kuò)展問題。無論何時在網(wǎng)絡(luò)中添加使用IPSec的對等設(shè)備都必須在每臺現(xiàn)有對等設(shè)備上增加一對SA?；诖朔N原因，只有當(dāng)遠(yuǎn)程對等設(shè)備不支持IKE時才使用人工配置。與IPSecSA的人工配置相似，IKESA可以通過預(yù)共享密鑰建立。但是，這種方法也存在人工配置IPSecSA的擴(kuò)展問題。認(rèn)證機構(gòu)（CA）提供了一種可擴(kuò)展的方法，能夠共享密鑰以建立IKESA。CA(CertificateAuthority）CA技術(shù)是安全認(rèn)證技術(shù)的一種，它基于公開密鑰體系通過安全證書來實現(xiàn)。安全證書采用國際標(biāo)準(zhǔn)的X.509證書格式，主要包括：證書的版本號發(fā)證CA的身份信息持證用戶的身份信息持證用戶的公鑰證書的有效期其他一些附加信息。并且證書是由發(fā)證CA數(shù)字簽名的，保證了證書不可偽造并且不能被更改。安全證書由CA中心分發(fā)并維護(hù)。Quidway系列路由器可以實現(xiàn)對CA中心的支持，包含兩方面的內(nèi)容，其一是針對CA中心的管理功能完成與CA中心的交互；其二即是路由器作為通信實體的認(rèn)證功能。一般來說，安全證書的操作采取離線分發(fā)、本地驗證的方式。路由器作為一個用戶，與CA中心的交互包括以下幾個方面：登記－新增的用戶需要向適當(dāng)?shù)腃A中心登記。初始化－在用戶進(jìn)行證書申請之前，先要獲得CA中心的信息，包括CA中心的身份信息、公鑰，以用于后續(xù)的證書操作。在實際的應(yīng)用中，可通過預(yù)裝的方式將CA中心的信息初始化進(jìn)用戶的系統(tǒng)。證書申請－用戶的申請中包含有用戶的公鑰信息，并提供對應(yīng)私鑰的持有證明。CA中心接收用戶的申請，驗證通過后分發(fā)證書。密鑰對恢復(fù)－因某種原因，如忘記證書口令或證書文件遺失，用戶可在線要求CA中心恢復(fù)自己的密鑰對。當(dāng)然，是否由CA中心托管自己的密鑰對應(yīng)由用戶自己選擇。密鑰對更新－出于安全方面的考慮，所有的密鑰對都必須定期更新，同時由CA中心分發(fā)新的證書。證書作廢－當(dāng)持證用戶發(fā)現(xiàn)或懷疑自己的私鑰泄密時，可以向CA中心發(fā)送證書作廢申請，以確保證書的安全性。交叉驗證－實際應(yīng)用中的CA應(yīng)是一種層次式的樹狀結(jié)構(gòu)，兩個不同的CA之間也需要建立一種相互信任機制，即交叉驗證證書。當(dāng)用戶要驗證來自其他CA分發(fā)的證書時，就需要利用交叉驗證信息按照驗證樹向逐級CA進(jìn)行身份驗證。路由器通過CA證書的認(rèn)證過程如下圖所示，其中RCA中心稱之為根CA中心，是更高層次的CA。安全證書是可公開的，所以雙方在進(jìn)行驗證時可直接將自己的證書加上自己的數(shù)字簽名發(fā)給對方。對方在收到證書以后，需要進(jìn)行以下幾方面的驗證：證書的真實性－通過對證書中CA中心的數(shù)字簽名進(jìn)行驗證來實現(xiàn)，當(dāng)接收到與自己不屬于同一CA的證書時，則還需要進(jìn)行CA中心的交叉驗證。發(fā)送方的身份驗證－證書的真實性確認(rèn)以后，獲得其中的公鑰信息，對接收到的發(fā)送方自己的數(shù)字簽名進(jìn)行驗證，以確認(rèn)收到的證書是由正確的發(fā)送方發(fā)出的，而非他人盜用證書。證書的有效性－通過查詢CRL（CertificateRevocationList，作廢證書列表）來確認(rèn)?；贑A中心的安全認(rèn)證示意圖在一些安全性要求較高的場合，用戶還可通過在線證書狀態(tài)查詢協(xié)議（OCSP）實時地查詢證書的狀態(tài)信息。網(wǎng)絡(luò)地址轉(zhuǎn)換特性地址轉(zhuǎn)換主要是因為Internet地址短缺問題而提出的，利用地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò)（Internet），利用地址轉(zhuǎn)換還可以給內(nèi)部網(wǎng)絡(luò)提供一種“隱私”保護(hù)，同時也可以按照用戶的需要提供給外部網(wǎng)絡(luò)一定的服務(wù)，如：WWW、FTP、TELNET、SMTP、POP3等。關(guān)于華為NAT特性的解決方案可參考NAT技術(shù)白皮書。智能防火墻Quidway系列安全路由器、防火墻等設(shè)備提供基于報文內(nèi)容的訪問控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范，包括對于SMTP命令的檢測、SYNflooding、PacketInjection的檢測。智能防火墻不但對報文的網(wǎng)絡(luò)層的信息進(jìn)行檢測，還對應(yīng)用層的協(xié)議信息（如FTP）進(jìn)行檢測。智能防火墻根據(jù)連接的狀態(tài)動態(tài)的創(chuàng)建和刪除暫時的連接，這靠動態(tài)的修改訪問列表規(guī)則來實現(xiàn)。智能防火墻在自己的數(shù)據(jù)結(jié)構(gòu)中維護(hù)著連接的狀態(tài)信息，并利用這些信息來創(chuàng)建暫時的入口（規(guī)則）。智能防火墻保存著不能由訪問列表規(guī)則保存的重要的狀態(tài)信息。防火墻檢驗數(shù)據(jù)流中的每一個報文，確保報文的狀態(tài)與報文本身符合用戶所定義的安全規(guī)則。連接狀態(tài)信息用于智能的允許/禁止報文。當(dāng)一個會話終止時，暫時的訪問規(guī)則也將被刪除，防火墻中的會話也將被關(guān)閉。智能防火墻通過兩種途徑來進(jìn)行攻擊的檢測：對創(chuàng)建新連接的請求的數(shù)目、速率和已打開的半連接的數(shù)目進(jìn)行比較來檢測SYNflooding。如果防火墻模塊檢測到一個不正常對新連接的請求的速率，將發(fā)送一個告警信息，并采取一些行動。對所有的TCP連接進(jìn)行報文的序列號檢查以檢測packetinjecting。如果序列號不在預(yù)期的可接受的范圍之內(nèi)，則扔掉相應(yīng)的報文。通過以下兩種方法防止拒絕服務(wù)攻擊：丟棄過時的TCP半連接以防止系統(tǒng)資源的損耗。通知相應(yīng)主機清除過時的連接以防止系統(tǒng)過載。管理員可以對最大可接收的半連接的數(shù)目和半連接的超時時間進(jìn)行設(shè)置。這對低速連接有效（512kbps或以下）。暫時禁止所有的SYN報文進(jìn)入受攻擊的主機。這個暫時的限制并不對已經(jīng)存在的連接產(chǎn)生影響。管理員可以對恢復(fù)接收SYN報文的時間間隔進(jìn)行設(shè)置。這對高速連接有效（512kbps以上）。智能防火墻還提供了增強的跟蹤審計功能?？梢詫λ械倪B接進(jìn)行記錄，包括：記錄連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。入侵檢測與防范技術(shù)華為Quidway系列安全路由器和Eudemon安全網(wǎng)關(guān)防火墻提供的安全防范特性，可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為，如下：1、單播反向路徑發(fā)送單播反向路徑發(fā)送（單播RPF）也稱為“反向路徑查詢”，它提供向內(nèi)和向外過濾，以便預(yù)防IP欺詐。這個特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性，保證去往受控區(qū)域以外的主機的包擁有可以在實施實體本地路由表時由路徑驗證的IP源地址。單播RPF僅限于實施實體本地路由表的網(wǎng)絡(luò)。如果進(jìn)入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點。2、FloodGuardFloodGuard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。這個功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)（DoS）襲擊，并能改善AAA系統(tǒng)使用情況。默認(rèn)狀態(tài)下，這個命令是打開的，可以用floodguard1命令控制。3、FloodDefenderFloodDefender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCPSYN包沖擊接口。要使用這個特性，可以將最大初始連接選項設(shè)置為nat和static命令。4、TCPIntercept特性TCPIntercept特性能夠保護(hù)可通過靜態(tài)和TCP管線訪問到的系統(tǒng)。這個特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。對于每個SYN，Eudemon防火墻還能以服務(wù)器的名義用空SYN/ACK進(jìn)行響應(yīng)。Eudemon防火墻能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機的認(rèn)可。5、FragGuard和虛擬重組（FragGuardand虛擬重組）FragGuard和虛擬重組能夠提供IP網(wǎng)段保護(hù)。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過Eudemon防火墻路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認(rèn)功能。這個特性使用系統(tǒng)日志記錄網(wǎng)段重疊，并用小網(wǎng)段補償異常情況，尤其是由teardrop.c襲擊引起的異常情況。6、DNS控制（DNSControl）Eudemon防火墻能夠識別每個向外的DNS（域名服務(wù)）分解請求，而且只允許有一個DNS響應(yīng)。為獲得答復(fù)，主機可以查詢幾臺服務(wù)器（以防第一臺服務(wù)器答復(fù)過慢），但是，只有第一個請求答復(fù)有效。其它請求答復(fù)將被防火墻丟棄。這個特性一直處于打開狀態(tài)。7、ActiveX阻擋（ActiveXBlocking）AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應(yīng)用。Eudemon防火墻ActiveX阻擋特性能夠阻擋HTML命令，并在HTMLWeb頁面以外予以說明。作為一種技術(shù)，ActiveX可能會給網(wǎng)絡(luò)客戶機帶來許多潛在問題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問題，被用于襲擊服務(wù)器，或者被主機用于襲擊服務(wù)器等。8、Java過濾Java過濾特性可用于防止受保護(hù)網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序，它可能會受到某些安全政策的禁止，因為它們存在漏洞，可能會使受保護(hù)網(wǎng)絡(luò)遭到襲擊。9、URL過濾Eudemon防火墻能夠提供HTTP、FTP以及URL的過濾，可以檢查外出的URL請求，根據(jù)已經(jīng)配置的規(guī)則Eudemon防火墻接受或拒絕連接?？紤]到防火墻特性和內(nèi)容過濾有著不同的功能要求，可以采用過濾服務(wù)器與防火墻共同配合的方式，這樣由于URL過濾等在獨立平臺上處理，不會給安全設(shè)備帶來其它性能負(fù)擔(dān)。QoS特性對于路由器的接口，當(dāng)報文到達(dá)速度大于該接口傳送報文的速度時， 在該接口處就會產(chǎn)生擁塞。如果沒有足夠的存儲空間來保存這些報文，有些報文就會丟失。報文的丟失又可能會導(dǎo)致發(fā)送該報文的主機或路由器因超時而重傳此報文，這將導(dǎo)致惡性循環(huán)。造成擁塞的因素有很多。比如，當(dāng)報文流從高速鏈路進(jìn)入路由器，由低速鏈路傳送出去時，就可能產(chǎn)生擁塞；報文流同時從多個接口進(jìn)入路由器，由一個接口轉(zhuǎn)發(fā)出去或處理器速度慢也會產(chǎn)生擁塞。當(dāng)擁塞發(fā)生時，路由器可以采取一定的策略對報文進(jìn)行調(diào)度，決定哪些報文可以優(yōu)先發(fā)送、哪些報文可以被丟棄。路由器的這種管理策略叫做擁塞管理。擁塞管理可通過以下的隊列調(diào)度來實現(xiàn)：關(guān)于華為QOS的解決方案可參考QOS技術(shù)白皮書。防火墻設(shè)備的安全特性防火墻的工作原理防火墻的作用是防止外部網(wǎng)絡(luò)（如公共互聯(lián)網(wǎng)）上的非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)，多數(shù)防火墻都可以有選擇地保護(hù)一個或多個周邊網(wǎng)絡(luò)（也稱為非軍管區(qū)，DMZ）。防火墻對訪問外部網(wǎng)絡(luò)的限制最低，對訪問周邊網(wǎng)絡(luò)非軍管區(qū)的限制次之，對訪問內(nèi)部網(wǎng)絡(luò)的限制最高，可提供三個不同層次的安全組網(wǎng)模式。只有有效充分的利用防火墻和安全政策才能保證受保護(hù)網(wǎng)絡(luò)（信任網(wǎng)絡(luò)）和非保護(hù)網(wǎng)絡(luò)（不可信任網(wǎng)絡(luò)）之間所有流量的安全有效控制，這樣防火墻在抵御外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊竊取的同時，還可控制內(nèi)部網(wǎng)絡(luò)用戶是否可以合法的訪問外部Internet，以及怎樣借助防火墻提供的特性實施安全政策等。防火墻保護(hù)網(wǎng)絡(luò)的方法如下圖所示，這種方法允許實施帶外連接并安全接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)中的防火墻應(yīng)用在這種體系結(jié)構(gòu)中，防火墻將形成受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的邊界。受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的所有流量都通過防火墻實現(xiàn)安全性。防火墻允許用戶在受保護(hù)網(wǎng)絡(luò)內(nèi)確定服務(wù)器的位置，例如用于WWW接入、SNMP、電子郵件（SMTP）的服務(wù)器，然后控制外部的哪些用戶可以訪問這些服務(wù)器，這些對服務(wù)器系統(tǒng)的訪問可以由防火墻進(jìn)行控制和監(jiān)視。防火墻還允許用戶對來往于內(nèi)部網(wǎng)絡(luò)的連接實施安全政策。一般情況下，內(nèi)部網(wǎng)絡(luò)是機構(gòu)自身的內(nèi)部網(wǎng)絡(luò)，或者內(nèi)部網(wǎng)，外部網(wǎng)絡(luò)是互聯(lián)網(wǎng)，但是，防火墻也可以用在內(nèi)部網(wǎng)中，以便隔離或保護(hù)某組內(nèi)部計算系統(tǒng)和用戶，以達(dá)到內(nèi)部一些系統(tǒng)更為強大的機密性。防火墻一方面用于阻止來自Internet的對受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未驗證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)用戶對Internet在授權(quán)范圍內(nèi)的訪問，如WWW服務(wù)、E-mail服務(wù)?，F(xiàn)代的許多防火墻還具有其他的一些特性，包括身份鑒別、信息安全處理等。IP層的包過濾通常使用到IP報文的源、目的地址、協(xié)議域及相應(yīng)的源、目的端口、標(biāo)志域等屬性進(jìn)行組合形成不同的包過濾規(guī)則，對IP報文進(jìn)行過濾，從而決定某類報文能否被轉(zhuǎn)發(fā)（通過防火墻）或被丟棄。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過濾規(guī)則。Quidway系列安全路由器、防火墻提供了基于接口的包過濾，即可以在一個接口的進(jìn)出兩個方向上對報文進(jìn)行過濾。同時還提供了基于時間段的包過濾，可以規(guī)定過濾規(guī)則發(fā)生作用的時間范圍，比如可設(shè)置每周一的8:00至20:00允許FTP報文進(jìn)入以完成必要的服務(wù)，而其余時間則禁止FTP連接。在時間段的設(shè)置上，可以采用絕對時間段和周期時間段以及連續(xù)時間段和離散時間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。地址轉(zhuǎn)換，用來實現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實際地址；外部網(wǎng)絡(luò)基本上不可能穿過地址代理來直接訪問內(nèi)部網(wǎng)絡(luò)。Quidway系列安全路由器實現(xiàn)的地址轉(zhuǎn)換能夠?qū)⒕W(wǎng)內(nèi)用戶發(fā)出的報文的源地址全部映射成一個接口的地址，與按需撥號相結(jié)合，使局域網(wǎng)內(nèi)用戶通過一臺路由器即可輕松上網(wǎng)。Quidway系列安全路由器支持帶訪問控制列表的地址轉(zhuǎn)換。通過配置，用戶可以指定能夠通過地址轉(zhuǎn)換的主機，以有效地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。結(jié)合地址池，還可以支持多對多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。Quidway系列安全路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對外提供WEB、FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進(jìn)行服務(wù)器的維護(hù)。Quidway系列安全路由器、防火墻提供基于報文內(nèi)容的訪問控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范，包括對于SMTP命令的檢測、SYNflooding、PacketInjection的檢測。智能防火墻不但對報文的網(wǎng)絡(luò)層的信息進(jìn)行檢測，還對應(yīng)用層的協(xié)議信息（如FTP）進(jìn)行檢測。當(dāng)報文通過路由器時，智能防火墻將報文與指定的訪問規(guī)則進(jìn)行比較，如果規(guī)則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用于打開一個新的控制或數(shù)據(jù)連接，智能防火墻將動態(tài)的修改或創(chuàng)建規(guī)則，同時更新狀態(tài)表以保存不能由訪問列表規(guī)則保存的重要的狀態(tài)信息，從而允許與新創(chuàng)建的連接相關(guān)的報文。對于回來的報文只有是屬于一個已經(jīng)存在的有效的連接，才會被允許通過防火墻。在處理回來的報文時，狀態(tài)表也需要更新。當(dāng)一個連接被關(guān)閉或超時后，該連接對應(yīng)的狀態(tài)表將被刪除。動態(tài)生成的規(guī)則不會被存儲到FLASH或NVRAM中，確保未經(jīng)授權(quán)的報文不能隨便透過防火墻。智能防火墻使得Quidway系列安全路由器能夠支持一個控制連接上存在多個數(shù)據(jù)連接的協(xié)議。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323）及FTP、RPC等協(xié)議使用約定的端口來初始化一個控制連接，再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。而端口的選擇是不可預(yù)測的，其中的某些應(yīng)用甚至可能要同時用到多個端口。標(biāo)準(zhǔn)防火墻只有阻止類似的應(yīng)用傳輸，以免內(nèi)部網(wǎng)絡(luò)遭受攻擊。有時僅阻止了一些使用固定端口的應(yīng)用，而留下了許多安全隱患。智能防火墻監(jiān)聽每一個應(yīng)用的每一個連接所使用的端口，打開合適的通道讓會話中的數(shù)據(jù)能夠出入防火墻，在會話結(jié)束時關(guān)閉該通道，從而能夠?qū)κ褂脛討B(tài)端口的應(yīng)用實施有效的訪問控制。智能防火墻還提供了增強的跟蹤審計功能?？梢詫λ械倪B接進(jìn)行記錄，包括：記錄連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。防火墻工作方式Quidway系列防火墻支持多種工作模式：透明工作模式（橋接模式）：可以透明接入與透明連接，不影響原有網(wǎng)絡(luò)設(shè)計和配置；防火墻在透明方式下則類似于網(wǎng)橋，使用戶不需要對保護(hù)網(wǎng)絡(luò)主機屬性進(jìn)行重新設(shè)置，極大地方便了用戶的使用。防火墻的透明接入其含義就是：組網(wǎng)結(jié)構(gòu)無需做任何改變，就可實現(xiàn)各種信息訪問控制；現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也無需變動。防火墻的透明功能提供了方便性，但又不減低網(wǎng)絡(luò)的安全性。路由工作模式：防火墻相當(dāng)于靜態(tài)路由器，提供路由功能。混合工作模式：防火墻在透明模式和路由模式同時工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。應(yīng)用規(guī)則報文過濾（AppliedSpecificationPacketFilter）應(yīng)用規(guī)則報文過濾是一種基于狀態(tài)的報文檢測過濾方法。每個向內(nèi)傳輸?shù)陌紝凑者B接狀態(tài)信息進(jìn)行檢查。業(yè)界人士都認(rèn)為，這種基于狀態(tài)的安全檢測方法要比無狀態(tài)的單純包過濾方法更安全。ASPF無需配置每個內(nèi)部系統(tǒng)和應(yīng)用就能實現(xiàn)單向（從內(nèi)到外）連接。ASPF一直處于操作狀態(tài)，監(jiān)控返回的包，目的是保證這些包的有效性。為減小TCP序列號襲擊的風(fēng)險，它總是主動對TCP序列號作隨機處理。ASPF遵守以下規(guī)則：如果沒有連接和狀態(tài)，任何包都不能穿越Eudemon防火墻；如果沒有訪問控制表的特殊定義，向外連接或狀態(tài)都是允許的。向外連接指產(chǎn)生者或客戶機的安全接口等級高于接收者或服務(wù)器。最安全的接口總是內(nèi)部接口，最不安全的接口總是外部接口。周邊接口的安全等級處于內(nèi)部接口和外部接口之間；如果沒有特殊定義，向內(nèi)連接或狀態(tài)是不允許的。向內(nèi)連接或狀態(tài)指產(chǎn)生者或客戶機的安全接口/網(wǎng)絡(luò)等級低于接收者或服務(wù)器。用戶可以為一個xlate（轉(zhuǎn)換）應(yīng)用多個例外。這樣，就可以從互聯(lián)網(wǎng)上的任意機器、網(wǎng)絡(luò)或主機訪問xlate定義的主機；如果沒有特殊定義，所有ICMP包都將被拒絕；違反上述規(guī)則的所有企圖都將失敗，而且將把相應(yīng)信息發(fā)送至系統(tǒng)日志。Eudemon防火墻處理UDP數(shù)據(jù)傳輸?shù)姆绞脚cTCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，Eudemon防火墻執(zhí)行了特殊處理。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時，Eudemon防火墻將生成UDP“連接”狀態(tài)信息。如果與連接狀態(tài)信息相匹配，這些流量帶來的答復(fù)包將被接受，否則報文將被直接過濾掉。并且可以做到基于這些連接的時間段狀態(tài)檢測，如果連接在一段時間內(nèi)沒有任何報文流通過，連接狀態(tài)信息將被刪除。多個接口和安全等級所有Eudemon防火墻都至少有兩個接口，默認(rèn)狀態(tài)下，它們被稱為外部接口和內(nèi)部接口，安全等級分別為最低和最高。較低的優(yōu)先級說明接口受到的保護(hù)較少。一般情況下，外部接口與公共互聯(lián)網(wǎng)相連，內(nèi)部接口則與專用網(wǎng)相連，并且可以防止公共訪問。許多Eudemon防火墻都能提供八個接口，以便生成一個或多個周邊網(wǎng)絡(luò)，這些區(qū)域也稱為非軍管區(qū)（DMZ）。DMZ的安全性高于外部接口，但低于內(nèi)部接口。一般情況下，用戶需要訪問的郵件服務(wù)器或Web服務(wù)器都被置于DMZ中的公共互聯(lián)網(wǎng)上，以便提供某種保護(hù)，但不致于破壞內(nèi)部網(wǎng)絡(luò)上的資源。數(shù)據(jù)在防火墻中的傳送方式當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)向外部網(wǎng)絡(luò)發(fā)送的包到達(dá)防火墻的內(nèi)部接口時，防火墻將根據(jù)ASPF規(guī)則檢查包是否有效，并且確定是否為新建連接。如果是新建連接，防火墻將在狀態(tài)表中為此連接產(chǎn)生一個狀態(tài)信息表，該信息表內(nèi)容包括內(nèi)部IP地址以及由網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、端口地址轉(zhuǎn)換（PAT）或者Identity（將內(nèi)部地址作為外部地址使用）分配的全球唯一IP地址。然后，防火墻將把包的源IP地址轉(zhuǎn)換成全球唯一地址，根據(jù)需要修改總值和其它字段，然后將包發(fā)送到外部接口。當(dāng)向內(nèi)傳輸?shù)陌竭_(dá)外部接口時，首先接受防火墻ASPF規(guī)則的檢查。如果包能夠通過安全測試，則防火墻刪除目標(biāo)IP地址，并將內(nèi)部IP地址插入到這個位置，包將被發(fā)送到受保護(hù)的內(nèi)部接口。內(nèi)部地址的轉(zhuǎn)換（NAT）Eudemon防火墻可以實現(xiàn)公私網(wǎng)地址的混編，內(nèi)部網(wǎng)絡(luò)既可以存在私網(wǎng)地址業(yè)務(wù)流，也可以存在公網(wǎng)地址業(yè)務(wù)流，滿足多種組網(wǎng)方式的需求。這樣，如果正在為具有主機網(wǎng)絡(luò)注冊地址的原有網(wǎng)絡(luò)上安裝防火墻，可能不想為這些主機或網(wǎng)絡(luò)進(jìn)行地址轉(zhuǎn)換。對于內(nèi)部系統(tǒng)，NAT能夠轉(zhuǎn)換向外傳輸?shù)陌脑碔P地址（RFC1631），同時支持動態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT允許為內(nèi)部系統(tǒng)分配專用地址（RFC1918）定義，或者保留現(xiàn)有的無效地址。NAT還能提高安全性，因為它能向外部網(wǎng)絡(luò)隱藏內(nèi)部系統(tǒng)的真實網(wǎng)絡(luò)身份。PAT使用端口重映射，允許一個有效的IP地址支持64,000個活躍對象的源IP地址轉(zhuǎn)換。PAT能夠減少支持專用或無效內(nèi)部地址方案所需的全球有效IP地址數(shù)量。對于向內(nèi)數(shù)據(jù)流與向外控制路徑不同的多媒體應(yīng)用，PAT不能與之配合使用。由于能夠向外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的真實網(wǎng)絡(luò)身份，因此，PAT能夠提高安全性。防火墻上的另一種地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能夠為內(nèi)部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯(lián)網(wǎng)訪問的服務(wù)器來講，這個功能非常有用。認(rèn)證代理認(rèn)證代理是Eudemon防火墻的獨特特性，能夠?qū)崿F(xiàn)用戶（包括內(nèi)部用戶和外部用戶）向內(nèi)或外部連接進(jìn)行驗證。在建立連接的同時，防火墻首先查詢認(rèn)證服務(wù)器，當(dāng)連接獲得批準(zhǔn)之后才建立數(shù)據(jù)流，之后，所有流量都將在雙方之間直接、快速地流動。當(dāng)然，在合法連接建立之前，所有該連接的數(shù)據(jù)將會被禁止。借助這個特性可以對每個用戶ID實施安全政策。在連接建立之前，可以借助用戶ID和密碼進(jìn)行認(rèn)證，它支持認(rèn)證和授權(quán)，作為Radius服務(wù)器的客戶端與Radius服務(wù)器進(jìn)行認(rèn)證確認(rèn)。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。Eudemon防火墻按照ITU-TRADIUS協(xié)議規(guī)范實現(xiàn)AAA（Authentication、AuthorizationandAccounting，驗證、授權(quán)和計費）功能，構(gòu)建分布式的客戶/服務(wù)器安全訪問應(yīng)用，依據(jù)PAP（PasswordAuthenticationProtocol，口令驗證協(xié)議）和CHAP（ChallengeHandshakeAuthenticationProtocol，盤問握手驗證協(xié)議）認(rèn)證規(guī)范，為用戶提供安全的認(rèn)證、授權(quán)和計費服務(wù)，避免未授權(quán)訪問。與檢查源IP地址的方法相比，認(rèn)證代理能夠?qū)B接實施更詳細(xì)的管理。在提供向內(nèi)認(rèn)證時，需要相應(yīng)地控制外部用戶使用的用戶ID和密碼，在這種情況下，建議使用一次性口令認(rèn)證。訪問控制1、AAA代理客戶端：Eudemon防火墻提供AAA（認(rèn)證、計費和授權(quán)）代理客戶端的功能，可構(gòu)建分布式的客戶/服務(wù)器安全訪問應(yīng)用，AAA服務(wù)由RADIUS服務(wù)器提供。只有通過AAA認(rèn)證的用戶流量才能被允許通過，否則將被禁止。2、訪問列表：Eudemon防火墻使用訪問列表控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接。用戶可以按照源地址、目標(biāo)地址、源端口、目的端口或協(xié)議類型等域使用訪問列表控制連接。為了增強防火墻本身的安全特性，減少不必要的接入連接，應(yīng)該認(rèn)真有效配置訪問列表。啟動專有協(xié)議和應(yīng)用1、SMTP協(xié)議監(jiān)控：SMTP協(xié)議監(jiān)控能夠為從外部到內(nèi)部消息服務(wù)器的簡單郵件