IPSec安全隧道实现VPN

如图4所示,在路由器之间建立IPSec安全隧道,构成安全的VPN,是最常用的安全网络组建方式。作为IPSec网关的路由器实际上就是IPSec隧道的终点和起点。为了满足转发性能的要求,需要专用的加密板卡。

隧道嵌套提供多重安全保护

如图5所示,通过隧道嵌套的方式可以获得多重的安全保护。

配置了IPSec的主机HostC通过安全隧道接入到配置了IPSec网关的路由器ZXR10T128A。该路由器作为外部隧道的终结点将外部隧道封装剥除,这时嵌套的内部安全隧道构成了对内部网络的安全隔离。ZXR10 GAR B作为内部隧道的终结点,使得Host C最终接入到部门服务器Host D中。

确保高性能转发的安全加密硬件

大量使用IPSec在提高网络安全的同时,不可避免地导致路由器转发性能和处理性能的劣化。

为了消除这些影响,通常使用ASIC专用集成电路)实现加密处理,或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例,对报文的加密和转发使用专门的网络数据加密接口板,该板由安全处理器和CPLD可编程逻辑器件)构成主要处理单元。其中,安全处理器完成所要求的IPSec功能,包括对数据进行加/解密、认证、数字签名等;支持DES数据加密标准)、3DES、AES先进加密标准)等通用加密算法;支持MD5 MessageDigestAlgorithm5)、SHASecure Hash Algorithm)等散列算法;支持RSARivest Shamir Adleman)签名。性能达到IPSec加密速度以3DES+MD5/SHA1计)不低于200Mbit/s,签名速度不低于60次/s。

其他安全措施

IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证,但是,网络受到的安全威胁是来自多层面的,包括物理层、数据链路层、网络层、传输层和应用层等各个部分。

通常,物理层的威胁来自于设备的不可靠性,诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等。对这样的安全隐患,可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。

在物理层以上层面,存在的安全隐患主要有来自于针对各种协议的安全威胁,以及意在非法占用网络资源或者耗尽网络资源的安全隐患,诸如双802.1Q封装攻击、广播包攻击、MAC洪泛、生成树攻击等二层攻击,以及虚假的ICMP报文、ICMP洪泛、源地址欺骗、路由振荡等针对三层协议的攻击。

在应用层,主要有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击。对于这些攻击,可以采用的防护手段包括:通过AAA、 TACACS+、RADIUS等安全访问控制协议,控制用户对网络的访问权限,防患针对应用层的攻击;通过MAC地址和IP地址绑定、限制每端口的MAC 地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击;通过路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施,来加强三层网络的安全性。

综上所述,安全的网络是众多安全技术的综合,而IPv6IPSec机制是其中重要的组成部分,提供了协议层面上的一致性解决方案,这也是IPv6相比IPv4的重大优越性。

同时,为了构建安全网络,还应该采取其他安全措施。1)结合AAA认证、NAT-PT、二/三层MPLSVPN、基于ACL标准的访问列表和静态扩展访问列表、防分片包攻击等来实现安全预防。2)通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由。3)通过SSHv2 SecureShell第2版)、SNMPV3简单网络管理协议第3版)、EXC,提供进程访问安全、线路访问安全。4)通过分级管理、定制特权级管理等手段来实现网络的安全管理。5)通过完善的告警、日志和审计功能实现网络时钟的安全。6)提供访问列表和关键事件的日志、路由协议事件和错误记录等,供网络管理人员进行故障分析、定位和统计。

  1. IPv6提高网络安全性同时面临新问题
  2. IPv6发展迅速将成为下一代网络核心技术


共2页: 上一页12下一页

相关内容