網(wǎng)絡(luò)安全技術(shù)白皮書(shū)030319

網(wǎng)絡(luò)安全技術(shù)白皮書(shū)第5頁(yè)共49頁(yè)網(wǎng)絡(luò)安全技術(shù)白皮書(shū)華為技術(shù)有限公司北京市上地信息產(chǎn)業(yè)基地信息中路3號(hào)華為大廈100085二ＯＯ三年三月

1 概述 52 安全網(wǎng)絡(luò)體系架構(gòu) 62.1 網(wǎng)絡(luò)安全層次分析 62.1.1 物理層安全 62.1.2 網(wǎng)絡(luò)層安全 62.1.3 應(yīng)用層安全 72.1.4 系統(tǒng)層安全 92.1.5 管理層安全 92.2 體系架構(gòu) 92.3 安全解決方案模型 133 組網(wǎng)應(yīng)用的安全設(shè)計(jì)原則 163.1 可靠性與線路安全 163.2 用戶驗(yàn)證 173.3 防地址假冒 173.4 身份認(rèn)證 173.5 訪問(wèn)控制 183.6 信息隱藏 183.7 數(shù)據(jù)加密 193.8 攻擊探測(cè)和防范 193.9 安全管理 194 華為網(wǎng)絡(luò)設(shè)備所采用的安全技術(shù) 204.1 CallBack技術(shù) 204.2 VLAN技術(shù) 204.3 IP組播 214.4 包過(guò)濾技術(shù) 214.5 VPN特性 224.5.1 結(jié)合防火墻的VPN解決方案 224.6 IPSecVPN 234.6.1 IPsec公私密鑰的自協(xié)商 254.7 AAA（Authentication,Authorization,Accounting） 264.8 互聯(lián)網(wǎng)密鑰交換（互聯(lián)網(wǎng)KeyExchange，IKE） 264.9 CA(CertificateAuthority） 284.10 網(wǎng)絡(luò)地址轉(zhuǎn)換特性 304.11 智能防火墻 304.12 入侵檢測(cè)與防范技術(shù) 314.13 QoS特性 335 防火墻設(shè)備的安全特性 335.1 防火墻的工作原理 335.2 防火墻工作方式 365.3 應(yīng)用規(guī)則報(bào)文過(guò)濾（AppliedSpecificationPacketFilter） 365.4 多個(gè)接口和安全等級(jí) 375.5 數(shù)據(jù)在防火墻中的傳送方式 375.6 內(nèi)部地址的轉(zhuǎn)換（NAT） 385.7 認(rèn)證代理 385.8 訪問(wèn)控制 395.9 啟動(dòng)專有協(xié)議和應(yīng)用 395.10 防火墻可靠性及高可用性 406 安全設(shè)備的系統(tǒng)管理 406.1 系統(tǒng)級(jí)安全策略－綜合訪問(wèn)認(rèn)證系統(tǒng) 406.2 IDS檢測(cè)系統(tǒng)及與防火墻的集成聯(lián)動(dòng) 426.3 使用系統(tǒng)日志服務(wù)器 436.4 安全設(shè)備網(wǎng)管 436.4.1 信息中心 446.5 安全策略分析與管理 446.6 ISPKeeper技術(shù)應(yīng)用 456.7 NetStream技術(shù) 487 總結(jié) 49

摘要本文基于華為技術(shù)有限公司Quidway以太網(wǎng)交換機(jī)、Quidway路由器、Quidway防火墻系列產(chǎn)品、iManagerN2000/Quidview網(wǎng)管、CAMS綜合管理平臺(tái)等詳細(xì)介紹了目前運(yùn)營(yíng)商和企業(yè)網(wǎng)中應(yīng)用的網(wǎng)絡(luò)安全技術(shù)以及華為公司在網(wǎng)絡(luò)安全技術(shù)方面的研究擴(kuò)展，其中包括訪問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)、加密與密鑰交換技術(shù)、報(bào)文檢測(cè)過(guò)濾、連接狀態(tài)檢測(cè)，防DOS功能，IDS檢測(cè)，日志分析審計(jì)，安全策略分析、網(wǎng)絡(luò)安全管理等等。并提出了融合網(wǎng)絡(luò)設(shè)備、應(yīng)用業(yè)務(wù)能力的安全體系架構(gòu)，以及系列安全產(chǎn)品在安全方面的發(fā)展方向。結(jié)合Quidway以太網(wǎng)交換機(jī)、路由器、防火墻系列產(chǎn)品和網(wǎng)絡(luò)安全管理系統(tǒng)在安全方面的功能特點(diǎn)，給出了相應(yīng)應(yīng)用的實(shí)際解決方案。關(guān)鍵詞FireWall，防火墻，狀態(tài)檢測(cè)，過(guò)濾，網(wǎng)絡(luò)安全，IDS、以太網(wǎng)交換機(jī)、路由器說(shuō)明由于網(wǎng)絡(luò)安全體系架構(gòu)所涵蓋的內(nèi)容相當(dāng)多，包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層多個(gè)層面的安全性，具體的可靠性規(guī)劃、彈性策略、MPLSVPN、CA應(yīng)用等將不在本文詳述，鑒于其應(yīng)用的復(fù)雜度重要性和討論篇幅超出本文能力的情況，將另出MPLSVPN技術(shù)白皮書(shū)、CA應(yīng)用技術(shù)白皮書(shū)等進(jìn)行詳述。

概述眾所周知，網(wǎng)絡(luò)為人們提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，提供一種開(kāi)放式的環(huán)境，網(wǎng)絡(luò)安全成為一個(gè)在開(kāi)放式環(huán)境中必要的技術(shù)，成為必須面對(duì)的一個(gè)實(shí)際問(wèn)題。而由于目前網(wǎng)絡(luò)應(yīng)用的自由性、廣泛性以及黑客的“流行”，網(wǎng)絡(luò)面臨著各種安全威脅，存在著各種類型的機(jī)密泄漏和攻擊方式，包括：竊聽(tīng)報(bào)文——攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名/口令或者是敏感的數(shù)據(jù)信息。通過(guò)Internet的數(shù)據(jù)傳輸，存在時(shí)間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)徹底不受竊聽(tīng)，基本是不可能的。IP地址欺騙——攻擊者通過(guò)改變自己的IP地址來(lái)偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送ICMP的特定報(bào)文）來(lái)更改路由信息，以竊取信息。源路由攻擊——報(bào)文發(fā)送方通過(guò)在IP報(bào)文的Option域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。端口掃描—通過(guò)探測(cè)防火墻在偵聽(tīng)的端口，來(lái)發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道路由器軟件的某個(gè)版本存在漏洞，通過(guò)查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對(duì)路由器進(jìn)行攻擊，使得路由器整個(gè)DOWN掉或無(wú)法正常運(yùn)行。拒絕服務(wù)攻擊——攻擊者的目的是阻止合法用戶對(duì)資源的訪問(wèn)。比如通過(guò)發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。Mellisa宏病毒所達(dá)到的效果就是拒絕服務(wù)攻擊。最近拒絕服務(wù)攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務(wù)攻擊，DistributedDenialOfService，簡(jiǎn)稱DDOS。許多大型網(wǎng)站都曾被黑客用DDOS方式攻擊而造成很大的損失。應(yīng)用層攻擊——有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、“特洛依木馬”等等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問(wèn)題。隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些敏感場(chǎng)合（如電子商務(wù)、政府機(jī)關(guān)等）的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的重要需求。網(wǎng)絡(luò)安全包括兩層內(nèi)容：其一是網(wǎng)絡(luò)資源的安全性，其二是數(shù)據(jù)交換的安全性。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)資源和數(shù)據(jù)通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護(hù)功能，Quidway系列交換機(jī)、路由器、防火墻、網(wǎng)管、業(yè)務(wù)平臺(tái)等產(chǎn)品提供了多種網(wǎng)絡(luò)安全機(jī)制，為網(wǎng)絡(luò)資源和數(shù)據(jù)交換提供了有力的安全保護(hù)。本文將對(duì)其技術(shù)與實(shí)現(xiàn)作詳細(xì)的介紹。安全網(wǎng)絡(luò)體系架構(gòu)網(wǎng)絡(luò)安全層次分析為了便于分析網(wǎng)絡(luò)安全分析和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。從網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個(gè)安全層中，即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全管理。物理層安全網(wǎng)絡(luò)的物理安全主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)安全考慮時(shí)，首先要考慮物理安全。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過(guò)無(wú)線電輻射泄露秘密信息等。除此之外，在一些特殊機(jī)密的網(wǎng)絡(luò)應(yīng)用中，由于專用網(wǎng)絡(luò)涉及業(yè)務(wù)網(wǎng)核心機(jī)密與管理網(wǎng)普同機(jī)密兩個(gè)不同的密級(jí)，因此在方案中可利用“物理隔離”技術(shù)，將兩個(gè)網(wǎng)絡(luò)從物理上隔斷而保證邏輯上連通實(shí)現(xiàn)所謂的“信息擺渡”。網(wǎng)絡(luò)層安全1、網(wǎng)絡(luò)傳送安全重要業(yè)務(wù)數(shù)據(jù)泄漏：由于在同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽(tīng)的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。重要數(shù)據(jù)被破壞：由于目前尚無(wú)安全的數(shù)據(jù)庫(kù)及個(gè)人終端安全保護(hù)措施，還不能抵御來(lái)自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫(kù)及個(gè)人終端的攻擊。同時(shí)一旦不法分子針對(duì)網(wǎng)上傳輸數(shù)據(jù)做出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。存儲(chǔ)數(shù)據(jù)對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)極為重要，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。2、網(wǎng)絡(luò)服務(wù)安全由于企業(yè)網(wǎng)可能處于一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境中，而且中間業(yè)務(wù)委托方的網(wǎng)絡(luò)很可能與INTERNET網(wǎng)絡(luò)進(jìn)行互連，所以中間業(yè)務(wù)網(wǎng)絡(luò)環(huán)境的復(fù)雜性和開(kāi)放性成為中間業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)潛在威脅的最大來(lái)源。此外，許多網(wǎng)絡(luò)提供與INTERNET連接的服務(wù)，并且內(nèi)部用戶也有上網(wǎng)需求，但現(xiàn)有的網(wǎng)絡(luò)安全防范措施還很薄弱，存在的安全風(fēng)險(xiǎn)主要有：入侵者通過(guò)Sniffer等嗅探程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)的重要信息。入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)中重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。網(wǎng)絡(luò)安全不僅來(lái)自外部網(wǎng)絡(luò)，同樣存在于內(nèi)部網(wǎng)，而且來(lái)自內(nèi)部的攻擊更嚴(yán)重、更難防范。如果辦公系統(tǒng)與業(yè)務(wù)系統(tǒng)沒(méi)有采取相應(yīng)安全措施，同樣是內(nèi)部網(wǎng)用戶的個(gè)別員工可能訪問(wèn)到他本不該訪問(wèn)的信息。還可能通過(guò)可以訪問(wèn)的條件制造一些其它不安全因素（偽造、篡改數(shù)據(jù)等）?；蛘咴趧e的用戶關(guān)機(jī)后，盜用其IP進(jìn)行非法操作，來(lái)隱瞞自已的身份。網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。應(yīng)用層安全網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險(xiǎn)：業(yè)務(wù)網(wǎng)和辦公網(wǎng)之間的非法訪問(wèn)；中間業(yè)務(wù)的安全；用戶提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴；由于網(wǎng)絡(luò)對(duì)外提供網(wǎng)上WWW服務(wù)，因此存在外網(wǎng)非法用戶對(duì)服務(wù)器攻擊。1、與INTERNET連接帶來(lái)的安全隱患為滿足企業(yè)網(wǎng)內(nèi)部用戶上網(wǎng)需求，網(wǎng)絡(luò)與INETRNET直接連接，這樣網(wǎng)絡(luò)結(jié)構(gòu)信息極易為攻擊者所利用，有人可能在未經(jīng)授權(quán)的情況下非法訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，竊取信息同時(shí)由于二者之間尚無(wú)專門的安全防護(hù)措施，服務(wù)器主機(jī)所提供的網(wǎng)絡(luò)服務(wù)也極易被攻擊者所利用，發(fā)動(dòng)進(jìn)一步攻擊。即使采用代理服務(wù)器進(jìn)行網(wǎng)絡(luò)隔離，一旦代理服務(wù)器失控，內(nèi)部網(wǎng)絡(luò)將直接暴露在INTERNET上，如果企業(yè)開(kāi)通網(wǎng)上服務(wù)，內(nèi)部部分業(yè)務(wù)系統(tǒng)還需要向公眾開(kāi)放，面臨網(wǎng)絡(luò)黑客攻擊的威脅更大。2、身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可重復(fù)使用。這樣非法用戶通過(guò)網(wǎng)絡(luò)竊聽(tīng)，非法數(shù)據(jù)庫(kù)訪問(wèn)，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法訪問(wèn)和越權(quán)操作。3、高速局域網(wǎng)服務(wù)器群安全企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是一項(xiàng)需要解決的問(wèn)題。與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)服務(wù)器是網(wǎng)絡(luò)應(yīng)用的核心。對(duì)于業(yè)務(wù)系統(tǒng)服務(wù)器應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。業(yè)務(wù)系統(tǒng)服務(wù)器面臨以下安全問(wèn)題：(1)對(duì)業(yè)務(wù)服務(wù)器的非授權(quán)訪問(wèn)(2)對(duì)業(yè)務(wù)服務(wù)器的攻擊(3)業(yè)務(wù)服務(wù)器的帶寬要求(4)業(yè)務(wù)系統(tǒng)服務(wù)器應(yīng)保障：訪問(wèn)控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)，業(yè)務(wù)系統(tǒng)資源不被其他應(yīng)用非法占用。數(shù)據(jù)安全，保證數(shù)據(jù)庫(kù)軟硬件系統(tǒng)的整體安全性和可靠性和數(shù)據(jù)傳輸?shù)陌踩?。入侵檢測(cè)，對(duì)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。來(lái)自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。對(duì)業(yè)務(wù)服務(wù)器信息流應(yīng)有相應(yīng)的審計(jì)功能。4、內(nèi)部管理服務(wù)平臺(tái)的安全分析管理公用服務(wù)平臺(tái)指由網(wǎng)絡(luò)提供給網(wǎng)內(nèi)客戶的公共信息服務(wù)，公用服務(wù)平臺(tái)有可能受到來(lái)自內(nèi)部網(wǎng)絡(luò)人員資源非法占用和做攻擊性測(cè)試。公用服務(wù)平臺(tái)的安全要求：(1)訪問(wèn)控制。(2)服務(wù)器實(shí)時(shí)安全監(jiān)控。(3)應(yīng)用系統(tǒng)的通訊安全。系統(tǒng)層安全系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)分析主要針對(duì)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。專用網(wǎng)絡(luò)通常采用的操作系統(tǒng)(主要為UNIX)本身在安全方面有一定考慮，但服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在一些安全隱患。管理層安全再安全的網(wǎng)絡(luò)設(shè)備離不開(kāi)人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。體系架構(gòu)從上節(jié)可知，網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個(gè)層面，由“物理級(jí)安全、網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和管理級(jí)安全”五個(gè)層次組成。在物理層次的安全主要依靠物理線路的可靠保障、維護(hù)等措施防護(hù)，對(duì)于一些不同機(jī)密的內(nèi)外網(wǎng)隔離，可采用一些物理隔離設(shè)備實(shí)現(xiàn)信息擺渡。而系統(tǒng)級(jí)層次的安全主要依靠操作系統(tǒng)的可靠性、漏洞補(bǔ)救、病毒防護(hù)等措施保障，該層次的安全性可以結(jié)合網(wǎng)絡(luò)層、應(yīng)用層和管理層的措施共同防護(hù)。所以網(wǎng)絡(luò)的安全解決方案應(yīng)該主要從三個(gè)層次解決：網(wǎng)絡(luò)層、應(yīng)用層和管理層。包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識(shí)別、安全防御、安全監(jiān)控、審計(jì)分析、集中管理等多個(gè)方面。這需要依靠技術(shù)方面的安全保護(hù)和管理方面的安全管理進(jìn)行全面防護(hù)。其中在技術(shù)方面主要由數(shù)據(jù)安全識(shí)別、防御、傳送、監(jiān)控四個(gè)部分支撐；在管理方面需要進(jìn)行實(shí)時(shí)的安全保護(hù)、審計(jì)、分析、智能管理。此外，僅僅依靠安全技術(shù)和安全的管理是無(wú)法徹底解決安全問(wèn)題的，解決安全問(wèn)題是個(gè)循序的過(guò)程，還需要對(duì)緊急事件進(jìn)行及時(shí)的處理響應(yīng)并完善更新策略規(guī)則，增強(qiáng)整個(gè)系統(tǒng)安全性。安全解決方案層次結(jié)構(gòu)安全識(shí)別技術(shù)包括用戶接入身份認(rèn)證、用戶訪問(wèn)權(quán)限區(qū)分、管理員權(quán)限識(shí)別與限制、業(yè)務(wù)使用訪問(wèn)控制、網(wǎng)絡(luò)服務(wù)使用控制、管理員視圖控制、訪問(wèn)策略服務(wù)等等。安全防御一般通過(guò)防火墻來(lái)進(jìn)行安全防御，防火墻是在內(nèi)部可信任設(shè)施和外部非信任網(wǎng)絡(luò)之間的屏障，防火墻的設(shè)計(jì)的原則是：只信任內(nèi)部網(wǎng)絡(luò)，對(duì)一切來(lái)自外部/去網(wǎng)外部的流量進(jìn)行監(jiān)控；對(duì)于本地網(wǎng)絡(luò)的信任問(wèn)題，應(yīng)該通過(guò)其他方法解決掉（如識(shí)別、監(jiān)控和管理策略等）。安全傳送包括采用IPsec、路由安全、SSL等方式。安全監(jiān)控一般采用防火墻和入侵檢測(cè)系統(tǒng)配合的方式，防火墻是處于網(wǎng)絡(luò)邊界的設(shè)備，自身可能被攻破，需要在內(nèi)部進(jìn)行監(jiān)控，采用入侵檢測(cè)識(shí)別行為終點(diǎn)是內(nèi)部系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)資源的可疑行為，并對(duì)這些行為做出反應(yīng)；入侵檢測(cè)是對(duì)防御技術(shù)的重要補(bǔ)充，入侵檢測(cè)既快處針對(duì)外部網(wǎng)絡(luò)，也針對(duì)內(nèi)部網(wǎng)絡(luò)。下圖為華為“i3安全”網(wǎng)絡(luò)體系架構(gòu)：“i3安全”三維度集成安全體系架構(gòu)華為“i3安全”網(wǎng)絡(luò)體系架構(gòu)為三維體系架構(gòu)，以時(shí)間、空間、網(wǎng)絡(luò)層次為三維實(shí)現(xiàn)端到端的安全防護(hù)體系。在網(wǎng)絡(luò)層次的方向，解決網(wǎng)絡(luò)層傳送安全和網(wǎng)絡(luò)層服務(wù)安全問(wèn)題，在用戶層上解決用戶的身份識(shí)別、驗(yàn)證授權(quán)、服務(wù)授權(quán)的安全問(wèn)題，在業(yè)務(wù)應(yīng)用層解決業(yè)務(wù)應(yīng)用、平臺(tái)服務(wù)、管理審計(jì)的的安全問(wèn)題。而且針對(duì)攻擊的特點(diǎn)對(duì)事前時(shí)候進(jìn)行充分的防御和分析，采用數(shù)通系列產(chǎn)品的防火墻特性和IDS入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)對(duì)攻擊的檢測(cè)和全面防御，降低攻擊者對(duì)網(wǎng)絡(luò)攻擊的可能性；此外，防火墻、IDS系統(tǒng)等能夠做到對(duì)攻擊日志、過(guò)濾日志、NAT日志等的分析審計(jì)，對(duì)事后的跟蹤分析定位提供有效的記錄，采用集中管理、策略服務(wù)管理，杜絕網(wǎng)絡(luò)漏洞。該安全體系針對(duì)企業(yè)網(wǎng)內(nèi)外網(wǎng)絡(luò)不同的機(jī)密等級(jí)安全層次，采用不同的安全措施，對(duì)于內(nèi)部機(jī)密網(wǎng)絡(luò)提供用戶精細(xì)認(rèn)證授權(quán)、防火墻防御和入侵檢測(cè)、策略服務(wù)集中管理的高安全控制體系，對(duì)于外部網(wǎng)絡(luò)不同用戶的訪問(wèn)，包括出差遠(yuǎn)程用戶、分支節(jié)點(diǎn)用戶、合作方用戶、其他部門用戶、internet用戶等，采用不同的安全服務(wù)等級(jí)和策略，既可以實(shí)現(xiàn)外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，避免對(duì)內(nèi)部網(wǎng)絡(luò)和internet服務(wù)器的攻擊，也可以防范內(nèi)部用戶對(duì)服務(wù)中心的未授權(quán)訪問(wèn)、機(jī)密竊取和服務(wù)攻擊。整個(gè)構(gòu)架充分體現(xiàn)了網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用與安全融合的整體解決方案思路，全面解決用戶各方面各層次的安全需求?！癷3安全”三維度集成安全體系架構(gòu)華為安全體系架構(gòu)主要由路由器、以太網(wǎng)交換機(jī)、防火墻、網(wǎng)管、業(yè)務(wù)平臺(tái)多個(gè)網(wǎng)絡(luò)設(shè)備支撐，由安全認(rèn)證、訪問(wèn)控制、過(guò)濾檢測(cè)、掃描、IDS檢測(cè)、VPN、審計(jì)分析、策略服務(wù)管理等多方面構(gòu)成完善的防護(hù)體系。安全網(wǎng)絡(luò)體系架構(gòu)安全解決方案模型華為能夠提供完善的安全解決方案，并能夠與設(shè)備業(yè)務(wù)解決方案有機(jī)融合，其最終目的是架構(gòu)一個(gè)安全的，開(kāi)放的，多功能的，穩(wěn)定的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用平臺(tái)；建立一個(gè)安全的，系統(tǒng)的，可靠的網(wǎng)絡(luò)交換平臺(tái)；建立一個(gè)安全的，系統(tǒng)的，可靠的操作系統(tǒng)平臺(tái)；建立一個(gè)安全的，系統(tǒng)的，穩(wěn)定的應(yīng)用系統(tǒng)平臺(tái)；建立一個(gè)全面的，合理的網(wǎng)絡(luò)安全管理制度。華為公司提供并實(shí)施的網(wǎng)絡(luò)安全解決方案主要由四部分構(gòu)成：采用具有用戶身份識(shí)別、驗(yàn)證授權(quán)、訪問(wèn)控制特性的路由器、交換機(jī)等系列產(chǎn)品實(shí)現(xiàn)對(duì)于機(jī)密內(nèi)網(wǎng)和外網(wǎng)用戶的強(qiáng)管理控制，實(shí)現(xiàn)用戶的有效授權(quán)訪問(wèn)。避免非法用戶在未授權(quán)的情況下實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的竊取、篡改，以及對(duì)服務(wù)提供點(diǎn)的攻擊，避免仿冒用戶、偽用戶獲得授權(quán)造成網(wǎng)絡(luò)危害?？赏ㄟ^(guò)系列路由器和交換機(jī)、防火墻設(shè)備與CAMS綜合管理平臺(tái)配合實(shí)現(xiàn)用戶的PKI/CA、用戶名/口令、帳號(hào)等的精細(xì)認(rèn)證授權(quán)管理以及服務(wù)策略集中管理下發(fā)。采用MPLSVPN技術(shù)、可控組播技術(shù)、冗余備份技術(shù)等實(shí)現(xiàn)對(duì)不同業(yè)務(wù)群體和用戶群體之間的有效隔離和互通，并采用IPsec隧道、SSL、加密技術(shù)等保證數(shù)據(jù)的保密、完整、有效的傳送交換。此外采用接入控制、VPN業(yè)務(wù)、防火墻等網(wǎng)絡(luò)設(shè)備特性實(shí)現(xiàn)不同安全性機(jī)密性的內(nèi)部可信網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)的隔離控制。使用防火墻、入侵檢測(cè)產(chǎn)品（包括系列路由器、交換機(jī)和專用防火墻產(chǎn)品等）實(shí)現(xiàn)各種關(guān)鍵應(yīng)用服務(wù)器與其它所有外部網(wǎng)絡(luò)的隔離與訪問(wèn)控制，通過(guò)配置防火墻安全策略對(duì)所有服務(wù)器的請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)服務(wù)器，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)前就遭到拒絕，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)，進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警和及時(shí)阻斷。同時(shí)，當(dāng)事故發(fā)生后，應(yīng)提供黑客攻擊行為的追蹤線索及破案依據(jù)，有對(duì)網(wǎng)絡(luò)的可控性與可審查性。使用與Eudemon防火墻系統(tǒng)聯(lián)動(dòng)的專用入侵檢測(cè)系統(tǒng)（IDS）對(duì)服務(wù)器與重保護(hù)網(wǎng)段加以監(jiān)控、記錄，并與防火墻一起構(gòu)成一個(gè)動(dòng)態(tài)的防御、報(bào)警系統(tǒng)；采用iManagerN2000/Quidview網(wǎng)管平臺(tái)和CAMS綜合管理策略平臺(tái)實(shí)現(xiàn)整網(wǎng)設(shè)備、業(yè)務(wù)以及安全性的集中管理控制，可實(shí)現(xiàn)MPLSVPN業(yè)務(wù)、組播等業(yè)務(wù)的分級(jí)分權(quán)管理；可實(shí)現(xiàn)對(duì)不同級(jí)別用戶的認(rèn)證、授權(quán)、服務(wù)策略的控制，以及安全日志的分析審計(jì)，提供記錄攻擊行為追蹤線索，并進(jìn)行事后的細(xì)致分析、策略規(guī)劃重新下發(fā)服務(wù)策略?？杀O(jiān)控可管理強(qiáng)保護(hù)的安全網(wǎng)絡(luò)針對(duì)廣域網(wǎng)存在的各種安全隱患，建議采取如下一體化安全措施來(lái)保證整網(wǎng)的安全性。接入層網(wǎng)絡(luò)安全解決方案針對(duì)以太網(wǎng)存在的各種鏈路層和網(wǎng)絡(luò)層安全隱患，QuidwayS系列以太網(wǎng)交換機(jī)采用多種網(wǎng)絡(luò)安全機(jī)制，包括訪問(wèn)控制、用戶驗(yàn)證、防地址假冒、入侵與防范、安全管理等技術(shù)，提供了一個(gè)有效的網(wǎng)絡(luò)安全解決方案。由于企業(yè)網(wǎng)站再提供對(duì)內(nèi)服務(wù)的同時(shí)，還直接連接internet，提供對(duì)外服務(wù)，所以企業(yè)可能會(huì)受到從外部經(jīng)網(wǎng)站過(guò)來(lái)的安全威脅。所以，在考慮內(nèi)部局域網(wǎng)絡(luò)安全的同時(shí)，還需要考慮網(wǎng)站的安全措施。局域網(wǎng)和internet網(wǎng)站的安全方案組網(wǎng)應(yīng)用的安全設(shè)計(jì)原則針對(duì)網(wǎng)絡(luò)存在的各種安全隱患，安全的組網(wǎng)設(shè)備必須具有如下的安全特性：可靠性與線路安全用戶驗(yàn)證防地址假冒身份認(rèn)證訪問(wèn)控制信息隱藏?cái)?shù)據(jù)加密攻擊探測(cè)和防范安全管理可靠性與線路安全可靠性要求是針對(duì)故障恢復(fù)和負(fù)載能力而提出來(lái)的。對(duì)于路由器、以太網(wǎng)交換級(jí)等設(shè)備來(lái)說(shuō)，可靠性主要體現(xiàn)在接口故障和網(wǎng)絡(luò)流量增大兩種情況下，為此，備份是設(shè)備不可或缺的手段之一。當(dāng)主接口故障時(shí)，備份接口自動(dòng)投入工作，保證網(wǎng)絡(luò)的正常運(yùn)行；當(dāng)網(wǎng)絡(luò)流量增大時(shí)，備份接口又可承當(dāng)負(fù)載分擔(dān)的任務(wù)。此外，強(qiáng)大的QOS能力不僅能針對(duì)具體用戶數(shù)據(jù)流進(jìn)行不同優(yōu)先級(jí)的服務(wù)，還可阻止在大流量情況下或在流量攻擊的情況下保證設(shè)備業(yè)務(wù)運(yùn)行的安全可靠。線路安全指的是線路本身的安全性。華為路由器在接受呼入時(shí)，能防止非法用戶的訪問(wèn)，而只在安全的線路上進(jìn)行信息交換。 用戶驗(yàn)證用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)功能。對(duì)用戶進(jìn)行識(shí)別和區(qū)分，不僅能保護(hù)接入的用戶不受網(wǎng)絡(luò)攻擊，而且能阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。經(jīng)過(guò)驗(yàn)證的用戶可以享受服務(wù)，而未經(jīng)驗(yàn)證的用戶則被拒絕。訪問(wèn)網(wǎng)絡(luò)設(shè)備存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過(guò)SNMP進(jìn)行配置；通過(guò)modem遠(yuǎn)程配置等等。對(duì)于這些訪問(wèn)方式，都需要有相應(yīng)的用戶身份驗(yàn)證。驗(yàn)證時(shí)可以選擇采用交換機(jī)本身維護(hù)的用戶數(shù)據(jù)庫(kù)，還可以采用RADIUS服務(wù)器所維護(hù)的用戶數(shù)據(jù)庫(kù)對(duì)用戶進(jìn)行驗(yàn)證。遠(yuǎn)程用戶驗(yàn)證主要包括：PPP驗(yàn)證、WEB驗(yàn)證和端口驗(yàn)證、CA/PKI證書(shū)驗(yàn)證。防地址假冒為了有效的防止假冒IP地址和假冒MAC地址，Quidway系列設(shè)備使用了地址綁定技術(shù)嚴(yán)格控制用戶的接入。例如，綁定用戶接入的端口與MAC地址、IP地址。身份認(rèn)證路由器和交換機(jī)、防火墻等設(shè)備的身份認(rèn)證主要包括以下幾個(gè)部分：1、訪問(wèn)設(shè)備時(shí)的身份認(rèn)證。訪問(wèn)設(shè)備時(shí)存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過(guò)SNMP進(jìn)行配置；通過(guò)modem遠(yuǎn)程配置等等。對(duì)于這些訪問(wèn)方式，都需要有相應(yīng)的身份認(rèn)證。2、對(duì)端設(shè)備的身份認(rèn)證：對(duì)端設(shè)備不僅僅指物理上的直接以串口線相連的路由器，同時(shí)還包括端到端相連以及虛擬的點(diǎn)對(duì)點(diǎn)（如通過(guò)隧道協(xié)議）相連的路由器。在對(duì)端路由器與本端建立連接之前，需要進(jìn)行身份認(rèn)證。3、路由信息的身份認(rèn)證：路由器依據(jù)路由信息表來(lái)發(fā)送報(bào)文，路由信息對(duì)于路由器來(lái)說(shuō)是至關(guān)重要的。收到虛假的路由信息，有可能使得路由器將數(shù)據(jù)報(bào)文發(fā)往不正確的目的地。這些報(bào)文可以被用于分析其中的數(shù)據(jù)內(nèi)容，嚴(yán)重的情況下，造成正常的通信中斷。所以，在接受任何路由變化的信息之前，有必要對(duì)此信息的發(fā)送方進(jìn)行驗(yàn)證，以保證收到的路由信息是合法。訪問(wèn)控制訪問(wèn)控制分為以下幾種情況：1、對(duì)于設(shè)備的訪問(wèn)控制。對(duì)設(shè)備的訪問(wèn)權(quán)限需要進(jìn)行口令的分級(jí)保護(hù)。只有持有相應(yīng)口令的特權(quán)用戶才能對(duì)設(shè)備進(jìn)行配置；一般用戶只有查看普通信息的權(quán)力。2、基于IP地址的訪問(wèn)控制。一般情況下，用戶（包括網(wǎng)內(nèi)用戶和分支機(jī)構(gòu)、合作伙伴等網(wǎng)外用戶）是通過(guò)IP地址來(lái)區(qū)分的，不同的用戶具有不同的權(quán)限。通過(guò)包過(guò)濾實(shí)現(xiàn)基于IP地址的訪問(wèn)控制，可以實(shí)現(xiàn)對(duì)重要資源的保護(hù)。3、基于用戶的訪問(wèn)控制。路由器、以太網(wǎng)交換機(jī)提供接入服務(wù)功能。對(duì)于以接入方式的用戶來(lái)說(shuō)，他們之間的權(quán)限也有可能是不一樣的。通過(guò)對(duì)用戶設(shè)置特定的過(guò)濾屬性，可實(shí)現(xiàn)對(duì)接入用戶的訪問(wèn)控制。4、基于流基于狀態(tài)連接的訪問(wèn)控制。華為路由器、以太網(wǎng)交換機(jī)和防火墻設(shè)備可以提供報(bào)文的多元組包過(guò)濾或者連接的狀態(tài)檢測(cè)分析，以實(shí)現(xiàn)對(duì)于非法流量非法連接的防護(hù)，并可起到防DOS、流量攻擊的功能，可對(duì)網(wǎng)絡(luò)和業(yè)務(wù)提供不同安全層次的防護(hù)服務(wù)。5、基于Vlan的訪問(wèn)控制。企業(yè)內(nèi)部通常以VLan方式劃分成不同部門，各個(gè)部門的訪問(wèn)權(quán)限有可能是不一樣的。通過(guò)實(shí)現(xiàn)基于Vlan的訪問(wèn)控制，可以實(shí)現(xiàn)對(duì)部門的訪問(wèn)控制。信息隱藏與對(duì)端通信時(shí)，不一定需要用真實(shí)身份進(jìn)行通信。通過(guò)地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪問(wèn)外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過(guò)地址轉(zhuǎn)換直接訪問(wèn)網(wǎng)內(nèi)資源。路由器和防火墻的NAT特性在節(jié)約IP地址的同時(shí)，可以做到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免外部攻擊和掃描。數(shù)據(jù)加密在公網(wǎng)上傳輸數(shù)據(jù)不能保證數(shù)據(jù)不被竊聽(tīng)。為了避免因?yàn)閿?shù)據(jù)竊聽(tīng)而造成的信息泄漏，有必要對(duì)所傳輸?shù)男畔⑦M(jìn)行加密，只有與之通信的對(duì)端才能對(duì)此密文進(jìn)行解密。通過(guò)對(duì)路由器所發(fā)送的報(bào)文進(jìn)行加密，即使在Internet上進(jìn)行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報(bào)文內(nèi)容的真實(shí)性。對(duì)于利用公網(wǎng)構(gòu)建VPN的情況，數(shù)據(jù)加密能夠保證通過(guò)隧道傳輸?shù)臄?shù)據(jù)安全。攻擊探測(cè)和防范為了防止網(wǎng)上的大流量攻擊，Quidway系列設(shè)備提供了兩種基本的攻擊檢測(cè)技術(shù)：1、報(bào)文鏡像。使用報(bào)文鏡像，可以將指定類型的報(bào)文，例如ICMP報(bào)文，拷貝到指定端口，然后通過(guò)連接到鏡像端口的協(xié)議分析儀進(jìn)行測(cè)試記錄。使用這種方法，可以有效的檢測(cè)到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多種協(xié)議報(bào)文。2、報(bào)文統(tǒng)計(jì)。使用報(bào)文統(tǒng)計(jì)，可以按時(shí)間段、協(xié)議類型、IP地址五元組等特性分別進(jìn)行報(bào)文包數(shù)和字節(jié)數(shù)的統(tǒng)計(jì)。Quidway系列設(shè)備通過(guò)基于ACL的流量限制，預(yù)防并控制網(wǎng)上的大流量攻擊。當(dāng)發(fā)現(xiàn)大流量攻擊時(shí)，可以限制到達(dá)被攻擊目的地址的報(bào)文流量。Quidway系列設(shè)備作為一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的接口設(shè)備，是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一個(gè)目標(biāo)。如果出口路由器不提供攻擊檢測(cè)和防范，則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)橋梁。在路由器上提供攻擊檢測(cè)，可以防止一部分的攻擊。此外，專業(yè)的Eudemon防火墻等安全設(shè)備可以做到保護(hù)內(nèi)部網(wǎng)絡(luò)和服務(wù)的安全，可以采用防火墻和IDS入侵檢測(cè)等設(shè)備的結(jié)合能夠提供對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的攻擊探測(cè)和防范，以彌補(bǔ)開(kāi)放式網(wǎng)絡(luò)架構(gòu)所導(dǎo)致的網(wǎng)絡(luò)服務(wù)的不安全性。安全管理內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個(gè)數(shù)據(jù)報(bào)文都會(huì)通過(guò)路由器和防火墻，在路由器和防火墻上進(jìn)行報(bào)文的審計(jì)可以提供網(wǎng)絡(luò)運(yùn)行的必要信息，有助于分析網(wǎng)絡(luò)的運(yùn)行情況。另一方面，設(shè)備的安全運(yùn)行牽涉到越來(lái)越多的安全策略，為了達(dá)到這些安全策略的有效利用，進(jìn)行安全策略管理是必需的。華為網(wǎng)絡(luò)設(shè)備所采用的安全技術(shù)CallBack技術(shù)CallBack技術(shù)即回呼技術(shù)，最初由Client端發(fā)起呼叫，要求Server端向本端回呼；而Server端接受呼叫，并決定是否向Client端發(fā)起回呼。利用CallBack技術(shù)可增強(qiáng)安全性?；睾籼幚碇?，Server端根據(jù)本端配置的呼叫號(hào)碼呼叫Client端，從而可避免因用戶名、口令失密而導(dǎo)致的不安全性。另外，Server端還可根據(jù)本端的配置，對(duì)呼入請(qǐng)求進(jìn)行分類，即拒絕呼叫、接收呼叫（不回呼）或接收回呼，從而可以對(duì)不同的Client端實(shí)施不同的限制，并且Server端在外部呼入時(shí)可以實(shí)現(xiàn)資源訪問(wèn)的主動(dòng)性。CallBack還具有以下優(yōu)點(diǎn)：節(jié)省話費(fèi)、改變?cè)捹M(fèi)承擔(dān)方、合并話費(fèi)清單。Quidway系列路由器支持CallBack技術(shù)，分為ISDN主叫識(shí)別回呼與有PPP參與的回呼兩種方式。前者無(wú)需PPP的參與，直接驗(yàn)證呼入的電話號(hào)碼是否與Server配置的號(hào)碼匹配，所以只需在Server端進(jìn)行相應(yīng)的配置即可，Client端不需要做任何改動(dòng)。而有PPP參與的回呼需要在Client端配置用戶名和口令，在Server端配置相應(yīng)的回呼撥號(hào)串，并且對(duì)以下三種情況都可實(shí)現(xiàn)支持：a、兩端都有固定的網(wǎng)絡(luò)層地址，都實(shí)現(xiàn)了RFC1570；b、client端需動(dòng)態(tài)分配網(wǎng)絡(luò)層地址；c、只有server端實(shí)現(xiàn)了RFC1570。由此可見(jiàn)，在ISDN主叫回呼方式下，非合法的電話號(hào)碼呼入將會(huì)被拒絕；在有PPP參與的回呼方式下，即使有非法用戶獲取了合法的用戶名和口令，Server端也只會(huì)回呼到預(yù)先配置好的電話上，避免了非法用戶的訪問(wèn)。從而保證了Server的安全。VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。關(guān)于華為VLAN的解決方案可參考VLAN技術(shù)白皮書(shū)。IP組播IP組播的基本思想是，源主機(jī)只發(fā)送一份數(shù)據(jù)，這份數(shù)據(jù)中的目的地址為組播組地址；組播組中的所有接收者都可接收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)（目標(biāo)主機(jī)）可以接收該數(shù)據(jù)，網(wǎng)絡(luò)中其它主機(jī)不能收到。盡管組播技術(shù)具備開(kāi)展新業(yè)務(wù)的許多優(yōu)勢(shì)，并且協(xié)議日臻完善，但開(kāi)展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播信源安全性和組播流量擴(kuò)散安全性等問(wèn)題。結(jié)合目前網(wǎng)絡(luò)的特點(diǎn)、組播技術(shù)和應(yīng)用的實(shí)際情況，華為公司在完全符合標(biāo)準(zhǔn)組播協(xié)議的基礎(chǔ)上，提出受控組播技術(shù)（包括組播信源管理、組播用戶管理和組播安全控制），有效的解決了當(dāng)前組播業(yè)務(wù)開(kāi)展所遇到的各種問(wèn)題。關(guān)于華為組播的解決方案可參考組播技術(shù)白皮書(shū)。包過(guò)濾技術(shù)IP報(bào)文的IP報(bào)頭及所承載的上層協(xié)議（如TCP）報(bào)頭的每個(gè)域包含了可以由路由器進(jìn)行處理的信息。包過(guò)濾通常用到IP報(bào)文的以下屬性：IP的源、目的地址及協(xié)議域；TCP或UDP的源、目的端口；ICMP碼、ICMP的類型域；TCP的標(biāo)志域 表示請(qǐng)求連接的單獨(dú)的SYN 表示連接確認(rèn)的SYN/ACK 表示正在使用的一個(gè)會(huì)話連接 表示連接終斷的FIN可以由這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機(jī)到主機(jī)的FTP連接，包過(guò)濾可以創(chuàng)建這樣的規(guī)則用于丟棄相應(yīng)的報(bào)文：IP目的地址=IP源地址=IP的協(xié)議域=6（TCP）目的端口=21（FTP）操作=丟棄其他的域一般情況下不用考慮。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過(guò)濾規(guī)則。Quidway系列安全路由器和Eudemon安全網(wǎng)關(guān)防火墻提供了基于接口的包過(guò)濾，即可以在一個(gè)接口的進(jìn)出兩個(gè)方向上對(duì)報(bào)文進(jìn)行過(guò)濾。同時(shí)還提供了基于時(shí)間段的包過(guò)濾，可以規(guī)定過(guò)濾規(guī)則發(fā)生作用的時(shí)間范圍，比如上例中可設(shè)置每周一的8:00至20:00允許FTP報(bào)文進(jìn)入以完成必要的服務(wù)，而其余時(shí)間則禁止FTP連接。在時(shí)間段的設(shè)置上，可以采用絕對(duì)時(shí)間段和周期時(shí)間段以及連續(xù)時(shí)間段和離散時(shí)間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時(shí)間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。VPN特性VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。VPN的安全性包含以下特征：隧道與加密、數(shù)據(jù)驗(yàn)證、用戶驗(yàn)證、防火墻與攻擊檢測(cè)。防火墻用于過(guò)濾數(shù)據(jù)包，防止非法訪問(wèn)，而攻擊檢測(cè)則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實(shí)時(shí)應(yīng)用安全策略，斷開(kāi)包含非法訪問(wèn)內(nèi)容的會(huì)話鏈接，并產(chǎn)生非法訪問(wèn)記錄。結(jié)合防火墻的VPN解決方案VPN與防火墻的結(jié)合使用，可以利用防火墻的許多安全特性在VPN上建立更加安全的網(wǎng)絡(luò)環(huán)境，增強(qiáng)抵御“黑客”攻擊、禁止非法訪問(wèn)的能力。 Quidway系列路由器結(jié)合防火墻的VPN解決方案如上圖所示，公司內(nèi)部特定的用戶可以訪問(wèn)Internet網(wǎng)絡(luò)，但是Internet網(wǎng)絡(luò)內(nèi)的主機(jī)不能通過(guò)防火墻訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)，只被允許訪問(wèn)位于DMZ（非軍事化區(qū)）的內(nèi)部服務(wù)器主機(jī)（如WWW、FTP等服務(wù)器）。公司的外地辦事處機(jī)構(gòu)可以利用VPN和總部建立安全的私有隧道以訪問(wèn)總部的資源。關(guān)于VPN更詳細(xì)的介紹應(yīng)用可參見(jiàn)華為的VPN技術(shù)白皮書(shū)。IPSecVPNIPSec（IPSecurity）是一組開(kāi)放協(xié)議的總稱，特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec通過(guò)AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會(huì)對(duì)用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會(huì)影響其它部分的實(shí)現(xiàn)。借助IPSec，用戶可以通過(guò)互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏感信息。IPSec在網(wǎng)絡(luò)層操作，能保護(hù)和鑒別所涉及的IPSec設(shè)備（對(duì)等物）之間的IP包。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：數(shù)據(jù)私有性－IPSec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性；數(shù)據(jù)完整性－IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被修改；數(shù)據(jù)真實(shí)性－IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；IPSec接收者還可以識(shí)別所發(fā)送的IPSec包的來(lái)源，這種服務(wù)與數(shù)據(jù)完整性服務(wù)相關(guān)；防重放－IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。IPSec接收者可以刪除和拒絕重播的包。IPSec在兩個(gè)端點(diǎn)之間通過(guò)建立安全聯(lián)盟（SecurityAssociation）進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時(shí)間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)產(chǎn)生新的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來(lái)計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH報(bào)頭用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計(jì)算效率，AH沒(méi)有采用數(shù)字簽名，而是采用了安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)。AH沒(méi)有對(duì)用戶數(shù)據(jù)進(jìn)行加密。AH在IP包中的位置如圖5所示（隧道方式）：AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。ESP頭在IP包中的位置如下（隧道方式）：ESP處理示意圖AH和ESP可以單獨(dú)使用，也可以同時(shí)使用。使用IPSec，數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個(gè)端點(diǎn)之間可以建立多個(gè)安全聯(lián)盟，并結(jié)合訪問(wèn)控制列表（access-list），IPSec可以對(duì)不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個(gè)端點(diǎn)之間存在四個(gè)安全聯(lián)盟，每個(gè)端點(diǎn)兩個(gè)，一個(gè)用于數(shù)據(jù)發(fā)送，一個(gè)用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過(guò)手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時(shí)，手工配置將非常困難，而且難以保證安全性。這時(shí)就要使用IKE自動(dòng)地進(jìn)行安全聯(lián)盟建立與密鑰交換的過(guò)程。IPSec提供了兩臺(tái)對(duì)等設(shè)備之間的安全通道，例如兩個(gè)Eudemon防火墻單元之間的安全通道。用戶可以自己確定哪些包屬于敏感信息，應(yīng)該通過(guò)這些安全通道發(fā)送。通過(guò)確定這些通道的特性，用戶還可以確定應(yīng)該使用哪些參數(shù)保護(hù)這些敏感包。當(dāng)IPSec對(duì)等設(shè)備看到敏感包時(shí)，它將建立相應(yīng)的安全通道，并通過(guò)通道將包發(fā)送給遠(yuǎn)程用戶。用于傳輸信息的安全通道基于加密密鑰以及安全協(xié)會(huì)（SA）規(guī)定的其它安全參數(shù)。IPsec公私密鑰的自協(xié)商IKE協(xié)議使用數(shù)字證書(shū)生成一對(duì)SA，為協(xié)商IPSecSA提供安全通道。為使用證書(shū)協(xié)商IKESA，兩臺(tái)IPSec對(duì)等設(shè)備都必須產(chǎn)生公用/專用密鑰對(duì)，請(qǐng)求和接收公用密鑰證書(shū)，并確保信任發(fā)行證書(shū)的CA。默認(rèn)狀態(tài)下，多數(shù)瀏覽器都信任來(lái)自著名CA的證書(shū)，例如VeriSign，并提供用于增加CA的選項(xiàng)，以便產(chǎn)生和請(qǐng)求數(shù)字證書(shū)。用戶還可以在將瀏覽器分布給用戶之前為瀏覽器軟件預(yù)先配置CA和必要的證書(shū)。要想了解CA幫助配置IKE的方式，應(yīng)該先了解公用/專用密鑰加密。公用/專有密鑰也稱為非對(duì)稱密鑰，它是一對(duì)密鑰，用一個(gè)密鑰加密的數(shù)據(jù)可以用另一個(gè)密鑰解密。這個(gè)屬性可用于解決通過(guò)非安全網(wǎng)絡(luò)共享秘密時(shí)遇到的擴(kuò)展問(wèn)題。產(chǎn)生公用/專用密鑰對(duì)之后，一個(gè)密鑰保密（專用密鑰），另一個(gè)密鑰公開(kāi)（公用密鑰）。當(dāng)任何對(duì)等設(shè)備需要與專用密鑰的所有者共享秘密時(shí)，只需使用公用密鑰對(duì)信息加密即可。對(duì)原始信息解密的唯一方式是使用專用密鑰。使用這種方法，無(wú)需傳送對(duì)加密信息解密的秘密口令就能通過(guò)非安全網(wǎng)絡(luò)共享加密信息。公用/專用密鑰對(duì)的這個(gè)獨(dú)特屬性還提供了一種出色的認(rèn)證方法。公用密鑰只能對(duì)用相應(yīng)專用密鑰加密的信息進(jìn)行解密。如果消息可以借助某個(gè)公用密鑰閱讀，就可以肯定，信息的發(fā)送者擁有相應(yīng)的專用密鑰。這就是使用CA的原因。這種公共密鑰證書(shū)，或稱數(shù)字證書(shū)，用于將公用/專用密鑰對(duì)與某個(gè)IP地址或主機(jī)名稱聯(lián)系在一起。認(rèn)證機(jī)構(gòu)（CA）在某段時(shí)間發(fā)行公用密鑰證書(shū)。CA可以是自己內(nèi)部機(jī)構(gòu)運(yùn)作的專用（內(nèi)部）CA，也可以是公共CA。VeriGign等公共CA由客戶信任的第三方運(yùn)作，它將負(fù)責(zé)核實(shí)獲取證書(shū)的每臺(tái)客戶機(jī)和服務(wù)器的身份。AAA（Authentication,Authorization,Accounting）AAA提供了對(duì)用戶的驗(yàn)證、授權(quán)及記帳功能。驗(yàn)證－用戶（包括Login用戶、PPP接入用戶等）在被允許訪問(wèn)網(wǎng)絡(luò)資源之前需要先經(jīng)過(guò)驗(yàn)證，驗(yàn)證時(shí)可以選擇是采用路由器本身維護(hù)的用戶數(shù)據(jù)庫(kù)，還是采用RADIUS服務(wù)器所維護(hù)的用戶數(shù)據(jù)庫(kù)對(duì)用戶進(jìn)行驗(yàn)證。授權(quán)－通過(guò)定義一組屬性來(lái)描述用戶的權(quán)限信息，用以決定用戶的實(shí)際訪問(wèn)權(quán)限。這些信息存儲(chǔ)在RADIUS所維護(hù)的數(shù)據(jù)庫(kù)中。對(duì)于接入用戶，還可以由用戶的"filterID"屬性來(lái)確定采用哪類規(guī)則對(duì)用戶的報(bào)文進(jìn)行過(guò)濾。記帳－AAA的計(jì)費(fèi)功能允許對(duì)用戶的訪問(wèn)網(wǎng)絡(luò)資源等情況進(jìn)行跟蹤審計(jì)。當(dāng)AAA的計(jì)費(fèi)功能打開(kāi)后，網(wǎng)絡(luò)接入服務(wù)器按照一定的計(jì)費(fèi)格式向RADIUS服務(wù)器發(fā)送用戶的活動(dòng)信息，這些信息被儲(chǔ)存在服務(wù)器上，可以用來(lái)進(jìn)行網(wǎng)絡(luò)運(yùn)行情況的分析、用戶帳單的生成等。AAA網(wǎng)絡(luò)安全服務(wù)提供了一個(gè)實(shí)現(xiàn)身份認(rèn)證以及訪問(wèn)控制的主框架。AAA使用RADIUS、TACACS+、Kerberos等協(xié)議來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制。Quidway系列安全路由器實(shí)現(xiàn)時(shí)采用了使用最廣泛的RADIUS協(xié)議?；ヂ?lián)網(wǎng)密鑰交換（互聯(lián)網(wǎng)KeyExchange，IKE）Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。其中的核心技術(shù)就是DH（DiffieHellman）交換技術(shù)。DH交換基于公開(kāi)的信息計(jì)算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計(jì)算復(fù)雜度非常高從而是不可實(shí)現(xiàn)的。DH交換（Diffie-HellmanExchange）的前提是雙方擁有共享的兩個(gè)參數(shù)：底數(shù)g和模數(shù)p。這兩個(gè)參數(shù)由所使用的DH組定義，在實(shí)際應(yīng)用中是公開(kāi)的。DH交換及計(jì)算分為四個(gè)步驟（如下圖所示）：①雙方各自產(chǎn)生一個(gè)隨機(jī)數(shù)，如a和b；②冪模運(yùn)算，得到結(jié)果c和d；③模交換；④DH公有值計(jì)算，即圖中的damodp和cbmodp。可以證明：DH公有值gabmodp=damodp=cbmodp。注意到以上步驟中僅模交換是在公開(kāi)的網(wǎng)絡(luò)上進(jìn)行，若網(wǎng)絡(luò)上的第三方截獲了雙方的模c和d，那么他要計(jì)算出DH公有值gabmodp還需要獲得a或b，而由模c和d計(jì)算a或b需要進(jìn)行離散對(duì)數(shù)運(yùn)算，而p為素?cái)?shù)，當(dāng)p足夠大時(shí)（一般為768位以上的二進(jìn)制數(shù)），數(shù)學(xué)上已經(jīng)證明，其計(jì)算復(fù)雜度非常高從而是不可實(shí)現(xiàn)的。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息。DH交換及計(jì)算示意圖在身份驗(yàn)證方面，IKE提供了共享驗(yàn)證字（Pre-sharedKey）、公鑰加密驗(yàn)證、數(shù)字簽名驗(yàn)證等驗(yàn)證方法。后兩種方法通過(guò)對(duì)CA的支持來(lái)實(shí)現(xiàn)。IKE密鑰交換分為兩個(gè)階段，其中階段1建立ISAKMPSA，有主模式（MainMode）和激進(jìn)模式（AggressiveMode）兩種；階段2在階段1ISAKMPSA的保護(hù)下建立IPSecSA，稱之為快速模式（QuickMode）。IPSecSA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換（InformationalExchange）和建立新DH組的組交換（DHGroupExchange）。在身份驗(yàn)證方面，IKE提供了共享驗(yàn)證字（Pre-sharedKey）、公鑰加密驗(yàn)證、數(shù)字簽名驗(yàn)證等驗(yàn)證方法。后兩種方法通過(guò)對(duì)CA（CertificateAuthority）中心的支持來(lái)實(shí)現(xiàn)。另外，IKE還包含有傳送信息的信息交換（InformationalExchange）和建立新DH組的組交換（DHGroupExchange）。IPSec自動(dòng)建立安全通道的過(guò)程分為兩個(gè)階段：第一階段：這個(gè)階段通過(guò)互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議實(shí)施，能建立一對(duì)IKESA。IKESA用于協(xié)商一個(gè)或多種IPSecSA，以便實(shí)際傳輸應(yīng)用數(shù)據(jù)。第二階段：這個(gè)階段使用IKESA提供的安全通道協(xié)商IPSecSA。當(dāng)這個(gè)階段結(jié)束時(shí)，兩臺(tái)對(duì)等設(shè)備均已建立了一對(duì)IPSecSA，以便提供傳輸應(yīng)用數(shù)據(jù)所需的安全通道。SA參數(shù)之一是壽命，可配置的壽命期結(jié)束之后，SA將自動(dòng)終止，因此，這個(gè)參數(shù)能提高IPSec的安全性。IKE協(xié)議為協(xié)商IPSecSA建立了安全通道。借助IKE，無(wú)需人工配置每臺(tái)IPSec對(duì)等設(shè)備就能實(shí)施IPSec。隨著對(duì)等設(shè)備的增加，人工配置IPSec對(duì)等設(shè)備將變得異常復(fù)雜，因?yàn)槊颗_(tái)對(duì)等設(shè)備都需要一對(duì)SA才能與借助IPSec通信的另一臺(tái)對(duì)等設(shè)備通信。與IPSec相似，IKE也使用一對(duì)SA在兩臺(tái)對(duì)等設(shè)備之間建立安全通信通道。IKE使用SA為IPSec通道安全協(xié)商SA，而不是傳輸用戶信息。用戶可以人工配置SA，以便在兩臺(tái)對(duì)等設(shè)備之間建立IPSec通道。但是，這種方法并不安全，因?yàn)槿斯づ渲玫腟A不會(huì)自動(dòng)過(guò)期。另外，隨著對(duì)等設(shè)備的增加將出現(xiàn)嚴(yán)重的擴(kuò)展問(wèn)題。無(wú)論何時(shí)在網(wǎng)絡(luò)中添加使用IPSec的對(duì)等設(shè)備都必須在每臺(tái)現(xiàn)有對(duì)等設(shè)備上增加一對(duì)SA?；诖朔N原因，只有當(dāng)遠(yuǎn)程對(duì)等設(shè)備不支持IKE時(shí)才使用人工配置。與IPSecSA的人工配置相似，IKESA可以通過(guò)預(yù)共享密鑰建立。但是，這種方法也存在人工配置IPSecSA的擴(kuò)展問(wèn)題。認(rèn)證機(jī)構(gòu)（CA）提供了一種可擴(kuò)展的方法，能夠共享密鑰以建立IKESA。CA(CertificateAuthority）CA技術(shù)是安全認(rèn)證技術(shù)的一種，它基于公開(kāi)密鑰體系通過(guò)安全證書(shū)來(lái)實(shí)現(xiàn)。安全證書(shū)采用國(guó)際標(biāo)準(zhǔn)的X.509證書(shū)格式，主要包括：證書(shū)的版本號(hào)發(fā)證CA的身份信息持證用戶的身份信息持證用戶的公鑰證書(shū)的有效期其他一些附加信息。并且證書(shū)是由發(fā)證CA數(shù)字簽名的，保證了證書(shū)不可偽造并且不能被更改。安全證書(shū)由CA中心分發(fā)并維護(hù)。Quidway系列路由器可以實(shí)現(xiàn)對(duì)CA中心的支持，包含兩方面的內(nèi)容，其一是針對(duì)CA中心的管理功能完成與CA中心的交互；其二即是路由器作為通信實(shí)體的認(rèn)證功能。一般來(lái)說(shuō)，安全證書(shū)的操作采取離線分發(fā)、本地驗(yàn)證的方式。路由器作為一個(gè)用戶，與CA中心的交互包括以下幾個(gè)方面：登記－新增的用戶需要向適當(dāng)?shù)腃A中心登記。初始化－在用戶進(jìn)行證書(shū)申請(qǐng)之前，先要獲得CA中心的信息，包括CA中心的身份信息、公鑰，以用于后續(xù)的證書(shū)操作。在實(shí)際的應(yīng)用中，可通過(guò)預(yù)裝的方式將CA中心的信息初始化進(jìn)用戶的系統(tǒng)。證書(shū)申請(qǐng)－用戶的申請(qǐng)中包含有用戶的公鑰信息，并提供對(duì)應(yīng)私鑰的持有證明。CA中心接收用戶的申請(qǐng)，驗(yàn)證通過(guò)后分發(fā)證書(shū)。密鑰對(duì)恢復(fù)－因某種原因，如忘記證書(shū)口令或證書(shū)文件遺失，用戶可在線要求CA中心恢復(fù)自己的密鑰對(duì)。當(dāng)然，是否由CA中心托管自己的密鑰對(duì)應(yīng)由用戶自己選擇。密鑰對(duì)更新－出于安全方面的考慮，所有的密鑰對(duì)都必須定期更新，同時(shí)由CA中心分發(fā)新的證書(shū)。證書(shū)作廢－當(dāng)持證用戶發(fā)現(xiàn)或懷疑自己的私鑰泄密時(shí)，可以向CA中心發(fā)送證書(shū)作廢申請(qǐng)，以確保證書(shū)的安全性。交叉驗(yàn)證－實(shí)際應(yīng)用中的CA應(yīng)是一種層次式的樹(shù)狀結(jié)構(gòu)，兩個(gè)不同的CA之間也需要建立一種相互信任機(jī)制，即交叉驗(yàn)證證書(shū)。當(dāng)用戶要驗(yàn)證來(lái)自其他CA分發(fā)的證書(shū)時(shí)，就需要利用交叉驗(yàn)證信息按照驗(yàn)證樹(shù)向逐級(jí)CA進(jìn)行身份驗(yàn)證。路由器通過(guò)CA證書(shū)的認(rèn)證過(guò)程如下圖所示，其中RCA中心稱之為根CA中心，是更高層次的CA。安全證書(shū)是可公開(kāi)的，所以雙方在進(jìn)行驗(yàn)證時(shí)可直接將自己的證書(shū)加上自己的數(shù)字簽名發(fā)給對(duì)方。對(duì)方在收到證書(shū)以后，需要進(jìn)行以下幾方面的驗(yàn)證：證書(shū)的真實(shí)性－通過(guò)對(duì)證書(shū)中CA中心的數(shù)字簽名進(jìn)行驗(yàn)證來(lái)實(shí)現(xiàn)，當(dāng)接收到與自己不屬于同一CA的證書(shū)時(shí)，則還需要進(jìn)行CA中心的交叉驗(yàn)證。發(fā)送方的身份驗(yàn)證－證書(shū)的真實(shí)性確認(rèn)以后，獲得其中的公鑰信息，對(duì)接收到的發(fā)送方自己的數(shù)字簽名進(jìn)行驗(yàn)證，以確認(rèn)收到的證書(shū)是由正確的發(fā)送方發(fā)出的，而非他人盜用證書(shū)。證書(shū)的有效性－通過(guò)查詢CRL（CertificateRevocationList，作廢證書(shū)列表）來(lái)確認(rèn)。基于CA中心的安全認(rèn)證示意圖在一些安全性要求較高的場(chǎng)合，用戶還可通過(guò)在線證書(shū)狀態(tài)查詢協(xié)議（OCSP）實(shí)時(shí)地查詢證書(shū)的狀態(tài)信息。網(wǎng)絡(luò)地址轉(zhuǎn)換特性地址轉(zhuǎn)換主要是因?yàn)镮nternet地址短缺問(wèn)題而提出的，利用地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)的用戶訪問(wèn)外部網(wǎng)絡(luò)（Internet），利用地址轉(zhuǎn)換還可以給內(nèi)部網(wǎng)絡(luò)提供一種“隱私”保護(hù)，同時(shí)也可以按照用戶的需要提供給外部網(wǎng)絡(luò)一定的服務(wù)，如：WWW、FTP、TELNET、SMTP、POP3等。關(guān)于華為NAT特性的解決方案可參考NAT技術(shù)白皮書(shū)。智能防火墻Quidway系列安全路由器、防火墻等設(shè)備提供基于報(bào)文內(nèi)容的訪問(wèn)控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于SMTP命令的檢測(cè)、SYNflooding、PacketInjection的檢測(cè)。智能防火墻不但對(duì)報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測(cè)，還對(duì)應(yīng)用層的協(xié)議信息（如FTP）進(jìn)行檢測(cè)。智能防火墻根據(jù)連接的狀態(tài)動(dòng)態(tài)的創(chuàng)建和刪除暫時(shí)的連接，這靠動(dòng)態(tài)的修改訪問(wèn)列表規(guī)則來(lái)實(shí)現(xiàn)。智能防火墻在自己的數(shù)據(jù)結(jié)構(gòu)中維護(hù)著連接的狀態(tài)信息，并利用這些信息來(lái)創(chuàng)建暫時(shí)的入口（規(guī)則）。智能防火墻保存著不能由訪問(wèn)列表規(guī)則保存的重要的狀態(tài)信息。防火墻檢驗(yàn)數(shù)據(jù)流中的每一個(gè)報(bào)文，確保報(bào)文的狀態(tài)與報(bào)文本身符合用戶所定義的安全規(guī)則。連接狀態(tài)信息用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，暫時(shí)的訪問(wèn)規(guī)則也將被刪除，防火墻中的會(huì)話也將被關(guān)閉。智能防火墻通過(guò)兩種途徑來(lái)進(jìn)行攻擊的檢測(cè)：對(duì)創(chuàng)建新連接的請(qǐng)求的數(shù)目、速率和已打開(kāi)的半連接的數(shù)目進(jìn)行比較來(lái)檢測(cè)SYNflooding。如果防火墻模塊檢測(cè)到一個(gè)不正常對(duì)新連接的請(qǐng)求的速率，將發(fā)送一個(gè)告警信息，并采取一些行動(dòng)。對(duì)所有的TCP連接進(jìn)行報(bào)文的序列號(hào)檢查以檢測(cè)packetinjecting。如果序列號(hào)不在預(yù)期的可接受的范圍之內(nèi)，則扔掉相應(yīng)的報(bào)文。通過(guò)以下兩種方法防止拒絕服務(wù)攻擊：丟棄過(guò)時(shí)的TCP半連接以防止系統(tǒng)資源的損耗。通知相應(yīng)主機(jī)清除過(guò)時(shí)的連接以防止系統(tǒng)過(guò)載。管理員可以對(duì)最大可接收的半連接的數(shù)目和半連接的超時(shí)時(shí)間進(jìn)行設(shè)置。這對(duì)低速連接有效（512kbps或以下）。暫時(shí)禁止所有的SYN報(bào)文進(jìn)入受攻擊的主機(jī)。這個(gè)暫時(shí)的限制并不對(duì)已經(jīng)存在的連接產(chǎn)生影響。管理員可以對(duì)恢復(fù)接收SYN報(bào)文的時(shí)間間隔進(jìn)行設(shè)置。這對(duì)高速連接有效（512kbps以上）。智能防火墻還提供了增強(qiáng)的跟蹤審計(jì)功能?？梢詫?duì)所有的連接進(jìn)行記錄，包括：記錄連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。入侵檢測(cè)與防范技術(shù)華為Quidway系列安全路由器和Eudemon安全網(wǎng)關(guān)防火墻提供的安全防范特性，可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為，如下：1、單播反向路徑發(fā)送單播反向路徑發(fā)送（單播RPF）也稱為“反向路徑查詢”，它提供向內(nèi)和向外過(guò)濾，以便預(yù)防IP欺詐。這個(gè)特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性，保證去往受控區(qū)域以外的主機(jī)的包擁有可以在實(shí)施實(shí)體本地路由表時(shí)由路徑驗(yàn)證的IP源地址。單播RPF僅限于實(shí)施實(shí)體本地路由表的網(wǎng)絡(luò)。如果進(jìn)入的包沒(méi)有路徑代表的源地址，就無(wú)法知道包是否能通過(guò)最佳路徑返回到起點(diǎn)。2、FloodGuardFloodGuard能控制AAA服務(wù)對(duì)無(wú)應(yīng)答登錄企圖的容忍度。這個(gè)功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)（DoS）襲擊，并能改善AAA系統(tǒng)使用情況。默認(rèn)狀態(tài)下，這個(gè)命令是打開(kāi)的，可以用floodguard1命令控制。3、FloodDefenderFloodDefender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCPSYN包沖擊接口。要使用這個(gè)特性，可以將最大初始連接選項(xiàng)設(shè)置為nat和static命令。4、TCPIntercept特性TCPIntercept特性能夠保護(hù)可通過(guò)靜態(tài)和TCP管線訪問(wèn)到的系統(tǒng)。這個(gè)特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個(gè)SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。對(duì)于每個(gè)SYN，Eudemon防火墻還能以服務(wù)器的名義用空SYN/ACK進(jìn)行響應(yīng)。Eudemon防火墻能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機(jī)的認(rèn)可。5、FragGuard和虛擬重組（FragGuardand虛擬重組）FragGuard和虛擬重組能夠提供IP網(wǎng)段保護(hù)。這個(gè)特性能夠提供所有ICMP錯(cuò)誤信息的全面重組以及通過(guò)Eudemon防火墻路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認(rèn)功能。這個(gè)特性使用系統(tǒng)日志記錄網(wǎng)段重疊，并用小網(wǎng)段補(bǔ)償異常情況，尤其是由teardrop.c襲擊引起的異常情況。6、DNS控制（DNSControl）Eudemon防火墻能夠識(shí)別每個(gè)向外的DNS（域名服務(wù)）分解請(qǐng)求，而且只允許有一個(gè)DNS響應(yīng)。為獲得答復(fù)，主機(jī)可以查詢幾臺(tái)服務(wù)器（以防第一臺(tái)服務(wù)器答復(fù)過(guò)慢），但是，只有第一個(gè)請(qǐng)求答復(fù)有效。其它請(qǐng)求答復(fù)將被防火墻丟棄。這個(gè)特性一直處于打開(kāi)狀態(tài)。7、ActiveX阻擋（ActiveXBlocking）AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁(yè)面或者其它應(yīng)用。Eudemon防火墻ActiveX阻擋特性能夠阻擋HTML命令，并在HTMLWeb頁(yè)面以外予以說(shuō)明。作為一種技術(shù)，ActiveX可能會(huì)給網(wǎng)絡(luò)客戶機(jī)帶來(lái)許多潛在問(wèn)題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問(wèn)題，被用于襲擊服務(wù)器，或者被主機(jī)用于襲擊服務(wù)器等。8、Java過(guò)濾Java過(guò)濾特性可用于防止受保護(hù)網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序，它可能會(huì)受到某些安全政策的禁止，因?yàn)樗鼈兇嬖诼┒矗赡軙?huì)使受保護(hù)網(wǎng)絡(luò)遭到襲擊。9、URL過(guò)濾Eudemon防火墻能夠提供HTTP、FTP以及URL的過(guò)濾，可以檢查外出的URL請(qǐng)求，根據(jù)已經(jīng)配置的規(guī)則Eudemon防火墻接受或拒絕連接?？紤]到防火墻特性和內(nèi)容過(guò)濾有著不同的功能要求，可以采用過(guò)濾服務(wù)器與防火墻共同配合的方式，這樣由于URL過(guò)濾等在獨(dú)立平臺(tái)上處理，不會(huì)給安全設(shè)備帶來(lái)其它性能負(fù)擔(dān)。QoS特性對(duì)于路由器的接口，當(dāng)報(bào)文到達(dá)速度大于該接口傳送報(bào)文的速度時(shí)， 在該接口處就會(huì)產(chǎn)生擁塞。如果沒(méi)有足夠的存儲(chǔ)空間來(lái)保存這些報(bào)文，有些報(bào)文就會(huì)丟失。報(bào)文的丟失又可能會(huì)導(dǎo)致發(fā)送該報(bào)文的主機(jī)或路由器因超時(shí)而重傳此報(bào)文，這將導(dǎo)致惡性循環(huán)。造成擁塞的因素有很多。比如，當(dāng)報(bào)文流從高速鏈路進(jìn)入路由器，由低速鏈路傳送出去時(shí)，就可能產(chǎn)生擁塞；報(bào)文流同時(shí)從多個(gè)接口進(jìn)入路由器，由一個(gè)接口轉(zhuǎn)發(fā)出去或處理器速度慢也會(huì)產(chǎn)生擁塞。當(dāng)擁塞發(fā)生時(shí)，路由器可以采取一定的策略對(duì)報(bào)文進(jìn)行調(diào)度，決定哪些報(bào)文可以優(yōu)先發(fā)送、哪些報(bào)文可以被丟棄。路由器的這種管理策略叫做擁塞管理。擁塞管理可通過(guò)以下的隊(duì)列調(diào)度來(lái)實(shí)現(xiàn)：關(guān)于華為QOS的解決方案可參考QOS技術(shù)白皮書(shū)。防火墻設(shè)備的安全特性防火墻的工作原理防火墻的作用是防止外部網(wǎng)絡(luò)（如公共互聯(lián)網(wǎng)）上的非授權(quán)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)，多數(shù)防火墻都可以有選擇地保護(hù)一個(gè)或多個(gè)周邊網(wǎng)絡(luò)（也稱為非軍管區(qū)，DMZ）。防火墻對(duì)訪問(wèn)外部網(wǎng)絡(luò)的限制最低，對(duì)訪問(wèn)周邊網(wǎng)絡(luò)非軍管區(qū)的限制次之，對(duì)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的限制最高，可提供三個(gè)不同層次的安全組網(wǎng)模式。只有有效充分的利用防火墻和安全政策才能保證受保護(hù)網(wǎng)絡(luò)（信任網(wǎng)絡(luò)）和非保護(hù)網(wǎng)絡(luò)（不可信任網(wǎng)絡(luò)）之間所有流量的安全有效控制，這樣防火墻在抵御外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊竊取的同時(shí)，還可控制內(nèi)部網(wǎng)絡(luò)用戶是否可以合法的訪問(wèn)外部Internet，以及怎樣借助防火墻提供的特性實(shí)施安全政策等。防火墻保護(hù)網(wǎng)絡(luò)的方法如下圖所示，這種方法允許實(shí)施帶外連接并安全接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)中的防火墻應(yīng)用在這種體系結(jié)構(gòu)中，防火墻將形成受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的邊界。受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的所有流量都通過(guò)防火墻實(shí)現(xiàn)安全性。防火墻允許用戶在受保護(hù)網(wǎng)絡(luò)內(nèi)確定服務(wù)器的位置，例如用于WWW接入、SNMP、電子郵件（SMTP）的服務(wù)器，然后控制外部的哪些用戶可以訪問(wèn)這些服務(wù)器，這些對(duì)服務(wù)器系統(tǒng)的訪問(wèn)可以由防火墻進(jìn)行控制和監(jiān)視。防火墻還允許用戶對(duì)來(lái)往于內(nèi)部網(wǎng)絡(luò)的連接實(shí)施安全政策。一般情況下，內(nèi)部網(wǎng)絡(luò)是機(jī)構(gòu)自身的內(nèi)部網(wǎng)絡(luò)，或者內(nèi)部網(wǎng)，外部網(wǎng)絡(luò)是互聯(lián)網(wǎng)，但是，防火墻也可以用在內(nèi)部網(wǎng)中，以便隔離或保護(hù)某組內(nèi)部計(jì)算系統(tǒng)和用戶，以達(dá)到內(nèi)部一些系統(tǒng)更為強(qiáng)大的機(jī)密性。防火墻一方面用于阻止來(lái)自Internet的對(duì)受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未驗(yàn)證的訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)用戶對(duì)Internet在授權(quán)范圍內(nèi)的訪問(wèn)，如WWW服務(wù)、E-mail服務(wù)?，F(xiàn)代的許多防火墻還具有其他的一些特性，包括身份鑒別、信息安全處理等。IP層的包過(guò)濾通常使用到IP報(bào)文的源、目的地址、協(xié)議域及相應(yīng)的源、目的端口、標(biāo)志域等屬性進(jìn)行組合形成不同的包過(guò)濾規(guī)則，對(duì)IP報(bào)文進(jìn)行過(guò)濾，從而決定某類報(bào)文能否被轉(zhuǎn)發(fā)（通過(guò)防火墻）或被丟棄。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過(guò)濾規(guī)則。Quidway系列安全路由器、防火墻提供了基于接口的包過(guò)濾，即可以在一個(gè)接口的進(jìn)出兩個(gè)方向上對(duì)報(bào)文進(jìn)行過(guò)濾。同時(shí)還提供了基于時(shí)間段的包過(guò)濾，可以規(guī)定過(guò)濾規(guī)則發(fā)生作用的時(shí)間范圍，比如可設(shè)置每周一的8:00至20:00允許FTP報(bào)文進(jìn)入以完成必要的服務(wù)，而其余時(shí)間則禁止FTP連接。在時(shí)間段的設(shè)置上，可以采用絕對(duì)時(shí)間段和周期時(shí)間段以及連續(xù)時(shí)間段和離散時(shí)間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時(shí)間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。地址轉(zhuǎn)換，用來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實(shí)際地址；外部網(wǎng)絡(luò)基本上不可能穿過(guò)地址代理來(lái)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。Quidway系列安全路由器實(shí)現(xiàn)的地址轉(zhuǎn)換能夠?qū)⒕W(wǎng)內(nèi)用戶發(fā)出的報(bào)文的源地址全部映射成一個(gè)接口的地址，與按需撥號(hào)相結(jié)合，使局域網(wǎng)內(nèi)用戶通過(guò)一臺(tái)路由器即可輕松上網(wǎng)。Quidway系列安全路由器支持帶訪問(wèn)控制列表的地址轉(zhuǎn)換。通過(guò)配置，用戶可以指定能夠通過(guò)地址轉(zhuǎn)換的主機(jī)，以有效地控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)。結(jié)合地址池，還可以支持多對(duì)多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。Quidway系列安全路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對(duì)外提供WEB、FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進(jìn)行服務(wù)器的維護(hù)。Quidway系列安全路由器、防火墻提供基于報(bào)文內(nèi)容的訪問(wèn)控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于SMTP命令的檢測(cè)、SYNflooding、PacketInjection的檢測(cè)。智能防火墻不但對(duì)報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測(cè)，還對(duì)應(yīng)用層的協(xié)議信息（如FTP）進(jìn)行檢測(cè)。當(dāng)報(bào)文通過(guò)路由器時(shí)，智能防火墻將報(bào)文與指定的訪問(wèn)規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開(kāi)一個(gè)新的控制或數(shù)據(jù)連接，智能防火墻將動(dòng)態(tài)的修改或創(chuàng)建規(guī)則，同時(shí)更新?tīng)顟B(tài)表以保存不能由訪問(wèn)列表規(guī)則保存的重要的狀態(tài)信息，從而允許與新創(chuàng)建的連接相關(guān)的報(bào)文。對(duì)于回來(lái)的報(bào)文只有是屬于一個(gè)已經(jīng)存在的有效的連接，才會(huì)被允許通過(guò)防火墻。在處理回來(lái)的報(bào)文時(shí)，狀態(tài)表也需要更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對(duì)應(yīng)的狀態(tài)表將被刪除。動(dòng)態(tài)生成的規(guī)則不會(huì)被存儲(chǔ)到FLASH或NVRAM中，確保未經(jīng)授權(quán)的報(bào)文不能隨便透過(guò)防火墻。智能防火墻使得Quidway系列安全路由器能夠支持一個(gè)控制連接上存在多個(gè)數(shù)據(jù)連接的協(xié)議。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來(lái)進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323）及FTP、RPC等協(xié)議使用約定的端口來(lái)初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。而端口的選擇是不可預(yù)測(cè)的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。標(biāo)準(zhǔn)防火墻只有阻止類似的應(yīng)用傳輸，以免內(nèi)部網(wǎng)絡(luò)遭受攻擊。有時(shí)僅阻止了一些使用固定端口的應(yīng)用，而留下了許多安全隱患。智能防火墻監(jiān)聽(tīng)每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開(kāi)合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入防火墻，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問(wèn)控制。智能防火墻還提供了增強(qiáng)的跟蹤審計(jì)功能?？梢詫?duì)所有的連接進(jìn)行記錄，包括：記錄連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。防火墻工作方式Quidway系列防火墻支持多種工作模式：透明工作模式（橋接模式）：可以透明接入與透明連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置；防火墻在透明方式下則類似于網(wǎng)橋，使用戶不需要對(duì)保護(hù)網(wǎng)絡(luò)主機(jī)屬性進(jìn)行重新設(shè)置，極大地方便了用戶的使用。防火墻的透明接入其含義就是：組網(wǎng)結(jié)構(gòu)無(wú)需做任何改變，就可實(shí)現(xiàn)各種信息訪問(wèn)控制；現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也無(wú)需變動(dòng)。防火墻的透明功能提供了方便性，但又不減低網(wǎng)絡(luò)的安全性。路由工作模式：防火墻相當(dāng)于靜態(tài)路由器，提供路由功能?；旌瞎ぷ髂Ｊ剑悍阑饓υ谕该髂Ｊ胶吐酚赡Ｊ酵瑫r(shí)工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。應(yīng)用規(guī)則報(bào)文過(guò)濾（AppliedSpecificationPacketFilter）應(yīng)用規(guī)則報(bào)文過(guò)濾是一種基于狀態(tài)的報(bào)文檢測(cè)過(guò)濾方法。每個(gè)向內(nèi)傳輸?shù)陌紝凑者B接狀態(tài)信息進(jìn)行檢查。業(yè)界人士都認(rèn)為，這種基于狀態(tài)的安全檢測(cè)方法要比無(wú)狀態(tài)的單純包過(guò)濾方法更安全。ASPF無(wú)需配置每個(gè)內(nèi)部系統(tǒng)和應(yīng)用就能實(shí)現(xiàn)單向（從內(nèi)到外）連接。ASPF一直處于操作狀態(tài)，監(jiān)控返回的包，目的是保證這些包的有效性。為減小TCP序列號(hào)襲擊的風(fēng)險(xiǎn)，它總是主動(dòng)對(duì)TCP序列號(hào)作隨機(jī)處理。ASPF遵守以下規(guī)則：如果沒(méi)有連接和狀態(tài)，任何包都不能穿越Eudemon防火墻；如果沒(méi)有訪問(wèn)控制表的特殊定義，向外連接或狀態(tài)都是允許的。向外連接指產(chǎn)生者或客戶機(jī)的安全接口等級(jí)高于接收者或服務(wù)器。最安全的接口總是內(nèi)部接口，最不安全的接口總是外部接口。周邊接口的安全等級(jí)處于內(nèi)部接口和外部接口之間；如果沒(méi)有特殊定義，向內(nèi)連接或狀態(tài)是不允許的。向內(nèi)連接或狀態(tài)指產(chǎn)生者或客戶機(jī)的安全接口/網(wǎng)絡(luò)等級(jí)低于接收者或服務(wù)器。用戶可以為一個(gè)xlate（轉(zhuǎn)換）應(yīng)用多個(gè)例外。這樣，就可以從互聯(lián)網(wǎng)上的任意機(jī)器、網(wǎng)絡(luò)或主機(jī)訪問(wèn)xlate定義的主機(jī)；如果沒(méi)有特殊定義，所有ICMP包都將被拒絕；違反上述規(guī)則的所有企圖都將失敗，而且將把相應(yīng)信息發(fā)送至系統(tǒng)日志。Eudemon防火墻處理UDP數(shù)據(jù)傳輸?shù)姆绞脚cTCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，Eudemon防火墻執(zhí)行了特殊處理。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時(shí)，Eudemon防火墻將生成UDP“連接”狀態(tài)信息。如果與連接狀態(tài)信息相匹配，這些流量帶來(lái)的答復(fù)包將被接受，否則報(bào)文將被直接過(guò)濾掉。并且可以做到基于這些連接的時(shí)間段狀態(tài)檢測(cè)，如果連接在一段時(shí)間內(nèi)沒(méi)有任何報(bào)文流通過(guò)，連接狀態(tài)信息將被刪除。多個(gè)接口和安全等級(jí)所有Eudemon防火墻都至少有兩個(gè)接口，默認(rèn)狀態(tài)下，它們被稱為外部接口和內(nèi)部接口，安全等級(jí)分別為最低和最高。較低的優(yōu)先級(jí)說(shuō)明接口受到的保護(hù)較少。一般情況下，外部接口與公共互聯(lián)網(wǎng)相連，內(nèi)部接口則與專用網(wǎng)相連，并且可以防止公共訪問(wèn)。許多Eudemon防火墻都能提供八個(gè)接口，以便生成一個(gè)或多個(gè)周邊網(wǎng)絡(luò)，這些區(qū)域也稱為非軍管區(qū)（DMZ）。DMZ的安全性高于外部接口，但低于內(nèi)部接口。一般情況下，用戶需要訪問(wèn)的郵件服務(wù)器或Web服務(wù)器都被置于DMZ中的公共互聯(lián)網(wǎng)上，以便提供某種保護(hù)，但不致于破壞內(nèi)部網(wǎng)絡(luò)上的資源。數(shù)據(jù)在防火墻中的傳送方式當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)向外部網(wǎng)絡(luò)發(fā)送的包到達(dá)防火墻的內(nèi)部接口時(shí)，防火墻將根據(jù)ASPF規(guī)則檢查包是否有效，并且確定是否為新建連接。如果是新建連接，防火墻將在狀態(tài)表中為此連接產(chǎn)生一個(gè)狀態(tài)信息表，該信息表內(nèi)容包括內(nèi)部IP地址以及由網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、端口地址轉(zhuǎn)換（PAT）或者Identity（將內(nèi)部地址作為外部地址使用）分配的全球唯一IP地址。然后，防火墻將把包的源IP地址轉(zhuǎn)換成全球唯一地址，根據(jù)需要修改總值和其它字段，然后將包發(fā)送到外部接口。當(dāng)向內(nèi)傳輸?shù)陌竭_(dá)外部接口時(shí)，首先接受防火墻ASPF規(guī)則的檢查。如果包能夠通過(guò)安全測(cè)試，則防火墻刪除目標(biāo)IP地址，并將內(nèi)部IP地址插入到這個(gè)位置，包將被發(fā)送到受保護(hù)的內(nèi)部接口。內(nèi)部地址的轉(zhuǎn)換（NAT）Eudemon防火墻可以實(shí)現(xiàn)公私網(wǎng)地址的混編，內(nèi)部網(wǎng)絡(luò)既可以存在私網(wǎng)地址業(yè)務(wù)流，也可以存在公網(wǎng)地址業(yè)務(wù)流，滿足多種組網(wǎng)方式的需求。這樣，如果正在為具有主機(jī)網(wǎng)絡(luò)注冊(cè)地址的原有網(wǎng)絡(luò)上安裝防火墻，可能不想為這些主機(jī)或網(wǎng)絡(luò)進(jìn)行地址轉(zhuǎn)換。對(duì)于內(nèi)部系統(tǒng)，NAT能夠轉(zhuǎn)換向外傳輸?shù)陌脑碔P地址（RFC1631），同時(shí)支持動(dòng)態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT允許為內(nèi)部系統(tǒng)分配專用地址（RFC1918）定義，或者保留現(xiàn)有的無(wú)效地址。NAT還能提高安全性，因?yàn)樗芟蛲獠烤W(wǎng)絡(luò)隱藏內(nèi)部系統(tǒng)的真實(shí)網(wǎng)絡(luò)身份。PAT使用端口重映射，允許一個(gè)有效的IP地址支持64,000個(gè)活躍對(duì)象的源IP地址轉(zhuǎn)換。PAT能夠減少支持專用或無(wú)效內(nèi)部地址方案所需的全球有效IP地址數(shù)量。對(duì)于向內(nèi)數(shù)據(jù)流與向外控制路徑不同的多媒體應(yīng)用，PAT不能與之配合使用。由于能夠向外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)網(wǎng)絡(luò)身份，因此，PAT能夠提高安全性。防火墻上的另一種地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能夠?yàn)閮?nèi)部地址指定一個(gè)固定的外部IP地址。對(duì)于需要固定IP地址以便接受公共互聯(lián)網(wǎng)訪問(wèn)的服務(wù)器來(lái)講，這個(gè)功能非常有用。認(rèn)證代理認(rèn)證代理是Eudemon防火墻的獨(dú)特特性，能夠?qū)崿F(xiàn)用戶（包括內(nèi)部用戶和外部用戶）向內(nèi)或外部連接進(jìn)行驗(yàn)證。在建立連接的同時(shí)，防火墻首先查詢認(rèn)證服務(wù)器，當(dāng)連接獲得批準(zhǔn)之后才建立數(shù)據(jù)流，之后，所有流量都將在雙方之間直接、快速地流動(dòng)。當(dāng)然，在合法連接建立之前，所有該連接的數(shù)據(jù)將會(huì)被禁止。借助這個(gè)特性可以對(duì)每個(gè)用戶ID實(shí)施安全政策。在連接建立之前，可以借助用戶ID和密碼進(jìn)行認(rèn)證，它支持認(rèn)證和授權(quán)，作為Radius服務(wù)器的客戶端與Radius服務(wù)器進(jìn)行認(rèn)證確認(rèn)。用戶ID和密碼可以通過(guò)最初的HTTP、Telnet或FTP連接輸入。Eudemon防火墻按照ITU-TRADIUS協(xié)議規(guī)范實(shí)現(xiàn)AAA（Authentication、AuthorizationandAccounting，驗(yàn)證、授權(quán)和計(jì)費(fèi)）功能，構(gòu)建分布式的客戶/服務(wù)器安全訪問(wèn)應(yīng)用，依據(jù)PAP（PasswordAuthenticationProtocol，口令驗(yàn)證協(xié)議）和CHAP（ChallengeHandshakeAuthenticationProtocol，盤問(wèn)握手驗(yàn)證協(xié)議）認(rèn)證規(guī)范，為用戶提供安全的認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)，避免未授權(quán)訪問(wèn)。與檢查源IP地址的方法相比，認(rèn)證代理能夠?qū)B接實(shí)施更詳細(xì)的管理。在提供向內(nèi)認(rèn)證時(shí)，需要相應(yīng)地控制外部用戶使用的用戶ID和密碼，在這種情況下，建議使用一次性口令認(rèn)證。訪問(wèn)控制1、AAA代理客戶端：Eudemon防火墻提供AAA（認(rèn)證、計(jì)費(fèi)和授權(quán)）代理客戶端的功能，可構(gòu)建分布式的客戶/服務(wù)器安全訪問(wèn)應(yīng)用，AAA服務(wù)由RADIUS服務(wù)器提供。只有通過(guò)AAA認(rèn)證的用戶流量才能被允許通過(guò)，否則將被禁止。2、訪問(wèn)列表：Eudemon防火墻使用訪問(wèn)列表控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接。用戶可以按照源地址、目標(biāo)地址、源端口、目的端口或協(xié)議類型等域使用訪問(wèn)列表控制連接。為了增強(qiáng)防火墻本身的安全特性，減少不必要的接入連接，應(yīng)該認(rèn)真有效配置訪問(wèn)列表。啟動(dòng)專有協(xié)議和應(yīng)用1、SMTP協(xié)議監(jiān)控：SMTP協(xié)議監(jiān)控能夠?yàn)閺耐獠康絻?nèi)部消息服務(wù)器的簡(jiǎn)單郵件