网络安全技术白皮书.docx
- 文档编号:12324875
- 上传时间:2023-04-18
- 格式:DOCX
- 页数:24
- 大小:105.49KB
网络安全技术白皮书.docx
《网络安全技术白皮书.docx》由会员分享,可在线阅读,更多相关《网络安全技术白皮书.docx(24页珍藏版)》请在冰豆网上搜索。
网络安全技术白皮书
网络安全技术白皮书
摘要
本文详细介绍了Quidway系列路由器所应用的安全技术,包括访问控制技术、身份认证技术、地址转换技术、加密与密钥交换技术、智能防火墙技术、安全策略分析与管理等,并探讨了Quidway系列路由器在安全方面的发展方向。
结合Quidway系列路由器在安全方面的功能特点,给出了相关应用中的实际解决方案。
关键词
网络安全,VPN,智能防火墙
1概述
网络为人们提供了极大的便利。
但由于构成Internet的TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。
网络上存在着各种类型的攻击方式,包括:
∙窃听报文——攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
∙IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
∙源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
∙端口扫描—通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。
然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
∙拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。
比如通过发送大量报文使得网络带宽资源被消耗。
Mellisa宏病毒所达到的效果就是拒绝服务攻击。
最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,DistributedDenialOfService,简称DDOS。
许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。
∙应用层攻击——有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
另外,网络本身的可靠性与线路安全也是值得关注的问题。
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求。
网络安全包括两层含义:
其一是内部局域网的安全,其二是外部数据交换的安全。
路由器作为内部网络与外部网络之间通讯的关键设备,有必要提供充分的安全保护功能。
Quidway系列路由器提供了多种网络安全机制,为内部网络及外部数据提供了有力的安全保护。
本文将对其技术与实现作详细的介绍。
2安全路由器的设计原则
针对网络存在各种安全隐患,安全路由器必须具有如下的安全特性:
∙可靠性与线路安全
∙身份认证
∙访问控制
∙信息隐藏
∙数据加密
∙攻击探测和防范
∙安全管理
2.1可靠性与线路安全
可靠性要求是针对故障恢复和负载能力而提出来的。
对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。
当主接口故障时,备份接口自动投入工作,保证网络的正常运行;当网络流量增大时,备份接口又可承当负载分担的任务。
线路安全指的是线路本身的安全性。
路由器在接受呼入时,能防止非法用户的访问,而只在安全的线路上进行信息交换。
2.2身份认证
路由器中的身份认证主要包括以下几个部分:
1、访问路由器时的身份认证。
访问路由器存在多种方式:
直接从console口登录进行配置;telnet登录配置;通过SNMP进行配置;通过modem远程配置等等。
对于这些访问方式,都需要有相应的身份认证。
2、对端路由器的身份认证:
对端路由器不仅仅指物理上的直接以串口线相连的路由器,同时还包括端到端相连以及虚拟的点对点(如通过隧道协议)相连的路由器。
在对端路由器与本端建立连接之前,需要进行身份认证。
3、路由信息的身份认证:
路由器依据路由信息表来发送报文,路由信息对于路由器来说是至关重要的。
收到虚假的路由信息,有可能使得路由器将数据报文发往不正确的目的地。
这些报文可以被用于分析其中的数据内容,严重的情况下,造成正常的通信中断。
所以,在接受任何路由变化的信息之前,有必要对此信息的发送方进行验证,以保证收到路由信息是合法的。
2.3访问控制
访问控制分为以下几种情况:
1、对于路由器的访问控制。
对路由器的访问权限需要进行口令的分级保护。
只有持有相应口令的特权用户才能对路由器进行配置;一般用户只有查看普通信息的权力。
2、基于IP地址的访问控制。
一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外用户)是通过IP地址来区分的,不同的用户具有不同的权限。
通过包过滤实现基于IP地址的访问控制,可以实现对重要资源的保护。
3、基于用户的访问控制。
路由器也可以提供接入服务功能。
对于以接入方式的用户来说,他们之间的权限也有可能是不一样的。
通过对用户设置特定的过滤属性,可实现对接入用户的访问控制。
2.4信息隐藏
与对端通信时,不一定需要用真实身份进行通信。
通过地址转换,可以做到隐藏网内地址、只以公共地址的方式访问外部网络。
除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
2.5数据加密
在公网上传输数据不能保证数据不被窃听。
为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。
通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。
对于利用公网构建VPN的情况,数据加密能够保证通过隧道传输的数据安全。
2.6攻击探测和防范
路由器作为一个内部网络对外的接口设备,是攻击者进入内部网络的第一个目标。
如果路由器不提供攻击检测和防范,则也是攻击者进入内部网络的一个桥梁。
在路由器上提供攻击检测,可以防止一部分的攻击。
2.7安全管理
内部网络与外部网络之间的每一个数据报文都会通过路由器,在路由器上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。
另一方面,路由器的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利用,进行安全策略管理是必需的。
3Quidway系列路由器的安全技术
Quidway系列路由器提供一个全面的网络安全解决方案,包括用户验证、授权、数据保护等等。
Quidway系列路由器所采用的安全技术包括:
∙CallBack技术
∙备份中心
∙AAA
∙CA技术
∙包过滤技术
∙地址转换
∙VPN技术
∙加密与密钥交换技术
∙智能防火墙
∙安全管理
∙其他安全技术与措施
3.1CallBack技术
CallBack技术即回呼技术,最初由Client端发起呼叫,要求Server端向本端回呼;而Server端接受呼叫,并决定是否向Client端发起回呼。
利用CallBack技术可增强安全性。
回呼处理中,Server端根据本端配置的呼叫号码呼叫Client端,从而可避免因用户名、口令失密而导致的不安全性。
另外,Server端还可根据本端的配置,对呼入请求进行分类,即拒绝呼叫、接收呼叫(不回呼)或接收回呼,从而可以对不同的Client端实施不同的限制,并且Server端在外部呼入时可以实现资源访问的主动性。
CallBack还具有以下优点:
∙节省话费(当两个方向的呼叫费率不同时)。
∙改变话费承担方。
∙合并话费清单。
Quidway系列路由器支持CallBack技术,分为ISDN主叫识别回呼与有PPP参与的回呼两种方式。
前者无需PPP的参与,直接验证呼入的电话号码是否与Server配置的号码匹配,所以只需在Server端进行相应的配置即可,Client端不需要做任何改动。
而有PPP参与的回呼需要在Client端配置用户名和口令,在Server端配置相应的回呼拨号串,并且对以下三种情况都可实现支持:
a、两端都有固定的网络层地址,都支持PPP的回呼扩展项;b、client端需动态分配网络层地址;c、只有server端支持PPP的回呼扩展项。
由此可见,在ISDN主叫回呼方式下,非合法的电话号码呼入将会被拒绝;在有PPP参与的回呼方式下,即使有非法用户获取了合法的用户名和口令,Server端也只会回呼到预先配置好的电话上,避免了非法用户的访问。
从而保证了Server的安全。
3.2备份中心
为了提高网络的可靠性,Quidway系列路由器提出了特有的备份中心的概念,实现完善的备份功能。
备份中心具有如下特点:
∙可为路由器上除拨号口以外的任意接口提供备份接口。
∙路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口。
∙可对接口上的某条逻辑链路提供备份。
备份接口可以是一个接口,也可以是接口上的某条逻辑通道(这里所指的逻辑通道可以是X.25、帧中继、ATM或ADSL的虚电路,也可以是拨号口的某一条dialermap)。
∙对一个主接口,可为它提供多个备份接口。
当主接口出现故障时,多个备份接口可以根据优先级来决定使用顺序。
∙对于具有多个物理通道的接口(如BRI和PRI接口),可为多个主接口提供备份。
∙主接口和备份接口可以进行负载分担。
当主接口的流量达到设定的门限时,启动备份接口;当主接口和备份接口的流量和小于设定的另一门限时,关闭备份接口。
∙在不同的路由器之间,通过热备份路由协议,保证了主路由的可靠性。
屏蔽掉大量的细节,使用户只看到一台安全可靠的虚拟网关,简化了用户的设置。
3.3AAA(Authentication,Authorization,Accounting)
AAA提供了对用户的验证、授权及记帐功能。
∙验证-用户(包括Login用户、PPP接入用户等)在被允许访问网络资源之前需要先经过验证,验证时可以选择是采用路由器本身维护的用户数据库,还是采用RADIUS服务器所维护的用户数据库对用户进行验证。
∙授权-通过定义一组属性来描述用户的权限信息,用以决定用户的实际访问权限。
这些信息存储在RADIUS所维护的数据库中。
对于接入用户,还可以由用户的"filterID"属性来确定采用哪类规则对用户的报文进行过滤。
∙记帐-AAA的计费功能允许对用户的访问网络资源等情况进行跟踪审计。
当AAA的计费功能打开后,网络接入服务器按照一定的计费格式向RADIUS服务器发送用户的活动信息,这些信息被储存在服务器上,可以用来进行网络运行情况的分析、用户帐单的生成等。
AAA网络安全服务提供了一个实现身份认证以及访问控制的主框架。
AAA使用RADIUS、TACACS+、Kerberos等协议来实现对网络的访问控制。
Quidway系列安全路由器实现时采用了使用最广泛的RADIUS协议。
3.4CA技术
CA技术是安全认证技术的一种,它基于公开密钥体系通过安全证书来实现。
安全证书采用国际标准的X.509证书格式,主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥、证书的有效期以及其他一些附加信息。
并且证书是由发证CA数字签名的,保证了证书不可伪造并且不能被更改。
安全证书由CA中心分发并维护。
Quidway系列路由器正在实现对CA中心的支持,包含两方面的内容,其一是针对CA中心的管理功能完成与CA中心的交互;其二即是路由器作为通信实体的认证功能。
一般来说,安全证书的操作采取离线分发、本地验证的方式。
路由器作为一个用户,与CA中心的交互包括以下几个方面:
∙登记-新增的用户需要向适当的CA中心登记。
∙初始化-在用户进行证书申请之前,先要获得CA中心的信息,包括CA中心的身份信息、公钥,以用于后续的证书操作。
在实际的应用中,可通过预装的方式将CA中心的信息初始化进用户的系统。
∙证书申请-用户的申请中包含有用户的公钥信息,并提供对应私钥的持有证明。
CA中心接收用户的申请,验证通过后分发证书。
∙密钥对恢复-因某种原因,如忘记证书口令或证书文件遗失,用户可在线要求CA中心恢复自己的密钥对。
当然,是否由CA中心托管自己的密钥对应由用户自己选择。
∙密钥对更新-出于安全方面的考虑,所有的密钥对都必须定期更新,同时由CA中心分发新的证书。
∙证书作废-当持证用户发现或怀疑自己的私钥泄密时,可以向CA中心发送证书作废申请,以确保证书的安全性。
∙交叉验证-实际应用中的CA应是一种层次式的树状结构,两个不同的CA之间也需要建立一种相互信任机制,即交叉验证证书。
当用户要验证来自其他CA分发的证书时,就需要利用交叉验证信息按照验证树向逐级CA进行身份验证。
路由器通过CA证书的认证过程如图1所示,其中RCA中心称之为根CA中心,是更高层次的CA。
安全证书是可公开的,所以双方在进行验证时可直接将自己的证书加上自己的数字签名发给对方。
对方在收到证书以后,需要进行以下几方面的验证:
∙证书的真实性-通过对证书中CA中心的数字签名进行验证来实现,当接收到与自己不属于同一CA的证书时,则还需要进行CA中心的交叉验证。
∙发送方的身份验证-证书的真实性确认以后,获得其中的公钥信息,对接收到的发送方自己的数字签名进行验证,以确认收到的证书是由正确的发送方发出的,而非他人盗用证书。
∙证书的有效性-通过查询CRL(CertificateRevocationList,作废证书列表)来确认。
图1基于CA中心的安全认证示意图
在一些安全性要求较高的场合,用户还可通过在线证书状态查询协议(OCSP)实时地查询证书的状态信息。
3.5包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。
包过滤通常用到IP报文的以下属性:
∙IP的源、目的地址及协议域;
∙TCP或UDP的源、目的端口;
∙ICMP码、ICMP的类型域;
∙TCP的标志域
∙表示请求连接的单独的SYN
∙表示连接确认的SYN/ACK
∙表示正在使用的一个会话连接
∙表示连接终断的FIN
可以由这些域的各式各样的组合形成不同的规则。
比如,要禁止从主机1.1.1.1到主机2.2.2.2的FTP连接,包过滤可以创建这样的规则用于丢弃相应的报文:
∙IP目的地址=2.2.2.2
∙IP源地址=1.1.1.1
∙IP的协议域=6(TCP)
∙目的端口=21(FTP)
其他的域一般情况下不用考虑。
同样,在NovellIPX和AppleAppleTalk协议中,也可相应地设置各自的包过滤规则。
Quidway系列安全路由器提供了基于接口的包过滤,即可以在一个接口的进出两个方向上对报文进行过滤。
同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比如上例中可设置每周一的8:
00至20:
00允许FTP报文进入以完成必要的服务,而其余时间则禁止FTP连接。
在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上具有极大的灵活性。
并且这样的时间段可以方便地提供给其他的功能模块使用,如地址转换、IPSec等。
3.6地址转换
地址转换,用来实现私有网络地址与公有网络地址之间的转换。
地址转换的优点在于屏蔽了内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。
Quidway系列安全路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址。
与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。
Quidway系列安全路由器支持带访问控制列表的地址转换。
通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。
结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。
Quidway系列安全路由器可以提供灵活的内部服务器的支持,对外提供WEB、FTP、SMTP等必要的服务。
而这些服务器放置在内部网络中,既保证了安全,又可方便地进行服务器的维护。
3.7VPN技术
虚拟私有网(VirtualPrivateNetwork)简称为VPN,是近年来随着Internet的发展而迅速发展起来的一种技术。
现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、培训和合作等活动。
许多企业趋向于利用Internet来替代它们的私有数据网络。
相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。
以某企业为例,通过VPN建立的企业内部网如下图2所示。
图2VPN应用示意图
可以从上图中看出,企业内部资源享用者通过PSTN网连入本地ISP的POP(PointofPresence)服务器,即可相互通信,而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。
虚拟网组成后,出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源。
这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
企业开设VPN服务所需的设备很少,只需在资源共享处放置一台支持VPN的服务器(如支持VPN的路由器)就可以了。
资源享用者通过PSTN连入本地POP服务器后,直接呼叫企业的远程VPN服务器。
呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的,剩下的工作就完全由ISP的网络接入服务器(NAS,NetworkAccessServer)来完成。
图3VPN接入示意图
NAS服务器主要使用了一种称之为tunneling的技术。
这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。
在图3中,用户通过PSTN网拔入ISP的NAS服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道,然后将用户数据包封装成IP报文后从该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。
反向的处理也一样。
隧道两侧可以对报文进行加密处理,使Internet上的其他用户无法读取,因而是安全可靠的。
对用户来说,隧道是其PSTN链路的逻辑延伸,操作起来和存在物理链路相同。
在二层支持这种tunneling技术的协议有PPTP(PointtoPointTunnelingProtocol,点对点通道协议),L2F(Layer2Forwarding,二层转发协议)和L2TP(Layer2TunnelingProtocol,二层隧道协议)。
L2TP结合了前两个协议的优点,为众多公司所接受。
三层的tunneling技术有IPSec和GRE。
其中IPSec通过加密能够保证传输的私有信息的数据安全性。
将在下一节具体介绍。
Quidway系列路由器支持L2TP、IPSec和GRE。
3.8加密与密钥交换技术
Quidway系列路由器提供对标准的三层隧道加密协议IPSec和密钥交换协议IKE的支持,支持硬件和软件加密算法,为用户提供了在Internet上构建安全VPN的解决方案。
3.8.1IPSec
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件会软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
∙私有性-IPSec在传输数据包之前将其加密.以保证数据的私有性;
∙完整性-IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
∙真实性-IPSec端要验证所有受IPSec保护的数据包;
∙防重放-IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。
安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。
IPSec在转发加密数据时产生新的AH和/或ESP附加报头,用于保证IP数据包的安全性。
IPSec有隧道和传输两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中;在传输方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。
AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。
考虑到计算效率,AH没有采用数字签名,而是采用了安全哈希算法来对数据包进行保护。
AH没有对用户数据进行加密。
AH在IP包中的位置如图4所示(隧道方式):
图4AH处理示意图
ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。
ESP头在IP包中的位置如下(隧道方式):
图5ESP处理示意图
AH和ESP可以单独使用,也可以同时使用。
使用IPSec,数据就可以在公网上传输,而不必担心数据被监视、修改或伪造。
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。
在两个端点之间可以建立多个安全联盟,并结合访问控制列表(access-list),IPSec可以对不同的数据流实施不同的保护策略,达到不同的保护效果。
安全联盟是有方向性的(单向)。
通常在两个端点之间存在四个安全联盟,每个端点两个,一个用于数据发送,一个用于数据接收。
IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性。
这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。
3.8.2IKE
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥,并且即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
其中的核心技术就是DH(DiffieHellman)交换技术。
DH交换(Diffie-HellmanExchange)的前提是双方拥有共享的两个参数:
底数g和模数p。
这两个参数由所使用的DH组定义,在实际应用中是公开的。
DH交换及计算分为四个步骤(如图6所示):
①双方各自产生一个随机数,如a和b;
②幂模运算,得到结果c和d;
③模交换;
④DH公有值计算,即图中的damodp和cbmodp。
可以证明:
DH公有值gabmodp=damodp=cbmodp。
注意到以上步骤中仅模交换是在公开的网络上进行,若网络上的第三方截获了双方的模c和d,那么他要计算出DH公有值gabmodp还需要获得a或b,而由模c和d计算a或b需要进行离散对数运算,而p为素数,当p足够大时(一般为768位以上的二进制数),数学上已经证明,其计算复杂度非常高从而是不可实现的。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 技术 白皮书