艾泰科技网络安全白皮书.docx
- 文档编号:7431682
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:25
- 大小:335.61KB
艾泰科技网络安全白皮书.docx
《艾泰科技网络安全白皮书.docx》由会员分享,可在线阅读,更多相关《艾泰科技网络安全白皮书.docx(25页珍藏版)》请在冰豆网上搜索。
艾泰科技网络安全白皮书
网络安全
技术白皮书
上海艾泰科技有限公司
2004年3月
摘要
本文将介绍艾泰科技自主研发的系列HIPER路由器所采用的安全技术,其中包括VPN技术、加密技术、密钥交换和管理技术、访问控制列表技术、网络地址转换技术,身份认证技术,安全策略分析和管理技术,同时也将涉及到整个网络安全领域和HIPER路由器安全方面的发展方向,同时结合HIPERVPN路由器的性能特点,给出相关应用中的网络安全解决方案。
关键词
VPN,网络安全,IPSec,IKE
目录
一、概述4
二、路由器安全特性的设计6
1.可靠性6
2.身份认证6
3.访问控制7
4.网络地址转换7
5.数据加密8
6.密钥管理8
7.入侵检测及防范8
8.策略管理8
三、HIPER系列VPN路由器的安全技术9
1.备份技术9
2.CallBack技术9
3.包过滤技术10
4.网络地址转换11
5.抗打击能力强11
6.流量管理与保护12
7.VPN技术12
8.密钥交换技术15
9.安全管理16
10.其他安全技术和措施16
四、HIPER系列VPN路由器的安全解决方案17
1.和Internet的安全互联17
2.通过Internet构建VPN18
五、HIPER系列VPN路由器安全特性支持的标准20
七、结论21
八、附件:
22
HiPER2231CS22
一、概述
随着网络在规模上、功能上迅速发展,它逐渐深入到我们的生活中,扮演着越来越重要的角色,通过网络进行的经济、文化、工作和个人交流等活动也与日俱增,随之而来的网络安全问题也逐步受到人们的重视,当前Internet中存在着各种类型的网络攻击方式:
●窃听报文
攻击者使用网络报文获取工具,从网络传输的数据流中复制数据,并从这些数据中获取一些诸如用户名/口令等敏感信息。
通过网络尤其是Internet来传输数据,不仅需要跨越不同的地理位置,而且存在时间上的延迟,在这种情况下,要避免数据不被窃听几乎是不可能的。
●篡改报文
攻击者采取与窃听报文类似的手段,但不是简单地复制报文,而是截获报文,而后不仅可以从这些报文数据中获得一些敏感信息,而且可以任意更改报文中的数据并继续发送给原目的地,这样就能造成比窃听报文类型攻击更大的危害。
同样,这也是由于网络数据传输在地理和时间上的不可控性造成的。
●IP地址伪装
攻击者通过改变自己的IP地址来伪装成内部网用户或可信的外部网用户,以合法用户身份登录那些只以IP地址作为验证的主机;或者发送特定的报文以干扰正常的网络数据传输;或者伪造可接收的路由报文(如发送ICMP报文)来更改路由信息,来非法窃取信息。
●源路由攻击
攻击者通过IP报文中Option域来指定该报文的路由,从而使报文有可能经过一些受到保护的网络。
●端口扫描
利用一些端口扫描工具来探测系统正在侦听的端口,来发现该系统的漏洞;或者是事先知道某个系统存在漏洞,而后通过查询特定的端口,来确定是否存在漏洞。
最后利用这些漏洞来对系统进行攻击,导致系统的瘫痪。
●Dos类型攻击
Dos(Denialofservice,拒绝服务攻击)攻击是通过发送大量报文导致网络资源和带宽被消耗,从而达到阻止合法用户对资源的访问。
另外一种DDos是它的扩展类型,即分布式拒绝服务攻击(DisturbutedDenialofservice),许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失。
●应用层攻击
有多种形式,包括大部分的计算机病毒,利用已知应用软件的漏洞,“特洛依木马”等。
另外,网络本身的可靠性和线路的安全性也对网络安全起着重要的影响。
随着网络应用的逐渐普及,尤其是在一些敏感场合(如电子商务),网络安全成为日益迫切的需求。
按物理位置来分,网络安全可分为两个部分,一是内部局域网的安全,二是和外部网络进行数据交换时的安全。
路由器作为内部网络和外部网络之间的关键通信设备,应该提供充分的安全功能,HiPER系列路由器实现了多种网络安全机制,为网络数据传输提供了安全的通信保证。
二、路由器安全特性的设计
为了尽力避免网络中各种安全隐患的出现,降低网络受到攻击的可能性,有效地提高网络通信的可靠性,路由器在安全方面必须具备如下特性:
Ø可靠性
Ø身份认证
Ø访问控制
Ø网络地址转换
Ø数据加密
Ø密钥的管理和交换
Ø入侵检测及防范
Ø策略管理
1.可靠性
可靠性要求主要是针对故障恢复能力提出来的,对于路由器而言,可靠性主要体现在路由器故障、接口故障和网络流量增大的情况下,为此,备份是路由器中不可缺少的功能。
当路由器的一个接口发生故障时,备份接口自动接替工作,保持网络传输的畅通。
当网络流量增大时,备份接口又可起到平均负载的作用。
2.身份认证
路由器的身份认证功能主要包括以下几个功能:
a)访问路由器时的身份认证
访问路由器存在多种方式:
直接从配置口登录进行配置;telnet登录配置;浏览器登录进行配置;通过SNMP进行配置等。
这些方式的登录,都需要进行相应的身份验证。
b)对端路由器(或网络设备)的认证
对端路由器不仅指物理上直接相连的路由器,而且包括端对端相连以及虚拟的点对点相连的路由器,在本端路由器和对端路由器需要通信时,都会进行相应的身份认证。
c)路由信息的身份认证
路由器是根据路由信息来发送报文的,路由信息对于路由器来说是至关重要的,而路由信息恰恰又是通过网络在不同的路由器间转发的。
若收到虚假的路由信息,有可能使得路由器将数据报文发往不正确的目的地,这些数据报文可能会造成网络通信的中断。
所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。
3.访问控制
访问控制可分为以下几个情况:
a)对于路由器的访问控制
对路由器的访问权限需要进行口令的保护。
只有持有相应口令的特权用户才能对路由器进行配置,一般用户只有查看普通信息的权利。
b)基于IP地址的访问控制
通常情况下,各种用户是通过IP地址来区分的,不同的用户有不同的权限。
通过IP包过滤可以实现基于IP地址的访问控制,来实现对网络中重要资源的保护。
c)基于用户的访问控制
路由器也可以提供接入服务功能,对于以接入方式登录的用户来说,可以通过设置用户的属性,来指定不同用户的不同访问权限,从而实现对接入用户访问的控制。
4.网络地址转换
通过网络进行数据交换时,不一定必须用真实的网络地址,可以通过网关设备(路由器)进行网络地址转换,可以隐藏内部局域网地址,只通过公共地址来访问外部网络;可以屏蔽内部网络的非法地址;可以限制和管理外部网络对内部局域网的访问等功能,有效地保护了内部网络的安全,同时也起到了对内、外网络数据交换的管理作用。
5.数据加密
在Internet上传输数据时,是无法保证数据被窃听和篡改的,为了避免因为数据被窃听而导致敏感信息的泄漏,有必要对在Internet上传输的数据进行加密处理,只有与之通信的另一端才能够解开。
通过作为网关的路由器对发往Internet的数据作加密处理,确保了数据的机密性和完整性。
这一点,对于通过Internet构建VPN也起到了保护数据传输安全的作用。
6.密钥管理
为了配合数据加密的要求,就必须有严格、安全的密钥管理体系,负责密钥的生成、分配和有效期管理。
密钥是一个加/解密系统的核心,如果不能确保密钥的安全,那么通过加密来对传输数据进行保护则形如虚设。
7.入侵检测及防范
路由器是连接内部网络和外部网络的接口设备,所有内外网络的交换数据都要经过它的处理,通常攻击者的第一个目标就是路由器,如果路由器提供了入侵检测和防范功能,则可以有效地记录攻击者的攻击信息并提供相应的解决措施,可以成功地抵御一部分攻击。
8.策略管理
在已经发生攻击事件中,大多数是由于人为因素造成的漏洞而导致的,所以路由器在提供各种安全功能的同时,还需要提供一个良好的策略构建平台以及相应的策略管理机制,使得用户较为容易地构建一系列没有漏洞的安全策略,进一步提高路由器对传输数据的安全保护质量。
三、HIPER系列VPN路由器的安全技术
HIPER系列VPN路由器提供了全面的网络安全解决方案,采用了以下安全技术:
ØMAC地址过滤
Ø封包检验
Ø网络隔离
Ø包过滤技术
Ø端口重新定向
Ø网络地址转换
Ø抗打击能力强
Ø流量管理与保护
ØVPN技术
Ø密钥交换技术
Ø安全管理
Ø其他安全技术与措施
1.备份技术
HiPER系列VPN路由器实现了较为完善的备份功能,其特点如下:
a)可以为路由器的接口提供备份接口,当主接口发生故障时,备份接口会自动接替,保证数据的传输不会受到较大的影响。
b)主接口和备份接口之间可以进行负载的分担。
c)路由的备份技术,当一条路由失效时,路由器会自动通过另外一条备份路由和对端进行通信,保证了数据传输的畅通。
2.CallBack技术
CallBack技术即回呼技术,最初由Client方发起呼叫,要求Server方向本端回呼,而Server接受呼叫,并决定是否向Client方发起回呼。
利用CallBack技术可增强安全性,回呼处理中,Server方根据本地配置的呼叫号码呼叫Client方,从而避免因用户名、口令失密而导致的不安全性。
此外,Server方还可根据本地配置,对呼入请求进行分类,即拒绝呼叫、接收呼叫(不回呼)和接收呼叫(回呼),从而对不同的Client方实施不同的限制,同时Server方在外部呼入时可以实现资源访问的主动性。
另外,CallBack还具有以下优点:
a)节省话费(当通话的两个方向上的费用不同时)
b)改变话费承担方
3.包过滤技术
IP报文中的IP报头及所承载的上层协议(如TCP/UDP)报头中包含了各种信息,根据这些信息,路由器可以把这些包进行分类处理,包过滤通常利用IP报文中的以下属性:
ØIP的源、目的地址及协议域;
ØTCP/UDP的源、目的端口;
ØICMP的类型;
ØIGMP的类型
ØTCP的标志域(ACK和RST)
可以由这些域的不同组合形成不同的规则,例如,要禁止从192.168.20.69到192.168.20.121的HTTP连接,可以创建这样的规则:
IP的源地址=192.168.20.69
IP的目的地址=192.168.20.121
IP的协议域=6(TCP)
目的端口=80(HTTP)
把这条规则应用于接口上,便可以到达所要的目的了。
HiPER系列VPN路由器提供了完备的包过滤,还可以在上述规则中添加对时间段的判断,设置该条规则的生效时间,在对时间段可以进行绝对时间段和周期时间段的设置。
这样,可以为应用上提供极大的灵活性,同时和其他功能(如地址转换和IPSec等)的配合使用将会大幅度地提高路由器的可管理性。
4.网络地址转换
网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。
HiPER系列VPN路由器的网络地址转换可以将所有报文的源地址都转换为路由器上一个接口的地址;也可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法IP地址资源;利用网络地址转换,可以在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。
5.抗打击能力强
路由器的持续稳定运行是重要的,但是随着网络技术的发展,网络上不断涌现出的各种病毒、黑客软件和发包器等,对路由器的稳定运行造成了巨大的挑战。
从早期的”红色代码”,尼姆达”一直到最近发生的”冲击波”病毒,使得网络安全越来越受到重视。
HiPER系列VPN路由器从三个方面着手,最大限度的解决这个问题:
首先,要解决病毒的问题,就得提高自身的处理能力。
HiPER系列VPN路由器采用了高速低能耗NPU,其最大连接速居然可以达到2000个左右,这不仅解决了企业多用户高负载情况下设备的正常应用,而且也是路由器可以经受一定规模的病毒攻击。
其次,HiPER系列VPN路由器通过特殊的NAT命令控制,以及灵活的访问列表控制,能够最大程度的保证路由器的稳定运行,保护内网用户不受病毒问题的干扰。
我们还提出了自己的防止网吧用户或外来用户的DoS攻击,DDOS攻击的算法,该算法已经申请专利保护。
最后,由于企业使用的用户复杂,因此,PC很容易感染病毒,或者被一些木马之类的黒客程序控制,容易出现对其他机器的攻击行为,而这些攻击行为往往影响了其他PC的使用。
为了在大量的机器里,快速地寻找出有问题的PC,同时也可以历史地记录企业用户的使用行为,HiPER系列VPN路由器设计了对网络的监控的软件,可以对MAC、IP、NAT等多个层面进行联动监控,及时发现潜在的问题,而且易于使用,使网管人员可以快速有效的检查到局域网中发包异常的用户,进行病毒的查杀。
6.流量管理与保护
HiPER系列VPN路由器具有专利技术的流量管理与保护功能。
可以根据IP地址以及应用为网络里面的用户分配带宽,保障优先的业务拥有优先的带宽使用权,避免网络拥塞、带宽抖动的现象产生。
7.VPN技术
VPN(VirtualPrivateNetwork)即虚拟私有网,是近年来随着Internet发展而发展的一种网络构架。
许多现代企业都利用Internet资源来开展各项售前和售后服务、培训、合作等活动,而这些跨地域、灵活性大的功能都是当前各企业内部局域网在分布、建造和维护成本上无法实现的,但为了在利用Internet资源开展这些经济活动的同时,确保网络通信要如同内部局域网一样安全、使用方便,则必须构建VPN以利用Internet的虚拟通道来传输私有信息。
VPN技术主要是通过隧道机制(Tunneling)来实现的,通常情况下VPN在链路层和网络层实现了隧道机制。
在链路层支持隧道机制的有:
PPTP(PointtoPointTunnelingProtocol,点到点隧道协议)、L2TP(Layer2TunnelingProtocol,链路层隧道协议)、L2F(Layer2Forwarding,链路层转发协议)。
VPN在网络层实现的是GRE和IPSec。
在这一层实现安全服务具有多方面的优点。
首先,密钥协商的开销被大大地削减了。
这是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构。
其次,假如安全服务在较低层实现,那么需要改动的应用程序便要少得多。
通过它,我们不必集中在较高的层实现大量安全协议。
假如安全协议在较高的层实现,那么每个应用都必须设计自己的安全机制。
这样做除极易产生安全漏洞以外,而且出现犯错误的机率也会大增。
另外,对于任何传送协议,都可为其“无缝”地提供安全保障。
网络层安全最有用的一项特性是能够构建VPN。
由于VPN是以子网为基础,而且网络层支持以子网为基础的安全,所以很容易实现VPN。
IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。
此外,IPSec也允许提供逐个数据流或者逐个连接的安全,所以能实现非常细致的安全控制。
对于用户来说,便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。
IPSec为网络数据传输提供了:
Ø数据机密性
Ø数据完整性
Ø数据来源认证
Ø抗重播
等安全服务,就使得数据在通过公共网络传输时,就不用担心被监视、篡改和伪造。
IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的,而这些算法及其参数是保存在进行IPSec通信两端的SA(SecurityAssociation,安全联盟),当两端的SA中的设置匹配时,两端就可以进行IPSec通信了。
IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位;验证算法采用的也是流行的HMAC-MD5和HMAC-SHA算法。
IPSec所采用的封装协议是AH(AuthenticationHeader,验证头)和ESP(EncapsulatingSecurityPayload,封装安全性有效负载)。
ESP定义于RFC2406协议。
它用于确保IP数据包的机密性(对第三方不可见)、数据的完整性以及对数据源地址的验证,同时还具有抗重播的特性。
具体来说,是在IP头(以及任何IP选项)之后,在要保护的数据之前,插入一个新的报头,即ESP头。
受保护的数据可以是一个上层协议数据,也可以是整个IP数据包,最后添加一个ESP尾。
ESP本身是一个IP协议,它的协议号为50。
这也就是说,ESP保护的IP数据包也可以是另外一个ESP数据包,形成了嵌套的安全保护,ESP的封装方式如下图:
如上图所示,ESP头没有加密保护,只采用了验证保护,但ESP尾的一部分则进行的加密处理,这是因为ESP头中包含了一些关于加/解密的信息。
所以ESP头自然就采用明文形式了。
AH定义于RFC2402中。
该协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务,与ESP协议相比,AH不提供对通信数据的加密服务,同样提供对数据的验证服务,但能比ESP提供更加广的数据验证服务,如图所示:
它对整个IP数据包的内容都进行了数据完整性验证处理。
在SA中定义了用来负责数据完整性验证的验证算法(即散列算法,如AH-MD5-HMAC、AH-SHA-HMAC)来进行这项服务。
AH和ESP都提供了一些抗重播服务选项,但是否提供抗重播服务,则是由数据包的接收者来决定的。
HiPER可以支持和多种设备在Internet上建立VPN,隧道连接了两个远端局域网,每个局域网上的用户都可以访问另一个局域网网上的资源:
PC用户(使用合适的VPN客户端,如:
Windows98/NT/2K/XP)
Windows2000服务器
Cisco™PIX,华为Quidway等路由器设备
其他标准的VPN网络设备
·可同时建立10/128个隧道(根据型号不同)
8.密钥交换技术
在VPN技术中,主要是通过加密算法、验证算法的使用来确保数据的安全,而加密算法、验证算法的核心则是密钥,为了保证密钥使用的安全性和方便性,需要一种机制来负责密钥的生成、分配和有效期管理。
IKE就是一种密钥交换技术,IKE——InternetKeyExchange,Internet密钥交换协议。
IKE主要是用来协商和建立IPSec通信双方的SA,实际上就是对双方所采用的加密算法、验证算法、封装协议和有效期进行协商,同时安全地生成以上算法所需的密钥。
IKE是基于ISAKMP基础上而实现的,ISAKMP——InternetSecurityAssociationandKeyManagementProtocol,Internet安全联盟及密钥管理协议,ISAKMP定义了双方如何沟通,如何构建彼此间用以沟通的消息,还定义了保障通信安全所需的状态变换。
ISAKMP提供了对对方的身份进行验证的方法,密钥交换时交换信息的方法,以及对安全服务进行协商的方法。
IKE使用了两个阶段的的ISAKMP,第一阶段建立ISAKMP-SA,或称为IKE-SA,第二阶段利用这个既定的安全联盟,为IPSec协商具体的安全联盟,可称为IPSec-SA。
在第一阶段中,IKE定义了两种交换模式:
“主模式”和“野蛮模式”,相比之下,“主模式”的安全性和可靠性要比“野蛮模式”高。
在第二阶段中,IKE定义了“快速模式”。
在这两个阶段中,都会用到DH算法(Diffie-Hellman算法),IKE协商生成的安全密钥便是通过这种算法实现的。
这种算法是基于公私钥体系的,在整个通信过程中,通信的双方都只向对方传输属于公钥的那一部分,通过算法双方便可以得到只有他们两者才知道的密钥。
这种算法的另外一个优点就是,如果有第三方窃听了整个协议的交互通信过程,仍然很难以破解密钥,至少在时间的开销上将是一个天文数字。
在第一阶段中,提供了对对方的身份验证机制,如Pre-sharedKey(预共享密钥)。
9.安全管理
安全管理包括了两部分内容:
一是如何搜集相关的信息;二是如何及时利用这些信息来为网络安全服务。
关于信息的搜集,路由器提供了以下途径:
a)访问列表的日志功能。
在配置访问列表时加入Log选项,就可以记录一些关于路由器处理的关键信息。
b)关键事件的记录信息。
c)Debug信息。
用于对网络运行发生的问题进行跟踪分析。
这些信息的输出设备包括:
监控口、配置终端、日志服务器等。
对这些重要信息进行分析,便可以得到当前路由器运行状况,或者是当前攻击者的攻击手段,而后可以自动或手工地进行相应的抵御。
HIPER路由器正在逐步实现这些功能,以图为用户提供更加高效的网络安全解决方案。
10.其他安全技术和措施
路由器是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。
所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。
需要对邻接路由器进行路由信息认证的有:
ØRoutingInformationProtocalVersion2(RIP-v2)
如果运行了这些协议中的一种或几种,并且有可能收到虚假的路由信息时,则应该对邻接路由器进行认证。
四、HIPER系列VPN路由器的安全解决方案
根据上面所述的路由器安全特性设计的要求,HiPER系列VPN路由器提供了各种网络安全解决方案,以适应不同的应用需求,包括:
Ø电子政务的VPN联网
Ø和Internet的安全互联
Ø通过Internet构建VPN
Ø电子商务应用
Ø教育系统校校通的应用
1.
和Internet的安全互联
HiPER路由器
HIPER系列VPN路由器提供了和Internet安全互联的解决方案,HIPER路由器主要是通过基于访问列表的包过滤和网络地址转换,实现以下的功能:
Ø基于接口的包过滤
Ø可以通过对访问列表中时间段参数的设置,实现对与时间相关的访问管理。
Ø网管软件可以监控网络运行情况,以便用户的管理和控制。
Ø外部主机无法直接访问内部服务器。
外部主机A无法通过内部服务器的实际地址来访问它,而外部主机B则可以通过路由器设置的虚拟地址来访问内部服务器,这样就可以在一定程度上保护内部服务器。
这是通过网络地址转换来实现的,若同时配置了带访问列表的网络地址转换,则还可以限制外部主机对内部服务器的服务访问类型(如HTTP、FTP等)。
Ø内部主机可以路由器的管理下访问外部Server,在屏蔽内部网络地址信息的同时,还加强了对内部主机的管理。
2.通过Internet构建VPN
HIPER系列VPN路由器通过Internet构建VPN的方案如。
通过专线方式进行远地办事机构网络互联的成本比较昂贵,且利用率低,可以通过Internet来实现网络的互联,在HIPER系列VPN路由器提供的IPSec-VPN方案中,用户不仅实现了这一目标,而且保证了网络传输的安全性。
HIPER系列VPN路由器提供的方案具有以下功能:
Ø外出人员可以通过当PSTN接入
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 科技 网络安全 白皮书