您的位置: 网界网 > 周报全文 > 正文

[周报全文]网络安全保障

2001年12月31日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:网络安全保障

标签
网络安全保障

随着网络应用的普及,网络安全成为日益迫切需要解决的问题, 尤其是在一些敏感场合的应用。网络安全从结构上包括两部分:内部局域网的安全与外部数据交换的安全。路由器作为内部网络与外部网络之间通信的关键设备,必需提供充分的安全保护功能。
华为路由器网络操作系统VRP具有多种安全机制功能,为内部网络及外部数据提供了有力的保护措施。这些先进的网络安全技术不仅包括通常的AAA认证、包过滤(ACL/FIREWALL)、VPN(L2TP/GRE/MPLS)、IPSec与IKE(加密)、ASPF(应用层防火墙),还包括增强的地址转换(NAT/PAT)、流量控制及管理(ISPKeeper)等,提供了全面的网络安全保障功能,满足企业构建VPN、电子商务等多种应用情况的组网需求。特别是对于企业接入Internet及ISP组网,增强的地址转换功能和ISPKeeper,可保证内部网络信息的隐蔽,以及防止外部网络的流量攻击,大大地提高网络的安全性。
华为VRP增强的地址转换技术,则充分考虑了用户的实际需求,可以提供完善的解决方案。由于IPv4地址的短缺等因素,在许多ISP的扩建、宽带小区组建、以及企业接入Internet的组网中,出口路由器通常需要支持地址转换以解决地址不够的问题,但也因此需要解决多业务支持及认证问题。
华为VRP地址转换功能可以完整地支持Radius协议,如果接入服务器的Radius服务器不在ISP局域网的内部,也可以通过地址转换完成验证、计费等功能,不会影响拨号用户的访问、计费。这样ISP可以为拨号用户分配私有地址,通过地址转换访问Internet,节省下来的公有IP地址可以分配给一些专线用户,以提供更高效的服务。对于性能要求高的ISP出口路由器,华为Quidway NE08/16系列路由器采用分布式结构,运行VRP系统,可以满足这种地址转换的组网需要。
同时,VRP地址转换还提供丰富的协议网关,支持DNS、FTP、H.323、Netmeeting、PPTP、L2TP、ICQ等特殊协议,不会妨碍拨号/专线用户正常访问Internet。ISP依然可以提供自己的DNS服务器,在DNS服务器上将自己的Web、FTP服务器等的域名和IP地址对应,而且IP地址直接使用私有IP地址就可以了,这样ISP的自己用户由于和Web服务器在同一个局域网,不会影响用户访问ISP自己的Web服务器。而在路由器上,VRP的地址转换功能可以将私有地址自动转换成Web服务器的外部地址,因此ISP以外的用户依然可以通过DNS访问ISP的Web服务器。这可以大大提高ISP的组网灵活性,当需要改变网络结构时变得非常容易,甚至改变Web服务器的地址也是非常轻松,直接改变IP地址和DNS上的设置就可以了,不会影响到任何其他问题。
在NAT基础上,VRP提供灵活的“内部服务器”功能,可以精确到端口级别(+微信关注网络世界),企业可以更容易地提供自己的Web服务器、FTP等等,并且不会过多地占用合法IP地址。VRP的地址转换同时支持“负载分担”,在出口路由器上有多个接口同时接入骨干网时,依然可以使用地址转换,在用户比较多的情况下,仍可提供很高的访问Internet的速度。
ISPKeeper是华为专为防止流量攻击开发设计的安全技术,主要采用了Token Bucket及Hash等机制,并沿用了地址转换简易的配置风格,提供丰富的统计信息及日志信息;通过在Internet出口路由器与局域网相连的以太网口上配置ISPKeeper,可很好地抵御黑客对局域网内部进行的DOS及流量攻击。
ISPKeeper技术针对每一个用户、或一个范围用户的总流量进行实时监控,根据管理配置决定是否超出了流量的限定。如针对一个拨号用户,可以认为他的入口流量是不可能超过56kbps的,如果超出这个范围,使用ISPKeeper技术,就立刻可以发现是针对拨号用户的流量攻击,使得攻击流量不可能进入内部局域网中。
ISPKeeper技术有如下显著的优点:可自动识别并记录每一个数据流,当数据流总数达到上限时,根据各数据流的上网时间、流量、业务特点等信息对部分数据流进行老化处理,使正常用户的数据流和黑客攻击的数据流有同等的访问机会,不会淹没在大流量的攻击数据中,因此可以很好地抵御DOS攻击。可自动识别并记录每一个数据流,并在此基础上针对每一数据流实施流量控制,因此可以很好地抵御流量攻击。
华为VRP在安全方面十分关注用户的实际需求,关注网络中的不安全因素,并随技术的发展为用户提供高效、实用的安全解决方案及安全服务。 
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]