2022年艾泰科技网络安全白皮书 .pdf
《2022年艾泰科技网络安全白皮书 .pdf》由会员分享,可在线阅读,更多相关《2022年艾泰科技网络安全白皮书 .pdf(28页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、艾泰科技有限公司? 版权所有1999-2004 http:/1 网 络 安 全技 术 白 皮 书上海艾泰科技有限公司2004 年 3 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/2 摘要本文将介绍艾泰科技自主研发的系列HIPER 路由器所采用的安全技术,其中包括VPN技术、加密技术、密钥交换和管理技术、访问控制列表技术、网络地址转换技
2、术,身份认证技术, 安全策略分析和管理技术,同时也将涉及到整个网络安全领域和HIPER路由器安全方面的发展方向,同时结合HIPER VPN 路由器的性能特点,给出相关应用中的网络安全解决方案。关键词VPN ,网络安全,IPSec,IKE 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/3 目录一、概述 . 4 二、路由器安全特性的设计. 6
3、 1可靠性 . 6 2身份认证 . 6 3访问控制 . 7 4网络地址转换 . 7 5数据加密 . 8 6密钥管理 . 8 7入侵检测及防范. 8 8策略管理 . 8 三、 HIPER系列 VPN路由器的安全技术. 9 1备份技术 . 9 2CallBack 技术 . 9 3包过滤技术. 10 4网络地址转换 .11 5. 抗打击能力强 .11 6流量管理与保护. 12 7VPN 技术 . 12 8密钥交换技术 . 15 9安全管理 . 16 10其他安全技术和措施 . 16 四、 HIPER系列 VPN路由器的安全解决方案. 17 1和 Internet 的安全互联 . 17 2通过 Int
4、ernet 构建 VPN . 18 五、 HIPER 系列 VPN 路由器安全特性支持的标准. 20 七、结论 . 21 八、附件: . 22 HiPER 2231CS. 22 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/4 一、概述随着网络在规模上、功能上迅速发展,它逐渐深入到我们的生活中,扮演着越来越重要的角色, 通过网络进行的经济
5、、文化、 工作和个人交流等活动也与日俱增,随之而来的网络安全问题也逐步受到人们的重视,当前Internet中存在着各种类型的网络攻击方式:窃听报文攻击者使用网络报文获取工具,从网络传输的数据流中复制数据,并从这些数据中获取一些诸如用户名/ 口令等敏感信息。通过网络尤其是Internet来传输数据, 不仅需要跨越不同的地理位置,而且存在时间上的延迟,在这种情况下,要避免数据不被窃听几乎是不可能的。篡改报文攻击者采取与窃听报文类似的手段,但不是简单地复制报文,而是截获报文,而后不仅可以从这些报文数据中获得一些敏感信息,而且可以任意更改报文中的数据并继续发送给原目的地,这样就能造成比窃听报文类型攻击
6、更大的危害。同样,这也是由于网络数据传输在地理和时间上的不可控性造成的。IP 地址伪装攻击者通过改变自己的IP 地址来伪装成内部网用户或可信的外部网用户,以合法用户身份登录那些只以IP 地址作为验证的主机;或者发送特定的报文以干扰正常的网络数据传输;或者伪造可接收的路由报文(如发送ICMP报文)来更改路由信息,来非法窃取信息。源路由攻击攻击者通过IP 报文中 Option 域来指定该报文的路由,从而使报文有可能经过一些受到保护的网络。端口扫描利用一些端口扫描工具来探测系统正在侦听的端口,来发现该系统的漏洞;或者是事先知道某个系统存在漏洞,而后通过查询特定的端口,来确定是否存在漏洞。最后利用这些
7、漏洞来对系统进行攻击,导致系统的瘫痪。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/5 Dos 类型攻击Dos(Denial of service,拒绝服务攻击)攻击是通过发送大量报文导致网络资源和带宽被消耗,从而达到阻止合法用户对资源的访问。另外一种 DDos是它的扩展类型,即分布式拒绝服务攻击(Disturbuted Denial o
8、f service) ,许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失。应用层攻击有多种形式,包括大部分的计算机病毒,利用已知应用软件的漏洞,“特洛依木马”等。另外,网络本身的可靠性和线路的安全性也对网络安全起着重要的影响。随着网络应用的逐渐普及,尤其是在一些敏感场合(如电子商务),网络安全成为日益迫切的需求。按物理位置来分,网络安全可分为两个部分,一是内部局域网的安全,二是和外部网络进行数据交换时的安全。路由器作为内部网络和外部网络之间的关键通信设备,应该提供充分的安全功能,HiPER 系列路由器实现了多种网络安全机制,为网络数据传输提供了安全的通信保证。名师资料总结 - - -精
9、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/6 二、路由器安全特性的设计为了尽力避免网络中各种安全隐患的出现,降低网络受到攻击的可能性,有效地提高网络通信的可靠性,路由器在安全方面必须具备如下特性:可靠性身份认证访问控制网络地址转换数据加密密钥的管理和交换入侵检测及防范策略管理1可靠性可靠性要求主要是针对故障恢复能力提出来的,对于路由器而言,可靠性主要体现在路由
10、器故障、 接口故障和网络流量增大的情况下,为此,备份是路由器中不可缺少的功能。当路由器的一个接口发生故障时,备份接口自动接替工作,保持网络传输的畅通。当网络流量增大时,备份接口又可起到平均负载的作用。2身份认证路由器的身份认证功能主要包括以下几个功能:a)访问路由器时的身份认证访问路由器存在多种方式:直接从配置口登录进行配置;telnet登录配置;浏览器登录进行配置;通过SNMP 进行配置等。这些方式的登录,都需要进行相应的身份验证。b)对端路由器(或网络设备)的认证对端路由器不仅指物理上直接相连的路由器,而且包括端对端相连以及虚名师资料总结 - - -精品资料欢迎下载 - - - - - -
11、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/7 拟的点对点相连的路由器,在本端路由器和对端路由器需要通信时,都会进行相应的身份认证。c)路由信息的身份认证路由器是根据路由信息来发送报文的,路由信息对于路由器来说是至关重要的,而路由信息恰恰又是通过网络在不同的路由器间转发的。若收到虚假的路由信息, 有可能使得路由器将数据报文发往不正确的目的地,这些数据报文可能会造成网络通信的中断。所以, 在接受任何路
12、由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。3访问控制访问控制可分为以下几个情况:a)对于路由器的访问控制对路由器的访问权限需要进行口令的保护。只有持有相应口令的特权用户才能对路由器进行配置,一般用户只有查看普通信息的权利。b)基于 IP 地址的访问控制通常情况下,各种用户是通过IP 地址来区分的,不同的用户有不同的权限。通过 IP 包过滤可以实现基于IP 地址的访问控制,来实现对网络中重要资源的保护。c)基于用户的访问控制路由器也可以提供接入服务功能,对于以接入方式登录的用户来说,可以通过设置用户的属性,来指定不同用户的不同访问权限,从而实现对接入用户访问的控制
13、。4网络地址转换通过网络进行数据交换时,不一定必须用真实的网络地址,可以通过网关设备(路由器)进行网络地址转换,可以隐藏内部局域网地址,只通过公共地址来访问外部网络;可以屏蔽内部网络的非法地址;可以限制和管理外部网络对内部局域网的访问等功能,有效地保护了内部网络的安全,同时也起到了对内、外网络数据交换的管理作用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2
14、004 http:/8 5数据加密在 Internet上传输数据时,是无法保证数据被窃听和篡改的,为了避免因为数据被窃听而导致敏感信息的泄漏,有必要对在Internet上传输的数据进行加密处理,只有与之通信的另一端才能够解开。通过作为网关的路由器对发往Internet的数据作加密处理,确保了数据的机密性和完整性。这一点,对于通过Internet构建 VPN也起到了保护数据传输安全的作用。6密钥管理为了配合数据加密的要求,就必须有严格、 安全的密钥管理体系,负责密钥的生成、分配和有效期管理。密钥是一个加/ 解密系统的核心,如果不能确保密钥的安全,那么通过加密来对传输数据进行保护则形如虚设。7入侵
15、检测及防范路由器是连接内部网络和外部网络的接口设备,所有内外网络的交换数据都要经过它的处理, 通常攻击者的第一个目标就是路由器,如果路由器提供了入侵检测和防范功能,则可以有效地记录攻击者的攻击信息并提供相应的解决措施,可以成功地抵御一部分攻击。8策略管理在已经发生攻击事件中,大多数是由于人为因素造成的漏洞而导致的,所以路由器在提供各种安全功能的同时,还需要提供一个良好的策略构建平台以及相应的策略管理机制,使得用户较为容易地构建一系列没有漏洞的安全策略,进一步提高路由器对传输数据的安全保护质量。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -
16、- - - 名师精心整理 - - - - - - - 第 8 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/9 三、 HIPER系列 VPN路由器的安全技术HIPER系列 VPN路由器提供了全面的网络安全解决方案,采用了以下安全技术:MAC 地址过滤封包检验网络隔离包过滤技术端口重新定向网络地址转换抗打击能力强流量管理与保护VPN技术密钥交换技术安全管理其他安全技术与措施1备份技术HiPER系列 VPN路由器实现了较为完善的备份功能,其特点如下:a)可以为路由器的接口提供备份接口,当主接口发生故障时
17、,备份接口会自动接替,保证数据的传输不会受到较大的影响。b)主接口和备份接口之间可以进行负载的分担。c)路由的备份技术,当一条路由失效时,路由器会自动通过另外一条备份路由和对端进行通信,保证了数据传输的畅通。2CallBack技术CallBack技术即回呼技术,最初由Client方发起呼叫,要求Server 方向本端回呼,而Server 接受呼叫,并决定是否向Client方发起回呼。利用 CallBack技术可增强安全性,回呼处理中, Server 方根据本地配置的呼叫名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理
18、 - - - - - - - 第 9 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/10 号码呼叫Client方,从而避免因用户名、 口令失密而导致的不安全性。此外,Server方还可根据本地配置,对呼入请求进行分类,即拒绝呼叫、接收呼叫(不回呼)和接收呼叫 (回呼),从而对不同的Client方实施不同的限制,同时 Server 方在外部呼入时可以实现资源访问的主动性。另外, CallBack还具有以下优点:a)节省话费(当通话的两个方向上的费用不同时)b)改变话费承担方3包过滤技术IP 报文中的I
19、P 报头及所承载的上层协议(如 TCP/UDP )报头中包含了各种信息,根据这些信息, 路由器可以把这些包进行分类处理,包过滤通常利用IP 报文中的以下属性:IP 的源、目的地址及协议域;TCP/UDP的源、目的端口;ICMP的类型;IGMP的类型TCP的标志域( ACK和 RST )可以由这些域的不同组合形成不同的规则,例如,要禁止从192.168.20.69到192.168.20.121的 HTTP连接,可以创建这样的规则:IP 的源地址 192.168.20.69 IP 的目的地址 192.168.20.121 IP 的协议域 6 (TCP )目的端口 80 (HTTP )把这条规则应用
20、于接口上,便可以到达所要的目的了。HiPER系列 VPN路由器提供了完备的包过滤,还可以在上述规则中添加对时间段的判断,设置该条规则的生效时间,在对时间段可以进行绝对时间段和周期时间段的设置。这样,可以为应用上提供极大的灵活性,同时和其他功能(如地址转换和IPSec 等)的配合使用将会大幅度地提高路由器的可管理性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999
21、-2004 http:/11 4网络地址转换网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。HiPER系列 VPN路由器的网络地址转换可以将所有报文的源地址都转换为路由器上一个接口的地址;也可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法IP 地址资源; 利用网络地址转换,可以在屏蔽内
22、部地址的同时,确保了对外的各种网络服务的安全性。5. 抗打击能力强路由器的持续稳定运行是重要的,但是随着网络技术的发展,网络上不断涌现出的各种病毒、黑客软件和发包器等,对路由器的稳定运行造成了巨大的挑战。从早期的”红色代码”,尼姆达”一直到最近发生的”冲击波”病毒,使得网络安全越来越受到重视。HiPER系列 VPN路由器从三个方面着手,最大限度的解决这个问题:首先,要解决病毒的问题,就得提高自身的处理能力。HiPER 系列 VPN路由器采用了高速低能耗NPU,其最大连接速居然可以达到2000 个左右,这不仅解决了企业多用户高负载情况下设备的正常应用,而且也是路由器可以经受一定规模的病毒攻击。其
23、次, HiPER系列 VPN路由器通过特殊的NAT 命令控制,以及灵活的访问列表控制,能够最大程度的保证路由器的稳定运行,保护内网用户不受病毒问题的干扰。我们还提出了自己的防止网吧用户或外来用户的DoS 攻击, DDOS 攻击的算法,该算法已经申请专利保护。最后,由于企业使用的用户复杂,因此,PC 很容易感染病毒,或者被一些木马之类的黒客程序控制,容易出现对其他机器的攻击行为,而这些攻击行为往往影响了其他 PC 的使用。为了在大量的机器里,快速地寻找出有问题的PC,同时也可以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精
24、心整理 - - - - - - - 第 11 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-2004 http:/12 历史地记录企业用户的使用行为,HiPER 系列 VPN路由器设计了对网络的监控的软件,可以对MAC 、IP、NAT 等多个层面进行联动监控, 及时发现潜在的问题,而且易于使用,使网管人员可以快速有效的检查到局域网中发包异常的用户,进行病毒的查杀。6流量管理与保护HiPER系列 VPN路由器具有专利技术的流量管理与保护功能。可以根据 IP 地址以及应用为网络里面的用户分配带宽,保障优先的业务拥有优先的带宽
25、使用权,避免网络拥塞、带宽抖动的现象产生。7VPN技术VPN (Virtual Private Network)即虚拟私有网,是近年来随着Internet发展而发展的一种网络构架。许多现代企业都利用Internet资源来开展各项售前和售后服务、培训、合作等活动,而这些跨地域、灵活性大的功能都是当前各企业内部局名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 28 页 - - - - - - - - - 艾泰科技,助您轻松连接世界!艾泰科技有限公司? 版权所有1999-20
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年艾泰科技网络安全白皮书 2022 年艾泰 科技 网络安全 白皮书
限制150内