日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

關(guān)于IPv6安全網(wǎng)絡(luò)的架構(gòu)分析( 二 )

云知道







;IPSec安全隧道實現(xiàn)VPN
【關(guān)于IPv6安全網(wǎng)絡(luò)的架構(gòu)分析】 如圖4所示,在路由器之間建立IPSec安全隧道,構(gòu)成安全的VPN,是最常用的安全網(wǎng)絡(luò)組建方式 。作為IPSec網(wǎng)關(guān)的路由器實際上就是IPSec隧道的終點和起點 。為了滿足轉(zhuǎn)發(fā)性能的要求,需要專用的加密板卡 。

隧道嵌套提供多重安全保護
如圖5所示,通過隧道嵌套的方式可以獲得多重的安全保護 。
配置了IPSec的主機HostC通過安全隧道接入到配置了IPSec網(wǎng)關(guān)的路由器ZXR10T128A 。該路由器作為外部隧道的終結(jié)點將外部隧道封裝剝除,這時嵌套的內(nèi)部安全隧道構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離 。ZXR10 GAR B作為內(nèi)部隧道的終結(jié)點,使得Host C最終接入到部門服務(wù)器Host D中 。

確保高性能轉(zhuǎn)發(fā)的安全加密硬件
大量使用IPSec在提高網(wǎng)絡(luò)安全的同時,不可避免地導(dǎo)致路由器轉(zhuǎn)發(fā)性能和處理性能的劣化 。
為了消除這些影響,通常使用ASIC(專用集成電路)實現(xiàn)加密處理,或者通過網(wǎng)絡(luò)處理器來實現(xiàn)加密處理和轉(zhuǎn)發(fā) 。以中興通訊的高端路由器為例,對報文的加密和轉(zhuǎn)發(fā)使用專門的網(wǎng)絡(luò)數(shù)據(jù)加密接口板,該板由安全處理器和CPLD(可編程邏輯器件)構(gòu)成主要處理單元 。其中,安全處理器完成所要求的IPSec功能,包括對數(shù)據(jù)進行加/解密、認證、數(shù)字簽名等;支持DES(數(shù)據(jù)加密標(biāo)準)、3DES、AES(先進加密標(biāo)準)等通用加密算法;支持MD5 (MessageDigestAlgorithm5)、SHA(Secure Hash Algorithm)等散列算法;支持RSA(Rivest Shamir Adleman)簽名 。性能達到IPSec加密速度(以3DES MD5/SHA1計)不低于200Mbit/s,簽名速度不低于60次/s 。
其他安全措施
IPSec提供了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性的保證,但是,網(wǎng)絡(luò)受到的安全威脅是來自多層面的,包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等各個部分 。
通常,物理層的威脅來自于設(shè)備的不可靠性,諸如板卡的損壞、物理接口的電器特性和電磁兼容環(huán)境的劣化等 。對這樣的安全隱患,可以通過配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強安全治理來防護 。
在物理層以上層面,存在的安全隱患主要有來自于針對各種協(xié)議的安全威脅,以及意在非法占用網(wǎng)絡(luò)資源或者耗盡網(wǎng)絡(luò)資源的安全隱患,諸如雙802.1Q封裝攻擊、廣播包攻擊、MAC洪泛、生成樹攻擊等二層攻擊,以及虛假的ICMP報文、ICMP洪泛、源地址欺騙、路由振蕩等針對三層協(xié)議的攻擊 。
在應(yīng)用層,主要有針對HTTP、FTP/TFTP、TELNET以及通過電子郵件傳播病毒的攻擊 。對于這些攻擊,可以采用的防護手段包括:通過AAA、 TACACS 、RADIUS等安全訪問控制協(xié)議,控制用戶對網(wǎng)絡(luò)的訪問權(quán)限,防患針對應(yīng)用層的攻擊;通過MAC地址和IP地址綁定、限制每端口的MAC 地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來防范針對二層的攻擊;通過路由過濾、對路由信息的加密和認證、定向組播控制、提高路由收斂速度以減輕路由振蕩影響等措施,來加強三層網(wǎng)絡(luò)的安全性 。
綜上所述,安全的網(wǎng)絡(luò)是眾多安全技術(shù)的綜合,而IPv6IPSec機制是其中重要的組成部分,提供了協(xié)議層面上的一致性解決方案,這也是IPv6相比IPv4的重大優(yōu)越性 。
同時,為了構(gòu)建安全網(wǎng)絡(luò),還應(yīng)該采取其他安全措施 。(1)結(jié)合AAA認證、NAT-PT、二/三層MPLSVPN、基于ACL標(biāo)準的訪問列表和靜態(tài)擴展訪問列表、防分片包攻擊等來實現(xiàn)安全預(yù)防 。(2)通過路由過濾、靜態(tài)路由、策略路由和路由負荷分擔(dān)來實現(xiàn)安全路由 。(3)通過SSHv2 (SecureShell第2版)、SNMPV3(簡單網(wǎng)絡(luò)治理協(xié)議第3版)、EXC,提供進程訪問安全、線路訪問安全 。(4)通過分級治理、定制特權(quán)級治理等手段來實現(xiàn)網(wǎng)絡(luò)的安全治理 。(5)通過完善的告警、日志和審計功能實現(xiàn)網(wǎng)絡(luò)時鐘的安全 。(6)提供訪問列表和要害事件的日志、路由協(xié)議事件和錯誤記錄等,供網(wǎng)絡(luò)治理人員進行故障分析、定位和統(tǒng)計 。

推薦閱讀