网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。目前,通过调制解调器或专用线路连接互联网用户的方式正逐渐被虚拟专用网(VPN)所代替,VPN使用户可以通过互联网安全通信 。北电网络提供的contivity解决方案不仅可以使客户建立各种类型的VPN,而且还可以把这些VPN集成到未来的融合话音和数据的网络中 。在北电网络看来,明天的VPN将发展成为高速、安全的网络,将在公共互联网上安全融合所有业务,包括数据、话音和视频 。
IPSec VPN是保证重要信息在公共互联网上传输时不会被泄露的最好选择 。IPSec有效地保证了数据的私密性、完整性、鉴权和可查性 。IPSec 分两种工作模式:隧道模式、传输模式 。当许多主机通过IPSec VPN网关建立隧道安全通信时,则采用隧道模式 。北电网络已解决了在IPSec隧道上实现安全路由的问题,为IPSec VPN 的普及打下了坚实的基础 。
安全路由技术
所谓的安全路由技术即如何在IPSec VPN隧道上实现动态路由选择技术 。
1.安全路由技术的实现
要在IPSec隧道上实现动态路由技术,必需找到两个通信端点的SA(SecurityAssociation,如果该SA不存在,则启动IKE(Internet KeyExchange 来为该通信端点建立SA 。一旦该SA建立,就只允许这两个通信端点相互交流,其余数据均被禁止(除非通过IKE建立新的SA) 。
假设IPSec VPN隧道已建立,并且由IKE为动态路由协议(OSPF,RIP,Etc. 建立了允许动态路由协议包通过的SA,VPN两端的路由信息通过该SA互相学取,建立了动态路由表,那么当两端的用户根据该路由信息通信时,又需要通过IKE为各自通信的端点重新建立SA,而如果网络状态有变导致某网段消失,则又需要通过IKE删除相关的SA,工作过程非常复杂,开销太大,不能接受,并且目前IPSec规范中没有该标准 。有的厂家为了解决该问题,只好把数据额外封装到GRE(General RoutingEncapsulation 隧道上 。由于数据封装次数太多,导致数据开销过大,因此没有被市场接受 。
可见要实现安全路由技术,关键在于建立一种特定的SA 。北电网络的contivity已实现了安全路由选择(SRT。
北电网络的contivity操作组件具有以下优势
安全路由选择
SRT支持IPSec隧道上的动态路由 。contivity符合IPSec标准,能够将虚拟IP接口映射到IPSec隧道 。当通过隧道传输IP业务时,contivity的动态路径避免了额外的状态处理和数据包开销(每个数据包多达24 B) 。
(2)安全接入
所有与contivity的连接或通过contivity的连接,不管是隧道化或非隧道化连接,都可被安全化 。用户、用户组和远端站点均拥有唯一的一个过滤配置文件 。配置文件被存储在一个LDAP数据库中,以便在单一设备或多个contivity设备中实现公共策略设置 。contivity通过多种技术支持鉴权功能,这些技术包括RADIUS、数字证书、智能卡和令牌卡等 。
(3)安全策略
SRT允许每个用户、用户组或分支办公室分别使用各自的安全性配置文件设置 。该配置文件保存个人信息,不管他是在家中还是在办公室,而且,不管是运行在隧道化还是非隧道化连接上,都以同样的方式应用鉴权和接入权限 。
(4)安全管理
contivity的设计中没有“后门” 。通过安全加密隧道进行配置是contivity因特网(或公共)接口支持的唯一模式,在该接口中内置了拒绝服务(DoS)保护 。contivity还记录所有的安全性/鉴权事务处理和事件,它们可存储在contivity的本地硬盘驱动器中或存储在设备以外的介质中,依赖于企业的安全性实践 。
【北电网络安全路由技术处理方案】
推荐阅读
- 小结 设置访问控制下文
- IPv4向IPv6的过渡策略
- 内网计算机安全技术10大策略
- HiPER路由网关网络管理与监控技巧
- HSRP的工作原理
- 详解超过255台电脑的内网IP规划
- 识别真假双绞线与接插件
- A网络层访问权限控制技术-ACL详解
- CCNA课程精彩回放之访问控制下文