高安全性技术白皮书
关键词:安全性、ARP、URPF
摘 要:本篇文档介绍了SR8800产品安全性相关的内容,按接入、路由转发和管理等几方面进行阐述。
缩略语清单:
缩略语 | 英文全名 | 中文解释 |
URPF | Unicast Reverse Path Forwarding | 单播反向路径转发 |
SSH | Secure Shell | 安全外壳 |
|
|
|
目 录
在网络应用越来越广泛的今天,用户对网络的安全性要求越来越高。作为高端路由器,充分考虑了产品的高安全性要求,从接入、路由协议到设备管理多方面多层次设计,有效地满足了用户的要求。
随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类:
非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。
拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
设备攻击:攻击设备的ARP、MAC等重要资源,在短时间内使ARP、MAC等地址空间迅速填满,正常用户无法接入网络。
信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
网络安全一直是INTERNET技术发展的重要研究课题。随着以太网技术的发展,人们越来越意识到以太网技术需要安全的保驾护航。路由技术如何和安全技术融合,提供给企业用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求,SR8800提供一体化的解决思路:包括接入安全、路由转发安全、管理安全等。
端口安全是一种基于MAC地址的安全机制。这种机制通过检测数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。
非法报文包括:
l 禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文;
l 端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文;
l 未通过认证的用户发送的报文。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
目前设备支持两种方式的MAC地址认证:
l 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。
l 本地认证。
认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以下两种方式:
l MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码;
l 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的本地用户名和密码进行认证。
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
l 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
l 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
l 采用MAC地址用户名时,需要配置的本地用户名为各接入用户的MAC地址。
l 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源
802.1x系统为典型的Client/Server结构,如下图所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
l 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
l 设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
l 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
l 802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
l 在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
l 在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。
下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1x认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
l 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
l 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。
用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:
l 强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
l 强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。
l 自动识别模式(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
l 实行双向受控时,禁止帧的发送和接收;
l 实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
Portal在英语中是入口的意思。Portal认证通常也称为WEB认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点(门户网站主页),用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的典型组网方式如下图所示,它由四个基本要素组成:认证客户端、接入设备、Portal服务器和认证/计费服务器。
安装于用户终端的客户端系统,运行HTTP/HTTPS协议的浏览器。
宽带接入设备的统称,主要有两方面的作用:
l 在认证之前,认证网段内用户的所有HTTP请求都被重定向到Portal服务器;在认证通过后,允许用户使用互联网。
l 与Portal服务器、认证/计费服务器交互,完成认证、计费的功能。
接受Portal客户端认证请求的服务端系统,提供免费门户服务和基于WEB认证的界面,与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证和计费。
以上四个基本要素的交互过程为:
(1) 对于一个未认证用户,在IE地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal的WEB认证主页上;
(2) 用户在认证主页中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费;
(4) 如果认证通过,接入设备会打开用户与互联网的通路,允许用户访问互联网。
实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
图4 配置端口隔离组网图
为了使隔离组内端口与隔离组外二层互通,用户必须为隔离组配置上行口。对于同VLAN的Host A、B、C三个用户,相互之间是隔离的,但是都能通过Device的GE3/1/1口访问Internet。
在接口下进行配置,设置的是接口允许通过的最大广播报文流量。当接口上的广播报文超过用户设置的值后,系统将丢弃超出广播流量限制的报文,从而使接口广播流量所占的比例降低到限定的范围,保证网络业务的正常运行。
支持MSTP的设备提供了四种保护功能:
l BPDU保护功能;
l 根保护功能;
l 环路保护功能;
l 防止TC-BPDU报文攻击的保护功能。
对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP的配置消息。如果有人伪造配置消息恶意攻击设备,就会引起网络震荡。
MSTP提供BPDU保护功能来防止这种攻击:设备上启动了BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的端口只能由网络管理人员恢复。
生成树的根桥及备份根桥应该处于同一个域内,特别是对于CIST的根桥和备份根桥,网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内。但是,由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的配置消息,这样当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。
为了防止这种情况发生,MSTP提供根保护功能对根桥进行保护:对于设置了根保护功能的端口,其在所有实例上的端口角色只能保持为指定端口。一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在2倍的Forward Delay时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
依靠不断接收上游设备发送的BPDU报文,设备可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游设备的BPDU报文,此时下游设备会重新选择端口角色,收不到BPDU报文的下游设备端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。
对于配置了环路保护的端口,当接收不到上游设备发送的BPDU报文,环路保护生效时,如果该端口参与了STP计算,则不论其角色如何,该端口上的所有实例将一直被设置为Discarding状态。
设备在接收到TC-BPDU报文(网络拓扑发生变化的通知报文)后,会执行转发地址表项的删除操作。在有人伪造TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的删除操作给设备带来很大负担,给网络的稳定带来很大隐患。
通过在设备上使能防止TC-BPDU报文攻击的保护功能,可以避免频繁地删除转发地址表项。
防止TC-BPDU报文攻击的保护功能使能后,设备在收到TC-BPDU报文后的10秒内,允许收到TC-BPDU报文后立即进行地址表项删除操作的次数最多为stp tc-protection threshold命令设置的次数(假设命令设置的次数为X)。同时系统会监控在该时间段内收到的TC-BPDU报文数是否大于X,如果大于X,则设备在该时间超时后再进行一次地址表项删除操作。这样就可以避免频繁地删除转发地址表项。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
l 设备向目的网段产生大量ARP请求报文,加重目的网段的负载。
l 设备会不断解析目标IP地址,增加了CPU的负担。
为避免这种攻击所带来的危害,设备提供了ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文(当单位时间内的ARP请求报文的流量超过设置的阈值),对于由此IP地址发出的IP报文,在单位时间内设备不允许其触发ARP请求,从而避免了恶意攻击所造成的危害。
在进行IP报文转发过程中,设备需要依靠ARP解析下一跳IP地址的MAC地址。如果地址解析成功,报文可以直接通过硬件转发芯片直接转发出去,而不需要再由软件处理;如果地址解析不成功,需要由软件进行解析处理。这样,如果接收到大量下一跳IP地址循环变化并且该IP地址不可达的IP报文,由于下一跳IP地址解析不成功,软件会试图反复地对下一跳IP地址进行探测,导致CPU负荷过重,就造成了IP报文对设备的攻击。
用户可以通过配置ARP防IP报文攻击功能来预防这种可能存在的攻击情况。在防IP报文攻击功能启用后,一旦接收到下一跳地址不可达的IP报文(即ARP解析失败的IP报文),设备立即产生一个黑洞路由,使硬件转发芯片在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则由硬件进行转发,否则仍然下发黑洞路由。这种方式能够有效的防止异常IP报文的攻击,保护系统。
当设备学习到用户ARP后,如果攻击者模拟用户发送伪造的ARP请求,则用户的ARP表项被篡改,设备就不能再把报文发给用户导致用户业务中断。使能的ARP防欺骗后,对于已经存在的ARP表项,当有ARP报文触发ARP更新时,设备会反向发送单播ARP请求,确认该ARP报文的地址正确性,如果是攻击者是不会做出回应的,则设备不会更新ARP表项,保证设备与用户间的报文转发。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
l 设备向目的网段产生大量ARP请求报文,加重目的网段的负载。
l 设备会不断解析目标IP地址,增加了CPU的负担。
为避免这种攻击所带来的危害,设备提供了ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文(当每5秒内的ARP请求报文的流量超过设置的阈值),对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
所谓授权ARP(Authorized ARP),就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。
授权ARP功能可以检测用户的非正常下线,并且可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
为了保护设备不被网络上的其它用户对端口的攻击,在默认状态下,设备各接入端口上的各协议状态是关闭的,其它设备发送过来的相关协议报文不会被系统处理,这样就不会被攻击。只有当该端口上的相关协议使能后,该协议的端口号才被放开,系统就能正常处理了。
为了避免因某种协议报文攻击导致系统无法处理其它任务而导致系统故障,在设备中进行了两种保护:
(1) 根据协议任务的优先级对协议报文的处理进行了优先级分类,保证高优先级的协议报文优先处理;
(2) 对每个协议报文的系统处理能力进行了限制,某种协议报文的冲击不会影响其它协议报文的正常处理。
当确认某种攻击报文后,可以通过后端维护控制,根据攻击源的MAC,IP或VLAN等信息主动下发防攻击规则,对该攻击流进行隔离,使系统恢复正常。
为了避免路由信息外泄或者对路由器进行恶意攻击,路由器提供报文验证功能。对所有动态协议RIP、OSPF、ISIS、BGP都可以支持明文或MD5认证。
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。
IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表项):
l IP、MAC、IP+MAC
l IP+VLAN、MAC+VLAN、IP+MAC+VLAN
端口所支持绑定表项的种类与设备的型号有关,请以设备的实际情况为准。
该特性提供两种触发绑定的机制:一种是通过手工配置方式提供绑定表项,称为静态绑定;另外一种由DHCP Snooping或者DHCP Relay提供绑定表项,称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
通过URPF技术,如果在Router A上伪造源地址为2.2.2.1/8的报文,向Router B发起请求,Router B将不会响应该请求,只对从Router C上过来的2.2.2.1/8的报文请求做出响应,这样就可以阻止基于源地址欺骗的攻击。
通过流量管理技术,可以对网络流量及其分配的资源实施控制,保证设备提供有效的转发服务和控制。设备支持流分类、流量监管、流量整形、拥塞管理和拥塞避免等技术,最大可以支持64K的规则下发,支持入出双向的ACL控制,可以从容地进行各种流量管理工作。
IPSec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
l 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。
l 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
l 数据来源认证(Data Authentication):IPSec在接收端可以认证发送IPSec报文的发送端是否合法。
l 防重放(Anti-Replay):IPSec接收方可检测并拒绝接收过时或重复的报文。
可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。IKE协商并不是必须的,IPSec所使用的策略和算法等也可以手工协商。
IPSec通过如下两种协议来实现安全服务:
l AH(Authentication Header)是认证头协议,协议号为51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。AH报文头插在标准IP包头后面,保证数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。
l ESP(Encapsulating Security Payload)是报文安全封装协议,协议号为50。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。
AH和ESP可以单独使用,也可以联合使用。设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装,封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
SA是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
SA是单向的,在两个对等体之间的双向通信,最少需要两个SA来分别对两个方向的数据流进行安全保护。同时,如果两个对等体希望同时使用AH和ESP来进行安全通信,则每个对等体都会针对每一种协议来构建一个独立的SA。
SA由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。
SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。在手工配置安全联盟时,需要手工指定SPI的取值。使用IKE协商产生安全联盟时,SPI将随机生成。
SA是具有生存周期的,且只对通过IKE方式建立的SA有效。分为两种类型:
l 基于时间,定义一个SA从建立到失效的时间;
l 基于流量,定义一个SA允许处理的最大流量。
生存周期到达指定的时间或指定的流量,SA就会失效。SA失效前,IKE将为IPSec协商建立新的SA,这样,在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前,继续使用旧的SA保护通信。在新的SA协商好之后,则立即采用新的SA保护通信。
IPSec有如下两种工作模式:
l 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
l 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
(1) 认证算法
认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。IPSec使用两种认证算法:
l MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。
l SHA-1:SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要。
MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。
(2) 加密算法
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。目前设备的IPSec实现三种加密算法:
l DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密。
l 3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。
l AES(Advanced Encryption Standard):使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。
这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。
有如下两种协商方式建立SA:
l 手工方式(manual)配置比较复杂,创建SA所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPSec功能。
l IKE自动协商(isakmp)方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立SA。
安全隧道是建立在本端和对端之间可以互通的一个通道,它由一对或多对SA组成。
NetStream提供报文统计功能,它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、输入接口和输出接口来区分流,并针对不同的流进行独立的数据统计。
NetStream进行数据采集和分析的过程如下:
(1) 配置了NetStream功能的设备把采集到的关于流的详细信息定期发送给NSC(NetStream Collector,网络流数据收集器);
(2) 信息由NSC初步处理后发送给NDA(NetStream Data Analyzer,网络流数据分析器);
(3) NDA对数据进行分析,以用于计费、网络规划等应用。NDA可以通过XLog软件对输出的数据进行分析。
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面允许内部网络用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定主机可以访问因特网。现在,许多防火墙同时还具有一些其它特点,如进行身份鉴别、对信息进行安全(加密)处理等。
防火墙不单用于控制因特网连接,也可以用来在组织网络内部保护大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
目前设备中的防火墙主要指以下三种:
l 包过滤防火墙,即基于ACL(Access Control List,访问控制列表)的包过滤
l 状态防火墙,即ASPF(Application Specific Packet Filter,基于应用层状态的包过滤)
l 地址转换
1. 包过滤概述
包过滤实现了对IP数据包的过滤。对设备需要转发的数据包,先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理。
2. 对分片报文过滤的支持
目前的包过滤提供了对分片报文检测
