艾泰科技网络安全白皮书.doc

网 络 安 全技 术 白 皮 书上海艾泰科技有限公司2004年3月摘要 本文将介绍艾泰科技自主研发的系列HIPER路由器所采用的安全技术，其中包括VPN技术、加密技术、密钥交换和管理技术、访问控制列表技术、网络地址转换技术，身份认证技术，安全策略分析和管理技术，同时也将涉及到整个网络安全领域和HIPER路由器安全方面的发展方向，同时结合HIPER VPN路由器的性能特点，给出相关应用中的网络安全解决方案关键词 VPN，网络安全，IPSec，IKE目录一、概述 4二、路由器安全特性的设计 61．可靠性 62．身份认证 63．访问控制 74．网络地址转换 75．数据加密 86．密钥管理 87．入侵检测及防范 88．策略管理 8三、HIPER系列VPN路由器的安全技术 91．备份技术 92．CallBack技术 93．包过滤技术 104．网络地址转换 115. 抗打击能力强 116．流量管理与保护 127．VPN技术 128．密钥交换技术 159．安全管理 1610．其他安全技术和措施 16四、HIPER系列VPN路由器的安全解决方案 171．和Internet的安全互联 172．通过Internet构建VPN 18五、HIPER系列VPN路由器安全特性支持的标准 20七、结论 21八、附件： 22HiPER 2231CS 22一、概述随着网络在规模上、功能上迅速发展，它逐渐深入到我们的生活中，扮演着越来越重要的角色，通过网络进行的经济、文化、工作和个人交流等活动也与日俱增，随之而来的网络安全问题也逐步受到人们的重视，当前Internet中存在着各种类型的网络攻击方式：l 窃听报文攻击者使用网络报文获取工具，从网络传输的数据流中复制数据，并从这些数据中获取一些诸如用户名/口令等敏感信息。

通过网络尤其是Internet来传输数据，不仅需要跨越不同的地理位置，而且存在时间上的延迟，在这种情况下，要避免数据不被窃听几乎是不可能的l 篡改报文攻击者采取与窃听报文类似的手段，但不是简单地复制报文，而是截获报文，而后不仅可以从这些报文数据中获得一些敏感信息，而且可以任意更改报文中的数据并继续发送给原目的地，这样就能造成比窃听报文类型攻击更大的危害同样，这也是由于网络数据传输在地理和时间上的不可控性造成的l IP地址伪装攻击者通过改变自己的IP地址来伪装成内部网用户或可信的外部网用户，以合法用户身份登录那些只以IP地址作为验证的主机；或者发送特定的报文以干扰正常的网络数据传输；或者伪造可接收的路由报文（如发送ICMP报文）来更改路由信息，来非法窃取信息l 源路由攻击攻击者通过IP报文中Option域来指定该报文的路由，从而使报文有可能经过一些受到保护的网络l 端口扫描利用一些端口扫描工具来探测系统正在侦听的端口，来发现该系统的漏洞；或者是事先知道某个系统存在漏洞，而后通过查询特定的端口，来确定是否存在漏洞最后利用这些漏洞来对系统进行攻击，导致系统的瘫痪l Dos类型攻击Dos（Denial of service，拒绝服务攻击）攻击是通过发送大量报文导致网络资源和带宽被消耗，从而达到阻止合法用户对资源的访问。

另外一种DDos是它的扩展类型，即分布式拒绝服务攻击（Disturbuted Denial of service），许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失l 应用层攻击有多种形式，包括大部分的计算机病毒，利用已知应用软件的漏洞，“特洛依木马”等另外，网络本身的可靠性和线路的安全性也对网络安全起着重要的影响随着网络应用的逐渐普及，尤其是在一些敏感场合（如电子商务），网络安全成为日益迫切的需求按物理位置来分，网络安全可分为两个部分，一是内部局域网的安全，二是和外部网络进行数据交换时的安全路由器作为内部网络和外部网络之间的关键通信设备，应该提供充分的安全功能，HiPER系列路由器实现了多种网络安全机制，为网络数据传输提供了安全的通信保证 二、路由器安全特性的设计为了尽力避免网络中各种安全隐患的出现，降低网络受到攻击的可能性，有效地提高网络通信的可靠性，路由器在安全方面必须具备如下特性：Ø 可靠性Ø 身份认证Ø 访问控制Ø 网络地址转换Ø 数据加密Ø 密钥的管理和交换Ø 入侵检测及防范Ø 策略管理1．可靠性可靠性要求主要是针对故障恢复能力提出来的，对于路由器而言，可靠性主要体现在路由器故障、接口故障和网络流量增大的情况下，为此，备份是路由器中不可缺少的功能。

当路由器的一个接口发生故障时，备份接口自动接替工作，保持网络传输的畅通当网络流量增大时，备份接口又可起到平均负载的作用2．身份认证 路由器的身份认证功能主要包括以下几个功能：a) 访问路由器时的身份认证访问路由器存在多种方式：直接从配置口登录进行配置；telnet登录配置；浏览器登录进行配置；通过SNMP进行配置等这些方式的登录，都需要进行相应的身份验证b) 对端路由器（或网络设备）的认证对端路由器不仅指物理上直接相连的路由器，而且包括端对端相连以及虚拟的点对点相连的路由器，在本端路由器和对端路由器需要通信时，都会进行相应的身份认证c) 路由信息的身份认证路由器是根据路由信息来发送报文的，路由信息对于路由器来说是至关重要的，而路由信息恰恰又是通过网络在不同的路由器间转发的若收到虚假的路由信息，有可能使得路由器将数据报文发往不正确的目的地，这些数据报文可能会造成网络通信的中断所以，在接受任何路由信息之前，有必要对该信息的发送方进行认证，以确保收到的路由信息是合法的3．访问控制 访问控制可分为以下几个情况：a) 对于路由器的访问控制对路由器的访问权限需要进行口令的保护只有持有相应口令的特权用户才能对路由器进行配置，一般用户只有查看普通信息的权利。

b) 基于IP地址的访问控制通常情况下，各种用户是通过IP地址来区分的，不同的用户有不同的权限通过IP包过滤可以实现基于IP地址的访问控制，来实现对网络中重要资源的保护c) 基于用户的访问控制路由器也可以提供接入服务功能，对于以接入方式登录的用户来说，可以通过设置用户的属性，来指定不同用户的不同访问权限，从而实现对接入用户访问的控制 4．网络地址转换通过网络进行数据交换时，不一定必须用真实的网络地址，可以通过网关设备（路由器）进行网络地址转换，可以隐藏内部局域网地址，只通过公共地址来访问外部网络；可以屏蔽内部网络的非法地址；可以限制和管理外部网络对内部局域网的访问等功能，有效地保护了内部网络的安全，同时也起到了对内、外网络数据交换的管理作用 5．数据加密在Internet上传输数据时，是无法保证数据被窃听和篡改的，为了避免因为数据被窃听而导致敏感信息的泄漏，有必要对在Internet上传输的数据进行加密处理，只有与之通信的另一端才能够解开通过作为网关的路由器对发往Internet的数据作加密处理，确保了数据的机密性和完整性这一点，对于通过Internet构建VPN也起到了保护数据传输安全的作用。

6．密钥管理为了配合数据加密的要求，就必须有严格、安全的密钥管理体系，负责密钥的生成、分配和有效期管理密钥是一个加/解密系统的核心，如果不能确保密钥的安全，那么通过加密来对传输数据进行保护则形如虚设 7．入侵检测及防范路由器是连接内部网络和外部网络的接口设备，所有内外网络的交换数据都要经过它的处理，通常攻击者的第一个目标就是路由器，如果路由器提供了入侵检测和防范功能，则可以有效地记录攻击者的攻击信息并提供相应的解决措施，可以成功地抵御一部分攻击 8．策略管理在已经发生攻击事件中，大多数是由于人为因素造成的漏洞而导致的，所以路由器在提供各种安全功能的同时，还需要提供一个良好的策略构建平台以及相应的策略管理机制，使得用户较为容易地构建一系列没有漏洞的安全策略，进一步提高路由器对传输数据的安全保护质量三、HIPER系列VPN路由器的安全技术HIPER系列VPN路由器提供了全面的网络安全解决方案，采用了以下安全技术：Ø MAC地址过滤Ø 封包检验Ø 网络隔离Ø 包过滤技术Ø 端口重新定向Ø 网络地址转换Ø 抗打击能力强Ø 流量管理与保护Ø VPN技术Ø 密钥交换技术Ø 安全管理Ø 其他安全技术与措施1．备份技术HiPER系列VPN路由器实现了较为完善的备份功能，其特点如下：a) 可以为路由器的接口提供备份接口，当主接口发生故障时，备份接口会自动接替，保证数据的传输不会受到较大的影响。

b) 主接口和备份接口之间可以进行负载的分担c) 路由的备份技术，当一条路由失效时，路由器会自动通过另外一条备份路由和对端进行通信，保证了数据传输的畅通2．CallBack技术CallBack技术即回呼技术，最初由Client方发起呼叫，要求Server方向本端回呼，而Server接受呼叫，并决定是否向Client方发起回呼利用CallBack技术可增强安全性，回呼处理中，Server方根据本地配置的呼叫号码呼叫Client方，从而避免因用户名、口令失密而导致的不安全性此外，Server方还可根据本地配置，对呼入请求进行分类，即拒绝呼叫、接收呼叫（不回呼）和接收呼叫（回呼），从而对不同的Client方实施不同的限制，同时Server方在外部呼入时可以实现资源访问的主动性另外，CallBack还具有以下优点：a) 节省话费（当通话的两个方向上的费用不同时）b) 改变话费承担方3．包过滤技术IP报文中的IP报头及所承载的上层协议（如TCP/UDP）报头中包含了各种信息，根据这些信息，路由器可以把这些包进行分类处理，包过滤通常利用IP报文中的以下属性：Ø IP的源、目的地址及协议域；Ø TCP/UDP的源、目的端口；Ø ICMP的类型；Ø IGMP的类型Ø TCP的标志域（ACK和RST）可以由这些域的不同组合形成不同的规则，例如，要禁止从192.168.20.69到192.168.20.121的HTTP连接，可以创建这样的规则： IP的源地址 ＝ 192.168.20.69 IP的目的地址 ＝ 192.168.20.121 IP的协议域 ＝ 6（TCP） 目的端口 ＝ 80（HTTP）把这条规则应用于接口上，便可以到达所要的目的了。

HiPER系列VPN路由器提供了完备的包过滤，还可以在上述规则中添加对时间段的判断，设置该条规则的生效时间，在对时间段可以进行绝对时间段和周期时间段的设置这样，可以为应用上提供极大的灵活性，同时和其他功能（如地址转换和IPSec等）的配合使用将会大幅度地提高路由器的可管理性 4．网络地址转换网络地址转换，用来实现内部网络私有地址和外部网络公共地址的相互转换，它的优点在于避免了内部非法地址和外部公共地址间的冲突，屏蔽了内部网络的实际地址，隐藏了内部网络的结构，增强了对外部网络访问的可控性，也增强了外部网络对内部网络访问的可控性HiPER系列VPN路由器的网络地址转换可以将所有报文的源地址都转换为路由器上一个接口的地址；也可以支持带访问列表的地址转换，用来限。