《南京ccie培训mplsvpn的网络安全》由会员分享,可在线阅读,更多相关《南京ccie培训mplsvpn的网络安全(3页珍藏版)》请在金锄头文库上搜索。
1、 江苏万和计算机培训中心地址:南京市中山北路 26号新晨国际大厦 24层(地铁鼓楼站 4A出口)官方网站:http:/南京 CCIE 培训 MPLS VPN 的网络安全随着网络的迅速发展,尤其是 Internet 互联网的急剧膨胀,使得人们在受益的同时受到越来越大的威胁。这便是无所不在的网络安全隐患。当企业还沉浸在享受新技术、新成果所带来的幸福之中时,某些幽灵或许正躲在 世界的另一个角落,尝试着对企业漏洞百出的网络进行一次又一次的攻击,一旦他们侥幸得手,留给我们的恐怕只有惊慌失措和束手无策。他们一般被人称之为黑客。为了避免以上悲剧的发生,我们必须防范于未然,尽可能采取一切措施,保证网络的安全。
2、网络安全首先是一种策略,而不是一项技术。策略的实施是一项长期、不间断的过程,安全策略的实现、监控、测试、改进四部分是不可或缺,并且不断循环的,正如右面图中所示。在网络安全的实施过程当中,涉及到多种产品和设备,业界各大产商对于网络安全的重要性有着一致的认识,但是可能有着不同的侧重面。我们凭借在系统集成领域长期的工作实践,积累了大量的相关经验,这同时也有助于我们提供给用户一套非常完整的网络解决方案。以下是我们提供给企业级用户的一套完整的网络安全解决方案:网络安全隐患来自于方方面面,主要可以分为内部和外部两种。与 Internet 相连的企业网络,可能遭受来自于互联网上任何一台 PC 机的恶意攻击和
3、破坏;在企业内部,也不排除存在对于企业心怀不满的员工或者是潜伏在企业内部的商业间谍,他们也极大的威胁着网络的安全。一旦攻击得逞,企业所受的损失将是不可估量的。我们充分考虑到来自于网络方方面面的威胁,试图给出一套完整的解决方案。首先,由于企业网络与 Internet 存在物理连接,故在 Internet 入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙,拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟,各大厂商都有自己的产品,而不同的产品也是各有所长。大致上来说,防火墙一般可分为两类。一类是纯软件,运行在多网卡的 UNIX 主机上。这样比较便于实现,使用比较灵活,但是
4、由于 Unix 操作系统本身存在一定的安全隐患,其安全性也大打折扣。此类产品当中比较有名的,如:CA 公司的 CheckPoint 防火墙系列。另一类产品则是一套软硬件结合的产品,由于它本身的系统平台不为人所知,故减少了许多安全隐患。同时由于它是一种专业安全产品,能够实现更多诸如 Failover 等特性。该类产品比如 Cisco 公司的 PIX 防火墙系列。考虑到企业可能有一部分服务需要在 Internet 上公开发布,如 WEB 网页。这时,我们可以再增加一道防火墙,做为公共访问区和内部网的隔离区,进一步增强安全性。如上图所示,第一道防火墙放置在接入路由器后面,保护公共访问区的 WEB 服
5、务器、文件服务器;第二道防火墙则放置在内部网和公共访问区之间,直接保护内部网的安全。注意到不同类型防火墙的优劣性,我们可以在两个接入点放置不同的防火墙,形成所谓的 quot;异构防火墙” 。 江苏万和计算机培训中心地址:南京市中山北路 26号新晨国际大厦 24层(地铁鼓楼站 4A出口)官方网站:http:/企业在外地的分公司希望连接入企业内部网,这种需求早期都是通过向服务供应商申请长途 DDN 专线或帧中继实现的。这样虽然构建了私有的网络,保证了安全性,但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用 VPN 技术,就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请本地 D
6、DN 专线,一方面可以解决访问Internet 的问题,另一方面也可以利用公共网实现与企业网的连接。当然,企业内部数据在公网上传输,安全性更加显得重要。我们可以在两端添置加密设备,利用一定的加密算法,将数据加密后再通过公网传送,等于利用公网开辟了一道企业私有?quot;隧道” ,即实现了所谓的 VPN。数据加密的实现可以通过硬件和软件的方式来实现,硬件设备主要是专用的加密机,而软件则可能是运行在主机上的应用程序,或者是两端接入设备内置的功能。比如 Cisco 公司多款路由器上都有带有 VPN 特性的 IOS 软件,可直接在路由器上进行加密/解密工作。企业部分员工由于经常出差或者在假日加班,需要
7、经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性,但是也带来了一些隐患。最典型的就是员工的口令被人窃取,做为非法访问的手段。此时,我们需要有支持 AAA(认证、授权、审计)功能的访问服务器。一般来说,访问服务器通过 TACAS+、RADIUS 等协议与内部一台 AAA 服务器联系,AAA 服务器集中管理拨号用户的属性数据库。认证方面,AAA服务器负责每个用户的用户名、口令,保证用户的合法性;授权方面,AAA 服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等;审计方面,AAA 服务器负责纪录每一次成功或者失败的拨号过程的时间、用户、所使用的主叫号
8、码(需电信运营商支持)等等。通过以上这些过程,拨号访问的安全得以最大程度的控制。这方面比较典型的产品包括 Cisco 公司的 Cisco Secure ACS 产品,它还能够与更先进的技术如:OTP (One Time Password) 、Token Card 等协同工作。其次,在以上安全策略实现之后,我们并非就此高枕无忧了,还需要进一步对网络的安全性进行监测。主要通过一些 IDS(入侵监测系统)设备实时的监测,发现那些非法的访问和不良的试探。一般我们将 IDS 放置在那些最容易产生危险或者最敏感的网络部位,譬如图中公共访问区的服务器群中、企业要害部门的服务器。IDS 设备 24 小时监测网
9、络中的数据流,一旦发现可疑现象,将及时向网管人员报告,并且采取一定的措施。这方面的代表产品有 Cisco 公司的 IDS Sensor 和 IDS Director。IDS Sensor 就像一个个监测探头,分布在网络的各个要害部位,监测网络中的数据流;而 IDS Director 做为集中式的管理器,负责收集所有 Sensor 的报告,并以图形化的界面提醒网管人员,甚至可以下令 Sensor 切断非法访问的数据流,或者修改相关 Cisco 设备上的配置,进一步弥补网络的安全漏洞。再次,我们在网络安全的较量当中,不能总是处于被动防守的地位。在安全策略实现之后,我们还应该主动采取一些措施,定期的
10、对网络的安全性进行全面测试。包括使用一些专用的黑客工具,模拟一些攻击,以测试网络的稳固性;或者对于一些重要的主机、服务器,定期检查它们的安全漏洞。这需要企业网管人员的参与,并且需要有长期、连续的计划性。在后一种测试手段中,Cisco 公司的 NetSonar 软件无疑是不错的选择。它能够根据制订的计划,定期的扫描特定主机、服务器的所有端口,以期发现其中存在的漏洞,并据此给出建议,提醒网管人员改进。 江苏万和计算机培训中心地址:南京市中山北路 26号新晨国际大厦 24层(地铁鼓楼站 4A出口)官方网站:http:/最后,我们进一步的发现了网络中存在的安全漏洞,从而需要制订进一步的计划,来改进网络
11、的安全问题。接下来便是又一个循环过程,正如我们前面所说的,网络安全只有在不断发现问题、分析问题和解决问题当中,才可以不断的改进,在面对威胁时获得主动。、基于 MPLS 的 VPN 解决方案中,通过结合 BGP、IP 地址解析和可选的 IPSEC 加密保证安全性。Border Gateway Protocol 是一种路由信息分布协议,他规定了谁可以和谁通过那些协议和属性进行通信。VPN 的成员属性由进入 VPN 的逻辑端口号和分配给每个 VPN 的唯一的RD(路由标志:Route Distinguisher)决定。最终用户并不知道 RD 的值,只有预先定义的端口才能参与 VPN 的通信。在基于
12、MPLS 的 VPN 中,BGP 在边缘 LSR 之间交换FIB(Forwarding Information Base)表更新,并且这种交换只在存在更新的 VPN 站点的边缘LSR 上发生,这样可以保证每个 LSR 只保存与自己相关的 FIB 表和 VPN 信息。由于每个用户的逻辑端口号决定了他的 DR,而这个 DR 是在 VPN 定义时与某个 VPN 唯一相关联的,因此,用户只能访问与他相关联的 VPN,他只能意识到这个 VPN 的存在。在核心层,路由器使用标准的 IGP 交换信息,对于 IGP 的规划,可以见下面介绍。IP 地址解析基于 MPLS 的 IP_VPN 网络更加容易实现与用户
13、 IP 网络的集成。最终用户可以保留他们原有的应用和 IP 地址,无需进行 NAT,甚至无需进行任何改动就可以穿过基于MPLS 的 VPN,其中的主要原因在于 RD 的唯一性。在基于 MPLS 的 VPN 网络中,服务提供商为每个 VPN 定义了唯一的一个 RD,将每一RD 和 VPN 的 IP 地址相结合,这对于每个端点是唯一的。VPN 的 IP 地址的入口信息被存储在 VPN 相关节点的 FIB 中,VPN 的 IP 转发表中包含与 VPN 地址相应的标记。这些标记将流量路由到它应去的节点。由于标记代替了 IP 地址,用户无需使用 NAT 或服务提供商提供的地址,可以保留自己的私有地址。由于使用 RD 和 BGP 来实现 VPN 的互连,不同的 VPN 之间根本意识不到其他 VPN 的存在,如果需要连接到 EXTRANET VPN,只需要通过 RD 定义两个 VPN 之间的信任关系。
