| 出版日期:2001-11-01 总期号:1068 本年期号:83 |
|
 |
实现企业安全网络
马林 随着政府上网、电子商务等一系列网络应用的蓬勃发展,Internet已经离开原来单纯的学术环境融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。 网络产品在安全方面的实现 防火墙 它在网络中的地位与它的名字非常相似,它根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户和数据包隔断,达到保护高安全等级的子网、阻止墙外黑客的攻击、限制入侵蔓延等目的。 虚拟专用网(VPN) VPN可以在不安全的网络中实现安全的网络通道,所以称为虚拟专用网,当前的VPN的实现方法有很多种,IPSec已经成为IP环境下的VPN标准。 认证服务 认证服务可以拒绝非法用户的访问,目前的认证技术主要是AAA认证,它包含了RADIUS、TACACS+、PAP、CHAP、MS-CHAP等认证技术。 VLAN和NAT VLAN又称虚拟局域网,可以根据MAC地址、IP地址、端口划分虚拟局域子网,从而实现控制广播域,使不同子网之间不能互相访问。 NAT技术又称地址转换技术,通过地址转换实现隐藏内部拓扑结构,使网络外部的访问者没办法知道内部服务器的真正地址,从而也就不容易进行攻击。 神州数码路由器的安全实现 包过滤防火墙 神州数码的DCR-2500系列、DCR-1700系列、DCR-2600系列、DCR-3600系列路由器都支持包过滤的防火墙,具体实现是通过访问列表来实现的。访问列表分为标准访问列表和扩展访问列表,它们可以实现为每一个接口或者应用协议等定义自己的访问列表规则。在访问列表实现的基本原理是定义缺省禁止或者允许,然后再定义特殊规则,数据包传输的时候会一条一条去匹配访问列表的规则。 VPN技术 在VPN的实现方面,DCR-1700系列、DCR-2600系列、DCR-3600系列路由器可以提供基于IPsec的VPN解决方案,也可以提供基于隧道技术的VPN。IPSec提供了验证、加密、数据完整性保护、抗重播服务。它们支持AH、IKE等,同时支持硬件加密。支持的算法有:MD5、SHA、DES、3DES、AH、ESP、IKE等标准协议。 认证服务 神州数码的DCR-2500系列、DCR-1700系列、DCR-2600系列、DCR-3600系列路由器都支持AAA认证技术,它包含了RADIUS、TACACS+、PAP、CHAP等认证技术,可以单独应用也可以组合应用。 对VLAN的支持 神州数码的DCR-1700系列、DCR-2600系列、DCR-3600系列路由器都支持802.1q协议,可以实现对VLAN环境的支持,实现VLAN之间的访问,并通过访问控制列表来控制访问。 NAT技术 神州数码的DCR-2500系列、DCR-1700系列、DCR-2600系列、DCR-3600系列路由器都支持NAT技术,可以为用户提供双向地址转换,并且支持静态和动态地址转换。 |
||||||||
