南京CCIE培训MPLSVPN的网络安全.doc

南京CCIE培训 MPLS VPN的网络安全随着网络的迅速发展，尤其是Internet互联网的急剧膨胀，使得人们在受益的同时受到越来越大的威胁。这便是无所不在的网络安全隐患。当企业还沉浸在享受新技术、新成果所带来的幸福之中时，某些幽灵或许正躲在 世界的另一个角落，尝试着对企业漏洞百出的网络进行一次又一次的攻击，一旦他们侥幸得手，留给我们的恐怕只有惊慌失措和束手无策。他们一般被人称之为黑客。为了避免以上悲剧的发生，我们必须防范于未然，尽可能采取一切措施，保证网络的安全。网络安全首先是一种策略，而不是一项技术。策略的实施是一项长期、不间断的过程，安全策略的实现、监控、测试、改进四部分是不可或缺，并且不断循环的，正如右面图中所示。在网络安全的实施过程当中，涉及到多种产品和设备，业界各大产商对于网络安全的重要性有着一致的认识，但是可能有着不同的侧重面。我们凭借在系统集成领域长期的工作实践，积累了大量的相关经验，这同时也有助于我们提供给用户一套非常完整的网络解决方案。以下是我们提供给企业级用户的一套完整的网络安全解决方案：网络安全隐患来自于方方面面，主要可以分为内部和外部两种。与Internet相连的企业网络，可能遭受来自于互联网上任何一台PC机的恶意攻击和破坏；在企业内部，也不排除存在对于企业心怀不满的员工或者是潜伏在企业内部的商业间谍，他们也极大的威胁着网络的安全。一旦攻击得逞，企业所受的损失将是不可估量的。我们充分考虑到来自于网络方方面面的威胁，试图给出一套完整的解决方案。首先，由于企业网络与Internet存在物理连接，故在Internet入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙，拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟，各大厂商都有自己的产品，而不同的产品也是各有所长。大致上来说，防火墙一般可分为两类。一类是纯软件，运行在多网卡的UNIX主机上。这样比较便于实现，使用比较灵活，但是由于Unix操作系统本身存在一定的安全隐患，其安全性也大打折扣。此类产品当中比较有名的，如：CA公司的CheckPoint防火墙系列。另一类产品则是一套软硬件结合的产品，由于它本身的系统平台不为人所知，故减少了许多安全隐患。同时由于它是一种专业安全产品，能够实现更多诸如Failover等特性。该类产品比如Cisco公司的PIX防火墙系列。考虑到企业可能有一部分服务需要在Internet上公开发布，如WEB网页。这时，我们可以再增加一道防火墙，做为公共访问区和内部网的隔离区，进一步增强安全性。如上图所示，第一道防火墙放置在接入路由器后面，保护公共访问区的WEB服务器、文件服务器；第二道防火墙则放置在内部网和公共访问区之间，直接保护内部网的安全。注意到不同类型防火墙的优劣性，我们可以在两个接入点放置不同的防火墙，形成所谓的quot;异构防火墙”。企业在外地的分公司希望连接入企业内部网，这种需求早期都是通过向服务供应商申请长途DDN专线或帧中继实现的。这样虽然构建了私有的网络，保证了安全性，但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用VPN技术，就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请本地DDN专线，一方面可以解决访问Internet的问题，另一方面也可以利用公共网实现与企业网的连接。当然，企业内部数据在公网上传输，安全性更加显得重要。我们可以在两端添置加密设备，利用一定的加密算法，将数据加密后再通过公网传送，等于利用公网开辟了一道企业私有？quot;隧道”，即实现了所谓的VPN。数据加密的实现可以通过硬件和软件的方式来实现，硬件设备主要是专用的加密机，而软件则可能是运行在主机上的应用程序，或者是两端接入设备内置的功能。比如Cisco公司多款路由器上都有带有VPN特性的IOS软件，可直接在路由器上进行加密/解密工作。企业部分员工由于经常出差或者在假日加班，需要经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性，但是也带来了一些隐患。最典型的就是员工的口令被人窃取，做为非法访问的手段。此时，我们需要有支持AAA（认证、授权、审计）功能的访问服务器。一般来说，访问服务器通过TACAS+、RADIUS等协议与内部一台AAA服务器联系，AAA服务器集中管理拨号用户的属性数据库。认证方面，AAA服务器负责每个用户的用户名、口令，保证用户的合法性；授权方面，AAA服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等；审计方面，AAA服务器负责纪录每一次成功或者失败的拨号过程的时间、用户、所使用的主叫号码（需电信运营商支持）等等。通过以上这些过程，拨号访问的安全得以最大程度的控制。这方面比较典型的产品包括Cisco公司的Cisco Secure ACS产品，它还能够与更先进的技术如：OTP（One Time Password）、Token Card等协同工作。其次，在以上安全策略实现之后，我们并非就此高枕无忧了，还需要进一步对网络的安全性进行监测。主要通过一些IDS（入侵监测系统）设备实时的监测，发现那些非法的访问和不良的试探。一般我们将IDS放置在那些最容易产生危险或者最敏感的网络部位，譬如图中公共访问区的服务器群中、企业要害部门的服务器。IDS设备24小时监测网络中的数据流，一旦发现可疑现象，将及时向网管人员报告，并且采取一定的措施。这方面的代表产品有Cisco公司的IDS Sensor和IDS Director。IDS Sensor就像一个个监测探头，分布在网络的各个要害部位，监测网络中的数据流；而IDS Director做为集中式的管理器，负责收集所有Sensor的报告，并以图形化的界面提醒网管人员，甚至可以下令Sensor切断非法访问的数据流，或者修改相关Cisco设备上的配置，进一步弥补网络的安全漏洞。再次，我们在网络安全的较量当中，不能总是处于被动防守的地位。在安全策略实现之后，我们还应该主动采取一些措施，定期的对网络的安全性进行全面测试。包括使用一些专用的黑客工具，模拟一些攻击，以测试网络的稳固性；或者对于一些重要的主机、服务器，定期检查它们的安全漏洞。这需要企业网管人员的参与，并且需要有长期、连续的计划性。在后一种测试手段中，Cisco公司的NetSonar软件无疑是不错的选择。它能够根据制订的计划，定期的扫描特定主机、服务器的所有端口，以期发现其中存在的漏洞，并据此给出建议，提醒网管人员改进。最后，我们进一步的发现了网络中存在的安全漏洞，从而需要制订进一步的计划，来改进网络的安全问题。接下来便是又一个循环过程，正如我们前面所说的，网络安全只有在不断发现问题、分析问题和解决问题当中，才可以不断的改进，在面对威胁时获得主动。、基于MPLS的VPN解决方案中，通过结合BGP、IP地址解析和可选的IPSEC加密保证安全性。Border Gateway Protocol是一种路由信息分布协议，他规定了谁可以和谁通过那些协议和属性进行通信。VPN的成员属性由进入VPN的逻辑端口号和分配给每个VPN的唯一的RD（路由标志：Route Distinguisher）决定。最终用户并不知道RD的值，只有预先定义的端口才能参与VPN的通信。在基于MPLS的VPN中，BGP在边缘LSR之间交换FIB（Forwarding Information Base）表更新，并且这种交换只在存在更新的VPN站点的边缘LSR上发生，这样可以保证每个LSR只保存与自己相关的FIB表和VPN信息。由于每个用户的逻辑端口号决定了他的DR，而这个DR是在VPN定义时与某个VPN唯一相关联的，因此，用户只能访问与他相关联的VPN，他只能意识到这个VPN的存在。在核心层，路由器使用标准的IGP交换信息，对于IGP的规划，可以见下面介绍。IP地址解析基于MPLS的IP_VPN网络更加容易实现与用户IP网络的集成。最终用户可以保留他们原有的应用和IP地址，无需进行NAT，甚至无需进行任何改动就可以穿过基于MPLS的VPN，其中的主要原因在于RD的唯一性。在基于MPLS的VPN网络中，服务提供商为每个VPN定义了唯一的一个RD，将每一RD和VPN的IP地址相结合，这对于每个端点是唯一的。VPN的IP地址的入口信息被存储在VPN