2022年艾泰科技网络安全白皮书 .pdf

《2022年艾泰科技网络安全白皮书 .pdf》由会员分享，可在线阅读，更多相关《2022年艾泰科技网络安全白皮书 .pdf（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、艾泰科技有限公司? 版权所有1999-2004 http:/1 网 络 安 全技 术 白 皮 书上海艾泰科技有限公司2004 年 3 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/2 摘要本文将介绍艾泰科技自主研发的系列HIPER 路由器所采用的安全技术，其中包括VPN技术、加密技术、密钥交换和管理技术、访问控制列表技术、网络地址转换技

2、术，身份认证技术， 安全策略分析和管理技术，同时也将涉及到整个网络安全领域和HIPER路由器安全方面的发展方向，同时结合HIPER VPN 路由器的性能特点，给出相关应用中的网络安全解决方案。关键词VPN ，网络安全，IPSec，IKE 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/3 目录一、概述 . 4 二、路由器安全特性的设计. 6

3、 1可靠性 . 6 2身份认证 . 6 3访问控制 . 7 4网络地址转换 . 7 5数据加密 . 8 6密钥管理 . 8 7入侵检测及防范. 8 8策略管理 . 8 三、 HIPER系列 VPN路由器的安全技术. 9 1备份技术 . 9 2CallBack 技术 . 9 3包过滤技术. 10 4网络地址转换 .11 5. 抗打击能力强 .11 6流量管理与保护. 12 7VPN 技术 . 12 8密钥交换技术 . 15 9安全管理 . 16 10其他安全技术和措施 . 16 四、 HIPER系列 VPN路由器的安全解决方案. 17 1和 Internet 的安全互联 . 17 2通过 Int

4、ernet 构建 VPN . 18 五、 HIPER 系列 VPN 路由器安全特性支持的标准. 20 七、结论 . 21 八、附件： . 22 HiPER 2231CS. 22 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/4 一、概述随着网络在规模上、功能上迅速发展，它逐渐深入到我们的生活中，扮演着越来越重要的角色， 通过网络进行的经济

5、、文化、 工作和个人交流等活动也与日俱增，随之而来的网络安全问题也逐步受到人们的重视，当前Internet中存在着各种类型的网络攻击方式：窃听报文攻击者使用网络报文获取工具，从网络传输的数据流中复制数据，并从这些数据中获取一些诸如用户名/ 口令等敏感信息。通过网络尤其是Internet来传输数据， 不仅需要跨越不同的地理位置，而且存在时间上的延迟，在这种情况下，要避免数据不被窃听几乎是不可能的。篡改报文攻击者采取与窃听报文类似的手段，但不是简单地复制报文，而是截获报文，而后不仅可以从这些报文数据中获得一些敏感信息，而且可以任意更改报文中的数据并继续发送给原目的地，这样就能造成比窃听报文类型攻击

6、更大的危害。同样，这也是由于网络数据传输在地理和时间上的不可控性造成的。IP 地址伪装攻击者通过改变自己的IP 地址来伪装成内部网用户或可信的外部网用户，以合法用户身份登录那些只以IP 地址作为验证的主机；或者发送特定的报文以干扰正常的网络数据传输；或者伪造可接收的路由报文（如发送ICMP报文）来更改路由信息，来非法窃取信息。源路由攻击攻击者通过IP 报文中 Option 域来指定该报文的路由，从而使报文有可能经过一些受到保护的网络。端口扫描利用一些端口扫描工具来探测系统正在侦听的端口，来发现该系统的漏洞；或者是事先知道某个系统存在漏洞，而后通过查询特定的端口，来确定是否存在漏洞。最后利用这些

7、漏洞来对系统进行攻击，导致系统的瘫痪。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/5 Dos 类型攻击Dos（Denial of service，拒绝服务攻击）攻击是通过发送大量报文导致网络资源和带宽被消耗，从而达到阻止合法用户对资源的访问。另外一种 DDos是它的扩展类型，即分布式拒绝服务攻击（Disturbuted Denial o

8、f service） ，许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失。应用层攻击有多种形式，包括大部分的计算机病毒，利用已知应用软件的漏洞，“特洛依木马”等。另外，网络本身的可靠性和线路的安全性也对网络安全起着重要的影响。随着网络应用的逐渐普及，尤其是在一些敏感场合（如电子商务），网络安全成为日益迫切的需求。按物理位置来分，网络安全可分为两个部分，一是内部局域网的安全，二是和外部网络进行数据交换时的安全。路由器作为内部网络和外部网络之间的关键通信设备，应该提供充分的安全功能，HiPER 系列路由器实现了多种网络安全机制，为网络数据传输提供了安全的通信保证。名师资料总结 - - -精

9、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/6 二、路由器安全特性的设计为了尽力避免网络中各种安全隐患的出现，降低网络受到攻击的可能性，有效地提高网络通信的可靠性，路由器在安全方面必须具备如下特性：可靠性身份认证访问控制网络地址转换数据加密密钥的管理和交换入侵检测及防范策略管理1可靠性可靠性要求主要是针对故障恢复能力提出来的，对于路由器而言，可靠性主要体现在路由

10、器故障、 接口故障和网络流量增大的情况下，为此，备份是路由器中不可缺少的功能。当路由器的一个接口发生故障时，备份接口自动接替工作，保持网络传输的畅通。当网络流量增大时，备份接口又可起到平均负载的作用。2身份认证路由器的身份认证功能主要包括以下几个功能：a)访问路由器时的身份认证访问路由器存在多种方式：直接从配置口登录进行配置；telnet登录配置；浏览器登录进行配置；通过SNMP 进行配置等。这些方式的登录，都需要进行相应的身份验证。b)对端路由器（或网络设备）的认证对端路由器不仅指物理上直接相连的路由器，而且包括端对端相连以及虚名师资料总结 - - -精品资料欢迎下载 - - - - - -

11、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/7 拟的点对点相连的路由器，在本端路由器和对端路由器需要通信时，都会进行相应的身份认证。c)路由信息的身份认证路由器是根据路由信息来发送报文的，路由信息对于路由器来说是至关重要的，而路由信息恰恰又是通过网络在不同的路由器间转发的。若收到虚假的路由信息， 有可能使得路由器将数据报文发往不正确的目的地，这些数据报文可能会造成网络通信的中断。所以， 在接受任何路

12、由信息之前，有必要对该信息的发送方进行认证，以确保收到的路由信息是合法的。3访问控制访问控制可分为以下几个情况：a)对于路由器的访问控制对路由器的访问权限需要进行口令的保护。只有持有相应口令的特权用户才能对路由器进行配置，一般用户只有查看普通信息的权利。b)基于 IP 地址的访问控制通常情况下，各种用户是通过IP 地址来区分的，不同的用户有不同的权限。通过 IP 包过滤可以实现基于IP 地址的访问控制，来实现对网络中重要资源的保护。c)基于用户的访问控制路由器也可以提供接入服务功能，对于以接入方式登录的用户来说，可以通过设置用户的属性，来指定不同用户的不同访问权限，从而实现对接入用户访问的控制

13、。4网络地址转换通过网络进行数据交换时，不一定必须用真实的网络地址，可以通过网关设备（路由器）进行网络地址转换，可以隐藏内部局域网地址，只通过公共地址来访问外部网络；可以屏蔽内部网络的非法地址；可以限制和管理外部网络对内部局域网的访问等功能，有效地保护了内部网络的安全，同时也起到了对内、外网络数据交换的管理作用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2

14、004 http:/8 5数据加密在 Internet上传输数据时，是无法保证数据被窃听和篡改的，为了避免因为数据被窃听而导致敏感信息的泄漏，有必要对在Internet上传输的数据进行加密处理，只有与之通信的另一端才能够解开。通过作为网关的路由器对发往Internet的数据作加密处理，确保了数据的机密性和完整性。这一点，对于通过Internet构建 VPN也起到了保护数据传输安全的作用。6密钥管理为了配合数据加密的要求，就必须有严格、 安全的密钥管理体系，负责密钥的生成、分配和有效期管理。密钥是一个加/ 解密系统的核心，如果不能确保密钥的安全，那么通过加密来对传输数据进行保护则形如虚设。7入侵

15、检测及防范路由器是连接内部网络和外部网络的接口设备，所有内外网络的交换数据都要经过它的处理， 通常攻击者的第一个目标就是路由器，如果路由器提供了入侵检测和防范功能，则可以有效地记录攻击者的攻击信息并提供相应的解决措施，可以成功地抵御一部分攻击。8策略管理在已经发生攻击事件中，大多数是由于人为因素造成的漏洞而导致的，所以路由器在提供各种安全功能的同时，还需要提供一个良好的策略构建平台以及相应的策略管理机制，使得用户较为容易地构建一系列没有漏洞的安全策略，进一步提高路由器对传输数据的安全保护质量。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

16、- - - 名师精心整理 - - - - - - - 第 8 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/9 三、 HIPER系列 VPN路由器的安全技术HIPER系列 VPN路由器提供了全面的网络安全解决方案，采用了以下安全技术：MAC 地址过滤封包检验网络隔离包过滤技术端口重新定向网络地址转换抗打击能力强流量管理与保护VPN技术密钥交换技术安全管理其他安全技术与措施1备份技术HiPER系列 VPN路由器实现了较为完善的备份功能，其特点如下：a)可以为路由器的接口提供备份接口，当主接口发生故障时

17、，备份接口会自动接替，保证数据的传输不会受到较大的影响。b)主接口和备份接口之间可以进行负载的分担。c)路由的备份技术，当一条路由失效时，路由器会自动通过另外一条备份路由和对端进行通信，保证了数据传输的畅通。2CallBack技术CallBack技术即回呼技术，最初由Client方发起呼叫，要求Server 方向本端回呼，而Server 接受呼叫，并决定是否向Client方发起回呼。利用 CallBack技术可增强安全性，回呼处理中， Server 方根据本地配置的呼叫名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

18、 - - - - - - - 第 9 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/10 号码呼叫Client方，从而避免因用户名、 口令失密而导致的不安全性。此外，Server方还可根据本地配置，对呼入请求进行分类，即拒绝呼叫、接收呼叫（不回呼）和接收呼叫 （回呼），从而对不同的Client方实施不同的限制，同时 Server 方在外部呼入时可以实现资源访问的主动性。另外， CallBack还具有以下优点：a)节省话费（当通话的两个方向上的费用不同时）b)改变话费承担方3包过滤技术IP 报文中的I

19、P 报头及所承载的上层协议（如 TCP/UDP ）报头中包含了各种信息，根据这些信息， 路由器可以把这些包进行分类处理，包过滤通常利用IP 报文中的以下属性：IP 的源、目的地址及协议域；TCP/UDP的源、目的端口；ICMP的类型；IGMP的类型TCP的标志域（ ACK和 RST ）可以由这些域的不同组合形成不同的规则，例如，要禁止从192.168.20.69到192.168.20.121的 HTTP连接，可以创建这样的规则：IP 的源地址 192.168.20.69 IP 的目的地址 192.168.20.121 IP 的协议域 6 （TCP ）目的端口 80 （HTTP ）把这条规则应用

20、于接口上，便可以到达所要的目的了。HiPER系列 VPN路由器提供了完备的包过滤，还可以在上述规则中添加对时间段的判断，设置该条规则的生效时间，在对时间段可以进行绝对时间段和周期时间段的设置。这样，可以为应用上提供极大的灵活性，同时和其他功能（如地址转换和IPSec 等）的配合使用将会大幅度地提高路由器的可管理性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999

21、-2004 http:/11 4网络地址转换网络地址转换，用来实现内部网络私有地址和外部网络公共地址的相互转换，它的优点在于避免了内部非法地址和外部公共地址间的冲突，屏蔽了内部网络的实际地址，隐藏了内部网络的结构，增强了对外部网络访问的可控性，也增强了外部网络对内部网络访问的可控性。HiPER系列 VPN路由器的网络地址转换可以将所有报文的源地址都转换为路由器上一个接口的地址；也可以支持带访问列表的地址转换，用来限定可以进行地址转换的内部主机地址，有效地控制内部主机对外部网络的访问；同时还可以根据地址池，进行多对多的地址转换，合理地利用公共的合法IP 地址资源； 利用网络地址转换，可以在屏蔽内

22、部地址的同时，确保了对外的各种网络服务的安全性。5. 抗打击能力强路由器的持续稳定运行是重要的，但是随着网络技术的发展，网络上不断涌现出的各种病毒、黑客软件和发包器等，对路由器的稳定运行造成了巨大的挑战。从早期的”红色代码”,尼姆达”一直到最近发生的”冲击波”病毒,使得网络安全越来越受到重视。HiPER系列 VPN路由器从三个方面着手，最大限度的解决这个问题：首先，要解决病毒的问题，就得提高自身的处理能力。HiPER 系列 VPN路由器采用了高速低能耗NPU，其最大连接速居然可以达到2000 个左右，这不仅解决了企业多用户高负载情况下设备的正常应用，而且也是路由器可以经受一定规模的病毒攻击。其

23、次， HiPER系列 VPN路由器通过特殊的NAT 命令控制，以及灵活的访问列表控制，能够最大程度的保证路由器的稳定运行，保护内网用户不受病毒问题的干扰。我们还提出了自己的防止网吧用户或外来用户的DoS 攻击， DDOS 攻击的算法，该算法已经申请专利保护。最后，由于企业使用的用户复杂，因此，PC 很容易感染病毒，或者被一些木马之类的黒客程序控制，容易出现对其他机器的攻击行为，而这些攻击行为往往影响了其他 PC 的使用。为了在大量的机器里，快速地寻找出有问题的PC，同时也可以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精

24、心整理 - - - - - - - 第 11 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/12 历史地记录企业用户的使用行为，HiPER 系列 VPN路由器设计了对网络的监控的软件，可以对MAC 、IP、NAT 等多个层面进行联动监控, 及时发现潜在的问题，而且易于使用，使网管人员可以快速有效的检查到局域网中发包异常的用户，进行病毒的查杀。6流量管理与保护HiPER系列 VPN路由器具有专利技术的流量管理与保护功能。可以根据 IP 地址以及应用为网络里面的用户分配带宽，保障优先的业务拥有优先的带宽

25、使用权，避免网络拥塞、带宽抖动的现象产生。7VPN技术VPN （Virtual Private Network）即虚拟私有网，是近年来随着Internet发展而发展的一种网络构架。许多现代企业都利用Internet资源来开展各项售前和售后服务、培训、合作等活动，而这些跨地域、灵活性大的功能都是当前各企业内部局名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-20

26、04 http:/13 域网在分布、 建造和维护成本上无法实现的，但为了在利用Internet资源开展这些经济活动的同时，确保网络通信要如同内部局域网一样安全、使用方便，则必须构建 VPN以利用 Internet的虚拟通道来传输私有信息。VPN技术主要是通过隧道机制（Tunneling ）来实现的，通常情况下VPN在链路层和网络层实现了隧道机制。在链路层支持隧道机制的有：PPTP（Point to Point Tunneling Protocol，点到点隧道协议） 、L2TP（Layer 2 Tunneling Protocol，链路层隧道协议） 、L2F（Layer 2 Forwarding

27、，链路层转发协议） 。VPN在网络层实现的是GRE和 IPSec。 在这一层实现安全服务具有多方面的优点。首先，密钥协商的开销被大大地削减了。这是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构。其次，假如安全服务在较低层实现，那么需要改动的应用程序便要少得多。通过它，我们不必集中在较高的层实现大量安全协议。假如安全协议在较高的层实现，那么每个应用都必须设计自己的安全机制。这样做除极易产生安全漏洞以外，而且出现犯错误的机率也会大增。另外，对于任何传送协议，都可为其“无缝”地提供安全保障。网络层安全最有用的一项特性是能够构建VPN 。由于 VPN是以子网为基础，而且网络层支持以子网为基

28、础的安全，所以很容易实现VPN 。IPSec 是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。此外， IPSec 也允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。对于用户来说，便可以对于不同的需要定义不同级别地安全保护（即不同保护强度的IPSec 通道） 。 IPSec 为网络数据传输提供了：数据机密性数据完整性数据来源认证抗重播等安全服务， 就使得数据在通过公共网络传输时，就不用担心被监视、篡改和伪造。IPSec 是通过使用各种加密算法、验证算法、 封装协议和一些特殊的安全保护机制来实现这些目的，而这些算法及其参数是保存在进行IPSec通信两端的SA

29、（Security Association，安全联盟） ，当两端的SA中的设置匹配时，两端就可以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/14 进行 IPSec 通信了。 IPSec 使用的加密算法包括DES-56 位、 Triple-Des-168位和AES-128 位；验证算法采用的也是流行的HMAC-MD5 和 HMAC-SH

30、A 算法。IPSec 所采用的封装协议是AH（Authentication Header，验证头）和ESP（Encapsulating Security Payload，封装安全性有效负载）。ESP定义于 RFC2406协议。它用于确保IP 数据包的机密性（对第三方不可见）、数据的完整性以及对数据源地址的验证，同时还具有抗重播的特性。具体来说，是在 IP 头（以及任何IP 选项）之后，在要保护的数据之前，插入一个新的报头，即ESP头。受保护的数据可以是一个上层协议数据，也可以是整个IP 数据包，最后添加一个 ESP尾。 ESP本身是一个IP 协议，它的协议号为50。这也就是说，ESP保护的 I

31、P 数据包也可以是另外一个ESP数据包，形成了嵌套的安全保护，ESP的封装方式如下图：IP头ESP 尾ESP 头受保护数据验证保护加密保护如上图所示， ESP头没有加密保护，只采用了验证保护，但 ESP尾的一部分则进行的加密处理， 这是因为 ESP头中包含了一些关于加/ 解密的信息。 所以 ESP头自然就采用明文形式了。AH定义于 RFC2402中。该协议用于为IP 数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，与 ESP协议相比， AH不提供对通信数据的加密服务，同样提供对数据的验证服务，但能比ESP提供更加广的数据验证服务，如图所示：IP头AH 头受保护数据验证保护它对整个

32、IP 数据包的内容都进行了数据完整性验证处理。在SA中定义了用来负责数据完整性验证的验证算法（即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC）来进行这项服务。AH和 ESP都提供了一些抗重播服务选项，但是否提供抗重播服务，则是由数据包的接收者来决定的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/15 HiPER可以支持和

33、多种设备在Internet上建立 VPN ，隧道连接了两个远端局域网，每个局域网上的用户都可以访问另一个局域网网上的资源：PC用户（使用合适的VPN客户端，如： Windows 98/NT/2K/XP ）IX, 华为 Quidway 等路由器设备VPN网络设备可同时建立10/128 个隧道（根据型号不同）8密钥交换技术在 VPN技术中，主要是通过加密算法、验证算法的使用来确保数据的安全，而加密算法、验证算法的核心则是密钥，为了保证密钥使用的安全性和方便性，需要一种机制来负责密钥的生成、分配和有效期管理。IKE 就是一种密钥交换技术，IKE Internet Key Exchange，Inter

34、net密钥交换协议。IKE 主要是用来协商和建立 IPSec 通信双方的SA ，实际上就是对双方所采用的加密算法、验证算法、封装协议和有效期进行协商，同时安全地生成以上算法所需的密钥。IKE是基于 ISAKMP 基础上而实现的，ISAKMP Internet Security Association and Key Management Protocol，Internet安全联盟及密钥管理协议，ISAKMP 定义了双方如何沟通，如何构建彼此间用以沟通的消息，还定义了保障通信安全所需的状态变换。ISAKMP 提供了对对方的身份进行验证的方法，密钥交换时交换信息的方法，以及对安全服务进行协商的方法

35、。IKE 使用了两个阶段的的ISAKMP ，第一阶段建立ISAKMP-SA ，或称为IKE-SA，第二阶段利用这个既定的安全联盟，为IPSec协 商具体的安全联盟，可称为IPSec-SA。在第一阶段中，IKE 定义了两种交换模式： “主模式”和“野蛮模式”，相比之下，“主模式”的安全性和可靠性要比“野蛮模式”高。在第二阶段中，IKE定义了“快速模式” 。在这两个阶段中，都会用到DH算法（ Diffie-Hellman算法），IKE 协商生成的安全密钥便是通过这种算法实现的。这种算法是基于公私钥体系的，在整个通信过程中，通信的双方都只向对方传输属于公钥的那一部分，通过算法双方便可以得到名师资料总

36、结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/16 只有他们两者才知道的密钥。这种算法的另外一个优点就是，如果有第三方窃听了整个协议的交互通信过程，仍然很难以破解密钥，至少在时间的开销上将是一个天文数字。在第一阶段中，提供了对对方的身份验证机制，如Pre-shared Key（预共享密钥） 。9安全管理安全管理包括了两部分内容：一是如何搜集相关的

37、信息；二是如何及时利用这些信息来为网络安全服务。关于信息的搜集，路由器提供了以下途径：a)访问列表的日志功能。在配置访问列表时加入Log 选项， 就可以记录一些关于路由器处理的关键信息。b)关键事件的记录信息。c)Debug信息。用于对网络运行发生的问题进行跟踪分析。这些信息的输出设备包括：监控口、配置终端、日志服务器等。对这些重要信息进行分析，便可以得到当前路由器运行状况，或者是当前攻击者的攻击手段，而后可以自动或手工地进行相应的抵御。HIPER 路由器正在逐步实现这些功能，以图为用户提供更加高效的网络安全解决方案。10其他安全技术和措施路由器是根据路由信息来发送报文的，而路由信息恰恰又是通

38、过网络在不同的路由器间转发的。所以，在接受任何路由信息之前，有必要对该信息的发送方进行认证，以确保收到的路由信息是合法的。需要对邻接路由器进行路由信息认证的有：Routing Information Protocal Version 2（RIP-v2）如果运行了这些协议中的一种或几种，并且有可能收到虚假的路由信息时，则应该对邻接路由器进行认证。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科

39、技有限公司? 版权所有1999-2004 http:/17 四、 HIPER系列 VPN路由器的安全解决方案根据上面所述的路由器安全特性设计的要求，HiPER系列 VPN路由器提供了各种网络安全解决方案，以适应不同的应用需求，包括：电子政务的 VPN联网和 Internet的安全互联通过 Internet构建 VPN 电子商务应用教育系统校校通的应用1 和 Internet的安全互联HIPER系列 VPN路由器提供了和Internet安全互联的解决方案，HIPER路由器主要是通过基于访问列表的包过滤和网络地址转换，实现以下的功能：基于接口的包过滤可以通过对访问列表中时间段参数的设置，实现对与时

40、间相关的访问管理。网管软件可以监控网络运行情况，以便用户的管理和控制。HiPER 路由器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/18 外部主机无法直接访问内部服务器。外部主机A 无法通过内部服务器的实际地址来访问它，而外部主机B 则可以通过路由器设置的虚拟地址来访问内部服务器，这样就可以在一定程度上保护内部服务器。这是通过网络地址

41、转换来实现的，若同时配置了带访问列表的网络地址转换，则还可以限制外部主机对内部服务器的服务访问类型（如HTTP 、FTP等） 。内部主机可以路由器的管理下访问外部Server ，在屏蔽内部网络地址信息的同时，还加强了对内部主机的管理。2通过 Internet构建 VPN HIPER系列 VPN路由器通过Internet构建 VPN的方案如。通过专线方式进行远地办事机构网络互联的成本比较昂贵，且利用率低，可以通过Internet来实现网络的互联，在HIPER系列 VPN路由器提供的IPSec-VPN 方案中，用户不仅实现了这一目标，而且保证了网络传输的安全性。HIPER系列 VPN路由器提供的方

42、案具有以下功能：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/19 外出人员可以通过当PSTN接入企业内部网络外出人员可以通过当PSTN接入任一远程办公机构远程办公机构可以通过路由器和企业内部网络建立安全通道若干远地办事机构可以相互建立安全连接名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

43、- - - - - 名师精心整理 - - - - - - - 第 19 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/20 五、 HIPER 系列 VPN 路由器安全特性支持的标准在当前 HIPER路由器的软件版本中，关于网络安全方面支持的标准如下：网络地址转换RFC-1519 Classless Inter-Domain Routing (CIDR) RFC-1597 Address Allocation for Private Internets RFC-1631 The IP Network

44、Address Translator (NAT) VPN技术（ IPSec）RFC-2401 Security Architecture for the Internet Protocol RFC-2402 IP Authentication Header RFC-2403 The Use of HMAC-MD5-96 within ESP and AH RFC-2404 The Use of HMAC-SHA-1-96 within ESP and AH RFC-2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC-2406 I

45、P Encapsulating Security Payload (ESP) 密钥交换技术RFC-2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC-2408 Internet Security Association and Key Management Protocol (ISAKMP) RFC-2409 The Internet Key Exchange (IKE) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

46、- - - - - 第 20 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/21 七、结论HIPER系列 VPN路由器提供了较为先进的安全技术，包括备份技术、 CallBack技术、包过滤技术、网络地址转换、VPN技术、密钥交换技术、高级的IPSec 加密技术、可以选择多种经济的连接方式（用ADSL, FTTX+LAN ，Cable Modem 或 ISDN） ，节省大量的专线费用，支持同时发起多个隧道，同时拨入和拨出。HIPER系列 VPN路由器可以提供多种网络安全解决方案，完全适应当前网络发展的

47、需要。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/22 八、附件：HiPER 3300 HiPER 3110 HiPER 2231CS VPN智能业务管理路由器型号： HiPER 3300HiPER 3300 是专为中小企业、连锁商店、中小学校等设计的高性价比的VPN智能业务管理路由器，产品以其优异的性能、灵活的接口设计以及高度的可管

48、理性与安全性，使之成为INTERNET 接入、网络管理、虚拟专用网（ VPN ）等服务的理想选择。HiPER3300支持 PPTP/L2TP/IPSecVPN ，支持内建128条 VPN隧道，支持40 条隧道并发。 HiPER 3300独特的 WAN/LAN/DMZ 三路由端口设计， 可实现线路备份、 负载均衡、 防火墙等功能的灵活选择。同时，HiPER 3300 提供了带宽管理、MAC地址过滤、数据包过滤、封包检验、网络隔离和端口重新定向等功能，网管人员可以灵活地根据各部门或人员的工作特点制定相应的带宽分配、安全和访问控制策略，保证网络资源最有效地利用。更为重要的是， HiPER 3300

49、充分考虑到宽带用户对语音、视频等多媒体应用的要求越来越普遍，将原来只有核心网络才具有的IP QoS 功能边缘化，保证了语音、视频等多媒体应用对网络品质更高的要求。主要功能软件特性：1、 支持 PPTP/L2TP/IPSec VPN，可内建 128 个 VPN账号，最大支持40 条并发 VPN隧道；2、 支持 DES （56bit ） 、3DES （168bit ） 、AES (128bit)数据加密。3、 支持 IPSec NAT 穿透 ; 4、 3 个独立的 10/100M 路由端口，软件定义LAN/DMZ/WAN 口。5、 强大的防火墙与IP 业务管理功能，根据IP 协议、地址、端口等设置

50、访问控制规则；6、 支持 IP/MAC 地址绑定；支持上网时间控制；7、 NAT 支持 VoIP 等 H323应用；支持NAT re-routing功能；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 28 页 - - - - - - - - - 艾泰科技，助您轻松连接世界！艾泰科技有限公司? 版权所有1999-2004 http:/23 8、 带宽管理功能；9、 支持图形界面和CLI 两种配置方式，方便使用。硬件特性：1、采用专用网络处理器, 高速数据总线。. 2、