网络安全技术白皮书030319

网络安全技术白皮书

华为技术有限公司

北京市上地信息产业基地信息中路3号华为大厦 100085

二ＯＯ三年三月

1概述 (5)

2安全网络体系架构 (6)

2.1网络安全层次分析 (6)

2.1.1物理层安全 (6)

2.1.2网络层安全 (6)

2.1.3应用层安全 (7)

2.1.4系统层安全 (9)

2.1.5管理层安全 (9)

2.2体系架构 (9)

2.3安全解决方案模型 (13)

3组网应用的安全设计原则 (16)

3.1可靠性与线路安全 (16)

3.2用户验证 (17)

3.3防地址假冒 (17)

3.4身份认证 (17)

3.5访问控制 (18)

3.6信息隐藏 (18)

3.7数据加密 (19)

3.8攻击探测和防范 (19)

3.9安全管理 (19)

4华为网络设备所采用的安全技术 (20)

4.1CallBack技术 (20)

4.2VLAN技术 (20)

4.3IP组播 (21)

4.4包过滤技术 (21)

4.5VPN特性 (22)

4.5.1结合防火墙的VPN解决方案 (22)

4.6IPSec VPN (23)

4.6.1IPsec公私密钥的自协商 (25)

4.7AAA（Authentication, Authorization, Accounting） (26)

4.8互联网密钥交换（互联网 Key Exchange ，IKE） (26)

4.9CA (Certificate Authority） (28)

4.10网络地址转换特性 (30)

4.11智能防火墙 (30)

4.12入侵检测与防范技术 (31)

4.13QoS特性 (33)

5防火墙设备的安全特性 (33)

5.1防火墙的工作原理 (33)

5.2防火墙工作方式 (36)

5.3应用规则报文过滤（Applied Specification Packet Filter） (36)

5.4多个接口和安全等级 (37)

5.5数据在防火墙中的传送方式 (37)

5.6内部地址的转换（NAT） (38)

5.7认证代理 (38)

5.8访问控制 (39)

5.9启动专有协议和应用 (39)

5.10防火墙可靠性及高可用性 (40)

6安全设备的系统管理 (40)

6.1系统级安全策略－综合访问认证系统 (40)

6.2IDS检测系统及与防火墙的集成联动 (42)

6.3使用系统日志服务器 (43)

6.4安全设备网管 (43)

6.4.1信息中心 (44)

6.5安全策略分析与管理 (44)

6.6ISPKeeper技术应用 (45)

6.7NetStream技术 (48)

7总结 (49)

摘要

本文基于华为技术有限公司Quidway以太网交换机、Quidway 路由器、Quidway防火墙系列产品、iManager N2000/Quidview网管、CAMS综合管理平台等详细介绍了目前运营商和企业网中应用的网络安全技术以及华为公司在网络安全技术方面的研究扩展，其中包括访问控制技术、身份认证技术、加密与密钥交换技术、报文检测过滤、连接状态检测，防DOS功能，IDS检测，日志分析审计，安全策略分析、网络安全管理等等。并提出了融合网络设备、应用业务能力的安全体系架构，以及系列安全产品在安全方面的发展方向。结合Quidway以太网交换机、路由器、防火墙系列产品和网络安全管理系统在安全方面的功能特点，给出了相应应用的实际解决方案。

关键词

FireWall，防火墙，状态检测，过滤，网络安全，IDS、以太网交换机、路由器

说明

由于网络安全体系架构所涵盖的内容相当多，包括物理层、网络层、系统层、应用层和管理层多个层面的安全性，具体的可靠性规划、弹性策略、MPLS VPN、CA应用等将不在本文详述，鉴于其应用的复杂度重要性和讨论篇幅超出本文能力的情况，将另出MPLS VPN技术白皮书、CA应用技术白皮书等进行详述。

1 概述

众所周知，网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，提供一种开放式的环境，网络安全成为一个在开放式环境中必要的技术，成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行”，网络面临着各种安全威胁，存在着各种类型的机密泄漏和攻击方式，包括：窃听报文——攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据彻底不受窃听，基本是不可能的。

IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

端口扫描—通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。

拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，Distributed Denial Of Service，简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。

应用层攻击——有多种形式，包括探测应用软件的漏洞、“特洛依木马”等等。

另外，网络本身的可靠性与线路安全也是值得关注的问题。

随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务、政府机关等）的应用，网络安全成为日益迫切的重要需求。网络安全包括两层内容：其一是网络资源的安全性，其二是数据交换的安全性。网络设备作为网络资源和数据通讯的关键设备，有必要提供充分的安全保护功能，Quidway系列交换机、路由器、防火墙、网管、业务平台等产品提供了多种网络安全机制，为网络资源和数据交换提供了有力的安全保护。本