返回
南京ccie培训mplsvpn的网络安全

南京ccie培训mplsvpn的网络安全

ID:2022234

大小:48.00 KB

页数:3页

时间:2017-11-14

南京ccie培训mplsvpn的网络安全_第1页
南京ccie培训mplsvpn的网络安全_第2页
南京ccie培训mplsvpn的网络安全_第3页
资源描述:

《南京ccie培训mplsvpn的网络安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、南京CCIE培训MPLSVPN的网络安全  随着网络的迅速发展,尤其是Internet互联网的急剧膨胀,使得人们在受益的同时受到越来越大的威胁。这便是无所不在的网络安全隐患。当企业还沉浸在享受新技术、新成果所带来的幸福之中时,某些幽灵或许正躲在世界的另一个角落,尝试着对企业漏洞百出的网络进行一次又一次的攻击,一旦他们侥幸得手,留给我们的恐怕只有惊慌失措和束手无策。他们一般被人称之为–黑客。为了避免以上悲剧的发生,我们必须防范于未然,尽可能采取一切措施,保证网络的安全。  网络安全首先是一种策略,而不是一项技术。策略的实施是一项长期、不间断的过程,安全策略的实现、监

2、控、测试、改进四部分是不可或缺,并且不断循环的,正如右面图中所示。  在网络安全的实施过程当中,涉及到多种产品和设备,业界各大产商对于网络安全的重要性有着一致的认识,但是可能有着不同的侧重面。我们凭借在系统集成领域长期的工作实践,积累了大量的相关经验,这同时也有助于我们提供给用户一套非常完整的网络解决方案。  以下是我们提供给企业级用户的一套完整的网络安全解决方案:  网络安全隐患来自于方方面面,主要可以分为内部和外部两种。与Internet相连的企业网络,可能遭受来自于互联网上任何一台PC机的恶意攻击和破坏;在企业内部,也不排除存在对于企业心怀不满的员工或者是潜

3、伏在企业内部的商业间谍,他们也极大的威胁着网络的安全。一旦攻击得逞,企业所受的损失将是不可估量的。  我们充分考虑到来自于网络方方面面的威胁,试图给出一套完整的解决方案。  首先,由于企业网络与Internet存在物理连接,故在Internet入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙,拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟,各大厂商都有自己的产品,而不同的产品也是各有所长。大致上来说,防火墙一般可分为两类。一类是纯软件,运行在多网卡的UNIX主机上。这样比较便于实现,使用比较灵活,但是由于Unix操作系统本身存在一定的

4、安全隐患,其安全性也大打折扣。此类产品当中比较有名的,如:CA公司的CheckPoint防火墙系列。另一类产品则是一套软硬件结合的产品,由于它本身的系统平台不为人所知,故减少了许多安全隐患。同时由于它是一种专业安全产品,能够实现更多诸如Failover等特性。该类产品比如Cisco公司的PIX防火墙系列。  考虑到企业可能有一部分服务需要在Internet上公开发布,如WEB网页。这时,我们可以再增加一道防火墙,做为公共访问区和内部网的隔离区,进一步增强安全性。如上图所示,第一道防火墙放置在接入路由器后面,保护公共访问区的WEB服务器、文件服务器;第二道防火墙则放

5、置在内部网和公共访问区之间,直接保护内部网的安全。注意到不同类型防火墙的优劣性,我们可以在两个接入点放置不同的防火墙,形成所谓的quot;异构防火墙”。江苏万和计算机培训中心地址:南京市中山北路26号新晨国际大厦24层(地铁鼓楼站4A出口)官方网站:http://www.wanho.net  企业在外地的分公司希望连接入企业内部网,这种需求早期都是通过向服务供应商申请长途DDN专线或帧中继实现的。这样虽然构建了私有的网络,保证了安全性,但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用VPN技术,就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请

6、本地DDN专线,一方面可以解决访问Internet的问题,另一方面也可以利用公共网实现与企业网的连接。当然,企业内部数据在公网上传输,安全性更加显得重要。我们可以在两端添置加密设备,利用一定的加密算法,将数据加密后再通过公网传送,等于利用公网开辟了一道企业私有?quot;隧道”,即实现了所谓的VPN。数据加密的实现可以通过硬件和软件的方式来实现,硬件设备主要是专用的加密机,而软件则可能是运行在主机上的应用程序,或者是两端接入设备内置的功能。比如Cisco公司多款路由器上都有带有VPN特性的IOS软件,可直接在路由器上进行加密/解密工作。  企业部分员工由于经常出差

7、或者在假日加班,需要经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性,但是也带来了一些隐患。最典型的就是员工的口令被人窃取,做为非法访问的手段。此时,我们需要有支持AAA(认证、授权、审计)功能的访问服务器。一般来说,访问服务器通过TACAS+、RADIUS等协议与内部一台AAA服务器联系,AAA服务器集中管理拨号用户的属性数据库。认证方面,AAA服务器负责每个用户的用户名、口令,保证用户的合法性;授权方面,AAA服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等;审计方面,AAA服务器负责纪录每一次成功或者失败的拨

8、号过程的时

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。