南京CCIE培训MPLSVPN地网络安全.docVIP

江苏万和计算机培训中心地址：南京市中山北路26号新晨国际大厦24层(地铁鼓楼站4A出口)官方网站：　　南京CCIE培训 MPLS VPN的网络安全　　随着网络的迅速发展，尤其是Internet互联网的急剧膨胀，使得人们在受益的同时受到越来越大的威胁。这便是无所不在的网络安全隐患。当企业还沉浸在享受新技术、新成果所带来的幸福之中时，某些幽灵或许正躲在 世界的另一个角落，尝试着对企业漏洞百出的网络进行一次又一次的攻击，一旦他们侥幸得手，留给我们的恐怕只有惊慌失措和束手无策。他们一般被人称之为–黑客。为了避免以上悲剧的发生，我们必须防范于未然，尽可能采取一切措施，保证网络的安全。　　网络安全首先是一种策略，而不是一项技术。策略的实施是一项长期、不间断的过程，安全策略的实现、监控、测试、改进四部分是不可或缺，并且不断循环的，正如右面图中所示。　　在网络安全的实施过程当中，涉及到多种产品和设备，业界各大产商对于网络安全的重要性有着一致的认识，但是可能有着不同的侧重面。我们凭借在系统集成领域长期的工作实践，积累了大量的相关经验，这同时也有助于我们提供给用户一套非常完整的网络解决方案。　　以下是我们提供给企业级用户的一套完整的网络安全解决方案：　　网络安全隐患来自于方方面面，主要可以分为内部和外部两种。与Internet相连的企业网络，可能遭受来自于互联网上任何一台PC机的恶意攻击和破坏；在企业内部，也不排除存在对于企业心怀不满的员工或者是潜伏在企业内部的商业间谍，他们也极大的威胁着网络的安全。一旦攻击得逞，企业所受的损失将是不可估量的。　　我们充分考虑到来自于网络方方面面的威胁，试图给出一套完整的解决方案。　　首先，由于企业网络与Internet存在物理连接，故在Internet入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙，拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟，各大厂商都有自己的产品，而不同的产品也是各有所长。大致上来说，防火墙一般可分为两类。一类是纯软件，运行在多网卡的UNIX主机上。这样比较便于实现，使用比较灵活，但是由于Unix操作系统本身存在一定的安全隐患，其安全性也大打折扣。此类产品当中比较有名的，如：CA公司的CheckPoint防火墙系列。另一类产品则是一套软硬件结合的产品，由于它本身的系统平台不为人所知，故减少了许多安全隐患。同时由于它是一种专业安全产品，能够实现更多诸如Failover等特性。该类产品比如Cisco公司的PIX防火墙系列。　　考虑到企业可能有一部分服务需要在Internet上公开发布，如WEB网页。这时，我们可以再增加一道防火墙，做为公共访问区和内部网的隔离区，进一步增强安全性。如上图所示，第一道防火墙放置在接入路由器后面，保护公共访问区的WEB服务器、文件服务器；第二道防火墙则放置在内部网和公共访问区之间，直接保护内部网的安全。注意到不同类型防火墙的优劣性，我们可以在两个接入点放置不同的防火墙，形成所谓的quot;异构防火墙”。　　企业在外地的分公司希望连接入企业内部网，这种需求早期都是通过向服务供应商申请长途DDN专线或帧中继实现的。这样虽然构建了私有的网络，保证了安全性，但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用VPN技术，就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请本地DDN专线，一方面可以解决访问Internet的问题，另一方面也可以利用公共网实现与企业网的连接。当然，企业内部数据在公网上传输，安全性更加显得重要。我们可以在两端添置加密设备，利用一定的加密算法，将数据加密后再通过公网传送，等于利用公网开辟了一道企业私有？quot;隧道”，即实现了所谓的VPN。数据加密的实现可以通过硬件和软件的方式来实现，硬件设备主要是专用的加密机，而软件则可能是运行在主机上的应用程序，或者是两端接入设备内置的功能。比如Cisco公司多款路由器上都有带有VPN特性的IOS软件，可直接在路由器上进行加密/解密工作。　　企业部分员工由于经常出差或者在假日加班，需要经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性，但是也带来了一些隐患。最典型的就是员工的口令被人窃取，做为非法访问的手段。此时，我们需要有支持AAA（认证、授权、审计）功能的访问服务器。一般来说，访问服务器通过TACAS+、RADIUS等协议与内部一台AAA服务器联系，AAA服务器集中管理拨号用户的属性数据库。认证方面，AAA服务器负责每个用户的用户名、口令，保证用户的合法性；授权方面，AAA服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等；审计方面，AAA服务器负责纪录每一次成功或者失败的拨号过程的时间、用户、所使用的主叫号