论文部分内容阅读
摘要:为了避免网络安全隐患的发生,我们必须防范于未然,尽可能采取一切措施,保证网络的安全。
关键词: MPLS VPN;网络安全;策略
一、MPLS VPN 简介MPLS是基于标记的IP路由选择方法,这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS的一个重要应用是VPN。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。 从整体来说MPLS VPN还是在发展和成型阶段。 其中三层MPLS BGP VPN相对来说比较成熟,三层MPLS BGP VPN组网方案。三层MPLS VPN的网络结构,主要由PE (Provider Edge Device,运营商边缘设备)、P(Provide Device,运营商设备)和CE(Customer Edge Device,用户边缘设备)3种设备组成。
MPLS VPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发。
MPLS VPN路由信息发布过程:PE和CE可以通过静态或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF;PE对每一条VPN路由加上RD(Route Distinguisher,路由区分符,用于区分一台PE接收到其他PE发来的不同VRF的相同路由,并形成一条VPNv4路由)和RT(Route Target,路由目标RT,用于实现不同VRF之间的路由互通)属性,然后把路由更新信息发给所有的PE邻居;根据本地VRF的RT属性把VPNv4路由加入到相应的VRF中,再由本地VRF的路由协议引入并转发给相应的CE。
二、传统专网与MPLS VPN的安全性分析 传统VPN的安全保证主要靠其CUG(Closed User Group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的DoS(Denial of Service,拒绝服务)等攻击。但如果用户VPN的每个CPE都连到Internet,就必须设置防火墙来保护每个网段的安全。 与传统VPN不同,由于MPLS VPN采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术。一个VPN包括一组CE,以及同其相连的IP MAN中的PE。只有PE理解VPN,CE可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个VPN依靠VPN-instance来识别成员关系。 MPLS VPN的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的VPN标记,因此在骨干网上VPN的数据流量是隔离的,保证了用户发送的分组被传送到正确的VPN。 另外,封闭的MPLS VPN本身就具有内在的安全性。如果用户需要访问Internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个VPN提供安全的连接。由于整个VPN只需要维护一种安全策略,管理起来也非常容易。
三、网络安全策略的实施
1.由于企业网络与Internet存在物理连接,故在Internet入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙,拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟,各大厂商都有自己的产品,而不同的产品也是各有所长。大致上来说,防火墙一般可分为两类。一类是纯软件,运行在多网卡的UNIX主机上。这样比较便于实现,使用比较灵活,但是由于Unix操作系统本身存在一定的安全隐患,其安全性也大打折扣。考虑到企业可能有一部分服务需要在Internet上公开发布,如WEB网页。这时,我们可以再增加一道防火墙,做为公共访问区和内部网的隔离区,进一步增强安全性。企业在外地的分公司希望连接入企业内部网,这种需求早期都是通过向服务供应商申请长途DDN专线或帧中继实现的。这样虽然构建了私有的网络,保证了安全性,但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用VPN技术,就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请本地DDN专线,一方面可以解决访问Internet的问题,另一方面也可以利用公共网实现与企业网的连接。
企业部分员工由于经常出差或者在假日加班,需要经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性,但是也带来了一些隐患。最典型的就是员工的口令被人窃取,做为非法访问的手段。此时,我们需要有支持AAA(认证、授权、审计)功能的访问服务器。一般来说,访问服务器通过TACAS+、RADIUS等协议与内部一台AAA服务器联系,AAA服务器集中管理拨号用户的属性数据库。认证方面,AAA服务器负责每个用户的用户名、口令,保证用户的合法性;授权方面,AAA服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等;审计方面,AAA服务器负责纪录每一次成功或者失败的拨号过程的时间、用户、所使用的主叫号码(需电信运营商支持)等等。通过以上这些过程,拨号访问的安全得以最大程度的控制
2.在以上安全策略实现之后,还需要进一步对网络的安全性进行监测。主要通过一些IDS(入侵监测系统)设备实时的监测,发现那些非法的访问和不良的试探。一般我们将IDS放置在那些最容易产生危险或者最敏感的网络部位,譬如图中公共訪问区的服务器群中、企业要害部门的服务器。IDS设备24小时监测网络中的数据流,一旦发现可疑现象,将及时向网管人员报告,并且采取一定的措施。
3.我们在网络安全的较量当中,不能总是处于被动防守的地位。在安全策略实现之后,我们还应该主动采取一些措施,定期的对网络的安全性进行全面测试。包括使用一些专用的黑客工具,模拟一些攻击,以测试网络的稳固性;或者对于一些重要的主机、服务器,定期检查它们的安全漏洞。
结束语
我们进一步的发现了网络中存在的安全漏洞,从而需要制订进一步的计划,来改进网络的安全问题。接下来便是又一个循环过程,正如我们前面所说的,网络安全只有在不断发现问题、分析问题和解决问题当中,才可以不断的改进,在面对威胁时获得主动。
参考文献:
王柱.基于IP城域网的MPLS VPN规划与性能分析[D]天津:天津大学,2006.
关键词: MPLS VPN;网络安全;策略
一、MPLS VPN 简介MPLS是基于标记的IP路由选择方法,这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS的一个重要应用是VPN。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。 从整体来说MPLS VPN还是在发展和成型阶段。 其中三层MPLS BGP VPN相对来说比较成熟,三层MPLS BGP VPN组网方案。三层MPLS VPN的网络结构,主要由PE (Provider Edge Device,运营商边缘设备)、P(Provide Device,运营商设备)和CE(Customer Edge Device,用户边缘设备)3种设备组成。
MPLS VPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发。
MPLS VPN路由信息发布过程:PE和CE可以通过静态或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF;PE对每一条VPN路由加上RD(Route Distinguisher,路由区分符,用于区分一台PE接收到其他PE发来的不同VRF的相同路由,并形成一条VPNv4路由)和RT(Route Target,路由目标RT,用于实现不同VRF之间的路由互通)属性,然后把路由更新信息发给所有的PE邻居;根据本地VRF的RT属性把VPNv4路由加入到相应的VRF中,再由本地VRF的路由协议引入并转发给相应的CE。
二、传统专网与MPLS VPN的安全性分析 传统VPN的安全保证主要靠其CUG(Closed User Group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的DoS(Denial of Service,拒绝服务)等攻击。但如果用户VPN的每个CPE都连到Internet,就必须设置防火墙来保护每个网段的安全。 与传统VPN不同,由于MPLS VPN采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术。一个VPN包括一组CE,以及同其相连的IP MAN中的PE。只有PE理解VPN,CE可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个VPN依靠VPN-instance来识别成员关系。 MPLS VPN的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的VPN标记,因此在骨干网上VPN的数据流量是隔离的,保证了用户发送的分组被传送到正确的VPN。 另外,封闭的MPLS VPN本身就具有内在的安全性。如果用户需要访问Internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个VPN提供安全的连接。由于整个VPN只需要维护一种安全策略,管理起来也非常容易。
三、网络安全策略的实施
1.由于企业网络与Internet存在物理连接,故在Internet入口处的安全性是首当其冲的。我们在接入路由器的后面必须放置一道防火墙,拦截来自于互联网的攻击。目前业界的防火墙技术已经非常成熟,各大厂商都有自己的产品,而不同的产品也是各有所长。大致上来说,防火墙一般可分为两类。一类是纯软件,运行在多网卡的UNIX主机上。这样比较便于实现,使用比较灵活,但是由于Unix操作系统本身存在一定的安全隐患,其安全性也大打折扣。考虑到企业可能有一部分服务需要在Internet上公开发布,如WEB网页。这时,我们可以再增加一道防火墙,做为公共访问区和内部网的隔离区,进一步增强安全性。企业在外地的分公司希望连接入企业内部网,这种需求早期都是通过向服务供应商申请长途DDN专线或帧中继实现的。这样虽然构建了私有的网络,保证了安全性,但是每月必须花不菲的费用在租用线路上代价很高。如今我们利用VPN技术,就可以获得圆满的解决。企业外地分公司可以向当地服务供应商申请本地DDN专线,一方面可以解决访问Internet的问题,另一方面也可以利用公共网实现与企业网的连接。
企业部分员工由于经常出差或者在假日加班,需要经常性的通过远程拨号的方式访问内部网。这种远程访问方式虽然一定程度上增加了灵活性,但是也带来了一些隐患。最典型的就是员工的口令被人窃取,做为非法访问的手段。此时,我们需要有支持AAA(认证、授权、审计)功能的访问服务器。一般来说,访问服务器通过TACAS+、RADIUS等协议与内部一台AAA服务器联系,AAA服务器集中管理拨号用户的属性数据库。认证方面,AAA服务器负责每个用户的用户名、口令,保证用户的合法性;授权方面,AAA服务器负责指定每个用户可以访问的资源、拥有的权限以及访问的时间等等;审计方面,AAA服务器负责纪录每一次成功或者失败的拨号过程的时间、用户、所使用的主叫号码(需电信运营商支持)等等。通过以上这些过程,拨号访问的安全得以最大程度的控制
2.在以上安全策略实现之后,还需要进一步对网络的安全性进行监测。主要通过一些IDS(入侵监测系统)设备实时的监测,发现那些非法的访问和不良的试探。一般我们将IDS放置在那些最容易产生危险或者最敏感的网络部位,譬如图中公共訪问区的服务器群中、企业要害部门的服务器。IDS设备24小时监测网络中的数据流,一旦发现可疑现象,将及时向网管人员报告,并且采取一定的措施。
3.我们在网络安全的较量当中,不能总是处于被动防守的地位。在安全策略实现之后,我们还应该主动采取一些措施,定期的对网络的安全性进行全面测试。包括使用一些专用的黑客工具,模拟一些攻击,以测试网络的稳固性;或者对于一些重要的主机、服务器,定期检查它们的安全漏洞。
结束语
我们进一步的发现了网络中存在的安全漏洞,从而需要制订进一步的计划,来改进网络的安全问题。接下来便是又一个循环过程,正如我们前面所说的,网络安全只有在不断发现问题、分析问题和解决问题当中,才可以不断的改进,在面对威胁时获得主动。
参考文献:
王柱.基于IP城域网的MPLS VPN规划与性能分析[D]天津:天津大学,2006.