亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        MPLSVPN技術(shù)安全探討

        2009-04-23 10:03:58張先球李駿仁
        新媒體研究 2009年6期
        關(guān)鍵詞:網(wǎng)絡(luò)安全

        張先球 李駿仁

        [摘要]VPN(虛擬專用網(wǎng))安全方面必須是地址和路由隔離、骨干網(wǎng)對外界隱蔽和能預(yù)防攻擊?;贛PLS(多協(xié)議標(biāo)簽交換)的VPN與一般第二層VPN的安全方案比較及其加強措施進行探討。

        [關(guān)鍵詞]MPLS VPN 網(wǎng)絡(luò)安全

        中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0320052-02

        目前,企業(yè)客戶已接受了幀中繼和ATM等第二層VPN提供的安全性,但是,他們對基于MPLS的VPN的安全性還是心存疑慮。無論是從技術(shù)本身,還是從常規(guī)的網(wǎng)絡(luò)應(yīng)用來說,MPLS VPN都可以達到與ATM、幀中繼同樣的安全程度。

        一、MPLS技術(shù)安全性

        當(dāng)將基于MPLS-VPN的解決方案與幀中繼和ATM等第二層VPN解決方案進行比較時,必須滿足幾個關(guān)鍵的安全要求:必須隔離地址和路由;骨干網(wǎng)的內(nèi)部結(jié)構(gòu)必須對外界隱蔽,與幀中繼或ATM網(wǎng)絡(luò)核心一樣,MPLS-VPN核心也必須隱蔽。網(wǎng)絡(luò)必須能預(yù)防攻擊,包括拒絕服務(wù)(DoS)和入侵攻擊。

        為了實現(xiàn)MPLS網(wǎng)的高度安全性,MPLS VPN做到了以下幾點:

        1.地址空間和路由獨立

        在MPLS VPN中,不同的VPN之間,地址空間是完全獨立的。這意味著:

        (1)任一VPN必須使用與其他VPN同樣的地址空間;(2)任一VPN必須使用與MPLS核心同樣的地址空間;(3)任意兩個VPN之間的路由必須相互獨立;(4)任意VPN和核心網(wǎng)絡(luò)之間的路由必須相互獨立。

        這是為了實現(xiàn)某一VPN中的數(shù)據(jù)包不至于到達其他VPN或MPLS核心網(wǎng)中具有同樣地址的主機。

        2.隱藏MPLS核心網(wǎng)

        MPLS不會暴露任何不必要的信息給外界,包括其VPN用戶,這樣將使網(wǎng)絡(luò)攻擊變得十分艱難。圖1示出了VPN可能暴露于外界的地址空間:VPN1看不到P路由器或其他VPN,CE和PE路由器之間的連接屬于VPN的地址空間,而PE路由器上的其他地址則屬于核心網(wǎng)。

        3.攻擊防范

        由于地址空間和路由的獨立性,直接實施對某一VPN的攻擊幾乎不可能,只能通過MPLS核心網(wǎng)實現(xiàn)。對MPLS核心的攻擊有兩種基本途徑:直接攻擊PE路由器、攻擊MPLS信令機制(多數(shù)為路由)。

        VPN和MPLS核心網(wǎng)之間有兩種路由配置方式:一是靜態(tài)路由,二是動態(tài)路由。

        為了降低這種被攻擊的風(fēng)險,在PE路由器上盡可能安全地配置路由協(xié)議,有以下幾種途徑達到這一目的。

        (1)只允許來自CE的路由協(xié)議進入PE,而禁止來自任何其他地方的路由;或在CE路由器的接口上綁定ACL,只允許到達PE路由器的訪問進入。

        (2)為路由協(xié)議配置MD5鑒權(quán),BGP、OSPF、RIPv2都可以做到這一點。需要注意的是,這需要SP和用戶就所有CE和PE路由器之間的共享加密達成一致意見。

        (3)配置某些路由協(xié)議參數(shù)。如在BGP協(xié)議中,配置“BGP dampen”及相關(guān)參數(shù),有效抑制路由震蕩和相互制約。此外,如果可能,對每個VRF配置可以接受的最大路由數(shù)。

        由上可知,從一個VPN攻擊其他VPN或核心網(wǎng)幾乎不可能,但從理論上講,CE路由器依然可能通過路由協(xié)議對PE路由器實施DoS攻擊,因此,必須對PE路由器加以很好的保護,尤其是與CE路由器相連接的PE接口。

        4.拒絕標(biāo)記哄騙

        在MPLS網(wǎng)絡(luò)中,數(shù)據(jù)包轉(zhuǎn)發(fā)是依據(jù)PE路由器所附加的標(biāo)記來完成的,而非目標(biāo)IP地址。與IP地址哄騙(攻擊者調(diào)換源IP地址和目的IP地址)攻擊相類似,攻擊者也可能對MPLS數(shù)據(jù)包實施標(biāo)記哄騙。

        但PE路由器不可以接受來自CE路由器帶有標(biāo)記的數(shù)據(jù)包,任何此類數(shù)據(jù)包都將會被丟棄,因此,在MPLS網(wǎng)絡(luò),通過標(biāo)記哄騙來實施攻擊是不可能的。但發(fā)送到MPLS核心網(wǎng)的數(shù)據(jù)包,其IP地址仍然有可能被哄騙,然而由于PE路由器有嚴(yán)格的地址獨立性,每個VPN都有自己的VRF,因此,這種攻擊只能影響產(chǎn)生地址哄騙的VPN,而對MPLS并沒有增加任何風(fēng)險。

        二、MPLS的安全加強措施

        僅靠MPLS的自身技術(shù)安全性還不足以讓人放心。對SP來說,采取附加措施保護MPLS核心網(wǎng)安全非常重要。首先要考慮以下因素:

        (1)可信任設(shè)備:PE及P路由器、遠程訪問服務(wù)器、AAA服務(wù)器等,都必須被看作可信任的系統(tǒng),這需要非常強大的安全管理,包括物理安全系統(tǒng)及訪問控制列表、安全配置管理等等。而CE路由器不屬于SP的管理范圍,被視作不可信任系統(tǒng)。

        (2)CE/PE接口:PE和CE路由器之間的接口對于MPLS網(wǎng)絡(luò)的安全來說至關(guān)重要,PE路由器的配置應(yīng)盡可能嚴(yán)密。從安全角度講,最好將CE路由器配置為非指定IP地址,并使用靜態(tài)路由。

        1.網(wǎng)絡(luò)核心的保護

        包過濾器的配置非常重要,它可以只允許來自CE路由器的某些特定路由到達PE路由器對等接口,而其他流量將被拒絕。這可有效防止針對P及PE路由器的攻擊,而PE路由器上的對等接口,由于其特殊地位,需要專門的保護措施。

        (1)路由鑒權(quán):路由是PE和CE路由設(shè)備之間的信令機制,路由協(xié)議有可能將虛假的信息引入核心網(wǎng),這是最顯而易見的攻擊點。因此,所有的路由協(xié)議(尤其BGP、OSPF等)都應(yīng)該針對不同的CE和Internet連接,配置有相應(yīng)的安全鑒定選項,所有的對等關(guān)系都應(yīng)該采用相應(yīng)的方法加以安全防護:CE/PE(BGP:MD5鑒權(quán))、PE/P(標(biāo)記分配協(xié)議LDP的MD5鑒權(quán))以及P/P等。

        (2)CE/PE連接獨立:如果有多個CE設(shè)備共享某二層設(shè)備接入同一PE路由器(如VLAN),其中一個VPN的CE設(shè)備就有可能哄騙其他VPN的數(shù)據(jù)包,這時采用上述的路由協(xié)議就不能產(chǎn)生安全效果,可在CE和PE之間盡可能采用獨立的物理連接。在PE和多個CE路由器之間采用交換機也并非不可以,但一定要將不同的CE/PE連接劃歸不同的VLAN,使各自的流量相互獨立。

        (3)LDP鑒權(quán):標(biāo)記分配協(xié)議LDP也可以在MPLS網(wǎng)絡(luò)采用MD5鑒權(quán),可以防止黑客引入虛假路由器參加標(biāo)記的分配。

        2.VPN連接及Internet接入

        MPLS不僅提供了VPN的獨立性,同樣也允許VPN的融合和Internet訪問。

        為了實現(xiàn)VPN間的互連,PE路由器必須維護多種不同的列表:針對每個CE路由器的路由關(guān)聯(lián)表專用于存儲VPN路由,從這里發(fā)布到VPN路由轉(zhuǎn)發(fā)表VRF的路由表中,并進而得出VRF轉(zhuǎn)發(fā)表。對于每個獨立的VPN,VRF路由表僅包含來自一個路由關(guān)聯(lián)表的路由,為了實現(xiàn)不同VPN的融合,不同路由關(guān)聯(lián)表(來自不同的VPN)被置入同一VRF路由表中。需要說明的是,這時,多個被合并的VPN的地址空間就有了相關(guān)性,必須是排他性的。同樣,也可以通過ACL來控制VRF表中的路由。

        3.防火墻

        (1)VPN間防火墻

        企業(yè)之間往來密切時,它們之間需要進行VPN之間的通信,這時就有了VPN連接。但在多數(shù)情況下,企業(yè)仍有可能希望保持與互連企業(yè)間邏輯上的獨立性。為了實現(xiàn)這一目的,可以在兩個VPN之間配置防火墻,此時的防火墻在SP處管理,而不在企業(yè)內(nèi)。

        要通過防火墻連接兩個VPN,必須在PE路由器上為每個VPN增加一個接口,用于連接防火墻。這樣,從VPN A路由器到VPN B的數(shù)據(jù)包到達PE路由器后,由于PE到VPN B的路由指向與防火墻相連的接口,因此,數(shù)據(jù)包將穿過防火墻,并通過另一個接口(屬于VPN B的接口)回到PE路由器。

        由于交換機不提供流量的獨立性,因此,如果防火墻的兩個接口要連接交換機,則最好使用兩臺交換機分別連接防火墻的兩個接口;如果只能連接在同一個交換機上,必須在防火墻的兩邊使用不同的VLAN。

        (2)Internet防火墻

        連接到其他SP的PE路由器必須通過防火墻實現(xiàn)與其他SP的互聯(lián)互通。如果一個防火墻可能用于所有VPN(共享防火墻),則PE路由器通過這一道防火墻完成與其他SP的互連,PE路由器在缺省VRF路由表中維護Internet路由,Internet路由被發(fā)布到需要Internet接入的VPN VRF表中,而各VPN的路由則被發(fā)布到PE路由器的缺省VRF表中,并進而通過防火墻發(fā)布到Internet中。需要接入Internet的VPN必須使用經(jīng)過注冊的IP地址。

        如果所有VPN必須通過同一個防火墻,其安全策略必須完全相同。如果要為每個VPN配置個性化的安全策略,則必須為每個VPN配置獨立的防火墻,PE路由器也要為每個VPN增加一個接口,在防火墻之外,這些連接又可以匯總到一個路由器中,再通過同一臺路由器連接其他SP。

        (3)CE防火墻

        對于龐大的網(wǎng)絡(luò),安全管理較難,這時,可對網(wǎng)絡(luò)加以分割。越來越多的企業(yè)正在用防火墻來分割不同的分支機構(gòu),以保證內(nèi)部網(wǎng)絡(luò)的安全性。

        在分割企業(yè)網(wǎng)并在MPLS網(wǎng)絡(luò)中作為一個VPN時,在每個CE路由器上放置一道防火墻可以使整個網(wǎng)絡(luò)更易于管理。這時,辦公室以外的所有設(shè)備都被視為不可信任,即使來自本公司其他部門的流量也同樣需要進行安全檢查。

        4.IPSec與MPLS結(jié)合

        在MPLS網(wǎng)上運行IPSec,通過數(shù)據(jù)加密和頭部鑒權(quán)(AH),可提供額外的系統(tǒng)安全,即使來自MPLS網(wǎng)絡(luò)內(nèi)部的攻擊也無法破壞VPN的安全性。

        IPSec可以運行在CE路由器或遠離核心網(wǎng)的設(shè)備上,如果CE路由器在用戶的控制之中,IPSec將是非常好的選擇;如果CE屬于SP的管理范圍,那么用戶就必須確定是否信任SP,決定IPSec是運行在CE上還是在SP的范圍之外增加其他IPSec設(shè)備。

        三、總結(jié)

        結(jié)果表明,基于MPLS的VPN網(wǎng)絡(luò)已經(jīng)能夠滿足或超過幀中繼或ATM等第二層VPN的安全特性要求。因此,我們認(rèn)為MPLS-VPN可以為企業(yè)客戶和服務(wù)提供商提供與幀中繼或ATM相同的安全性。

        參考文獻:

        [1]Behringer,Michael H./Morrow,Monique J.Mpls Vpn Security.Macmillan Technical Pub,2005年7月.

        [2](美)IVAN PEPELNJAK,JIM GUICHARD,JEFF APCAR,譯者:盧澤新、朱培棟、齊寧,MPLS和VPN體系結(jié)構(gòu)(第2卷),2004年3月.

        [3]王柱,基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津:天津大學(xué),2006年3月.

        作者簡介:

        張先球,男,甘肅蘭州人,助理工程師,主要研究方向:系統(tǒng)管理;李駿仁,男,甘肅蘭州人,助理工程師,主要研究方向:軟件開發(fā)。

        猜你喜歡
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全知多少?
        工會博覽(2023年27期)2023-10-24 11:51:28
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實戰(zhàn)化”
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        我國擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        “4.29首都網(wǎng)絡(luò)安全日”特別報道
        日本中文字幕有码在线播放| 国产3p视频| 亚洲av日韩片在线观看| 一区二区三区成人av| 国产高清乱码又大又圆| 国产无人区码一码二码三mba| 成年免费a级毛片免费看无码| 国产农村乱子伦精品视频| 91人妻无码成人精品一区91| 一区二区三区国产大片| 亚洲精品人成中文毛片| 国产一区二区精品久久| 国模无码视频专区一区| 国产精品视频白浆免费看| 亚洲国产精品无码久久一区二区| 男男性恋免费视频网站| 国产最新一区二区三区天堂| 女人天堂av免费在线| 中文字幕亚洲无线码在线一区| 狠狠色综合网站久久久久久久| 白白色发布在线播放国产| 婷婷久久亚洲中文字幕| 国产成人小视频| 欧美日韩精品一区二区在线视频 | 日韩精品久久伊人中文字幕| 中文字幕无码成人片| 亚洲av无码av制服丝袜在线 | 77777亚洲午夜久久多喷| 久久99热久久99精品| 国产欧美日韩图片一区二区| 久久精品国产亚洲av天美| 日本19禁啪啪吃奶大尺度| 久久国产A√无码专区亚洲| 免费一区二区三区av| 国产成人a级毛片| 一本大道久久香蕉成人网| 亚洲AV成人综合五月天在线观看| 精品久久综合日本久久综合网| 狠狠综合久久av一区二区| 亚洲动漫成人一区二区| 91国内偷拍精品对白|