网络安全技术介绍(华为)

Quidway系列路由器提供一个全面的网络安全解决方案,包括用户验证,授权,数据保护等.

Quidway系列路由器所采用的安全技术主要包括:

包过滤技术-针对IP地址的一种访问控制

AAA验证-对拥护进行验证,授权,计费的技术

地址转换-屏蔽内部网络地址的一种技术

VPN技术-提供一种安全"私有连接" 的技术

智能防火墙-可以针对内容等进行访问控制的技术

加密和密钥管理技术

在路由器中,包过滤技术是实现防火墙的最重要的手段

访问控制列表的另一个用途

由于访问控制列表具有区分数据包的功能,因此,访问控制列表可以控制"什么样的数据包",可以做什么样的事情.

例如,当企业内部网通过拨号方式访问Internet,如过不希望所有的用户都可以拨号上网,就可以利用控制列表决定那些主机可以触发拨号,以达到访问Ineternet的目的.

利用访问控制列表可以控制数据包的触发拨号,同样在IPSec,地址转换等应用中,可以利用访问控制列表描述什么样的数据包可以加密,什么样的数据包可以地址转换等.

IP数据包具有一定的特征,例如,对于每个TCP数据包,都包含有上图所示的5个元素,利用这5个元素就可以描述出一个数据包的特征.访问控制列表利用的就是这些包头的信息来定义规则的.

通配比较位的意义和子网掩码很相似,但是用法是不一样的.利用通配比较位可以定义一个范围内的地址.例如定义一个10.110.0.0/16 网段的所有主机.

规则序列号的范围表示了它属于什么样的访问控制列表,例如

access-list 1 permit 202.110.10.0 0.0.0.255

表示序号为1的访问控制列表,它是标准访问列表

access-list 100 deny udp any any eq rip

表示序列号为100的访问控制列表,它是扩展访问列表