(3)安全策略
SRT答应每个用户、用户组或分支办公室分别使用各自的安全性配置文件设置 。该配置文件保存个人信息,不管他是在家中还是在办公室,而且,不管是运行在隧道化还是非隧道化连接上,都以同样的方式应用鉴权和接入权限 。
(4)安全治理
Contivity的设计中没有“后门” 。通过安全加密隧道进行配置是Contivity因特网(或公共)接口支持的唯一模式,在该接口中内置了拒绝服务(DoS)保护 。Contivity还记录所有的安全性/鉴权事务处理和事件,它们可存储在Contivity的本地硬盘驱动器中或存储在设备以外的介质中,依靠于企业的安全性实践 。
单一硬件设备以一种高度集成的方式提供IP路由、VPN、状态防火墙、加密、鉴权、策略服务、QoS和带宽治理业务 。利用其全面的IP服务,单一Contivity设备可以解决处理通常需要多个专用IP和安全性设备来解决的问题 。此外,灵活的软件许可系统答应企业在需要时增加多种IP业务 。
Contivity构建于北电网络安全路由技术(SRT)框架之上,SRT集成了Contivity的主要功能组件(如治理、接入、路由、和策略),在这些设备上编织了一个坚固的安全架构 。即使是在同一个设备上运行多种IP业务,它也可提供扩展性和较高的性能 。
SRT同时还能实现密钥功能,如安全IPSec隧道上的动态路由(RIP/OSPF)、VPN、防火墙和路由业务的公共用户安全策略,以及在需要时增加新的IP设备而不影响总体性能 。
北电网络安全路由技术能将VPN集成到现有路由器中,升级软件以便通过安全协议来处理话务;为每个设备添加加密卡支持和实施上述网络升级 。
2.安全路由技术的发展
要实现IPSec VPN及安全路由技术大面积的推广,还需确保IPSec VPN实现网络地址转换的功能,远端节点极有可能处于保留地址段,该远端节点若要采用IPSec VPN连接中心节点,必须实现网络地址转换(NAT)的功能 。
由于 IPSec VPN协议架构本身的原因以及缺乏支持IPSec 的NAT设备,当IPSec和NAT在一起运行时就会出现很多问题 。
NAT 有静态NAT和动态NAT两种类型 。其中静态NAT答应数据主动进出网络,而动态NAT只答应数据主动流出网络,出网时把源地址转换为合法地址,进网时则把目标地址转换为原来的内部地址,以达到与公网互通的目的 。
IPSec 的许多特性阻止了NAT的运行,如IKE 必需保证源UDP端口=目的UDP端口=500,此特性阻止了PAT多对一的运行,IPSec AH 方式不答应改变任何IP 地址,以满足认证功能与完整性功能,因此阻止了任何类型NAT的运行 。在ESP 传输模式下,NAT设备无法修改TCP CHECKSUM,因此也无法运行NAT 。这些限制严重阻碍了IPSec VPN的普及,无法把IPSec推向网络边缘 。而北电网络Contivity解决方案成功解决了该问题,让IPSec VPN 走向网络边缘成为可能 。保证了建网的灵活性 。
北电网络推出五种Contivity安全IP业务网关,其中Contivity 1010,1050和1100可为要求站点间或远程接入VPN应用及简单因特网连接的小型分支机构、家庭办公室及小型企业提供经济高效、安全的一体化解决方案;Contivity 1700和2700则适用于大中型分支机构 。
推荐阅读
- Cisco路由器安全配置
- 路由器的类型
- CIDR 细述无类别域间路由技术
- 选择安全路由器的标准
- 连接一个终端到Cisco路由器
- 路由器能否取代防火墙?
- 路由器的安全设计
- 基本的CISCO路由器安全配置
- 路由器的安全与可靠的问题
- 2505路由器HUB端口的安全性配置