發(fā)信人: glees (我心底的中國(guó)), 信區(qū): Network 
標(biāo)  題: IP寬帶網(wǎng)數(shù)據(jù)傳輸安全策略 
發(fā)信站: 哈工大紫丁香 (2001年10月01日09:51:32 星期一), 站內(nèi)信件 
  
IP寬帶網(wǎng)數(shù)據(jù)傳輸安全策略 
  
發(fā)布日期: 2001-9-30 
  
--------------------------------------------------------------------------- 
---- 
作者：浙江金華電業(yè)局調(diào)度所 張立群 
---------------------------------------------------------------------------- 
---- 
引 言：在當(dāng)前情況下，政府上網(wǎng)及企業(yè)上網(wǎng)工程的實(shí)施，電子商務(wù)的廣泛應(yīng)用導(dǎo)致了越 
來(lái)越多的敏感數(shù)據(jù)通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，網(wǎng)絡(luò)的安全性正成為日益迫切的需求。本文將針 
對(duì)典型的IP寬帶網(wǎng)的各類(lèi)安全隱患，結(jié)合相應(yīng)的黑客的入侵方式，對(duì)IP寬帶網(wǎng)內(nèi)的安全 
技術(shù)進(jìn)行全面介紹，通過(guò)實(shí)施相應(yīng)的安全策略及安裝安全設(shè)備極大的增強(qiáng)IP寬帶網(wǎng)的安 
全性。 
一、IP寬帶網(wǎng)的典型連接方式 
寬帶IP網(wǎng)的典型連接方式如下 
在該拓?fù)渲?，主干設(shè)備采用了支持IP over SDH/SONET的多業(yè)務(wù)光傳輸平臺(tái)（采用IP Ov 
er ATM、IP Over Optical等技術(shù)時(shí)類(lèi)似）該平臺(tái)能夠同時(shí)提供高速數(shù)據(jù)業(yè)務(wù)和傳統(tǒng)的D 
S1、DS3技術(shù)。 
在分布接入層，根據(jù)應(yīng)用需求的大小不同選擇了相應(yīng)的2/3層以太網(wǎng)交換機(jī)連接提供用戶(hù) 
接入服務(wù)。 
從網(wǎng)絡(luò)安全的角度來(lái)看，傳統(tǒng)的DS1、DS3業(yè)務(wù)采用獨(dú)立的信道進(jìn)行傳輸，能夠提供和電 
信相關(guān)設(shè)備同等的安全性；在高速數(shù)據(jù)業(yè)務(wù)上，該設(shè)備支持MPLS多協(xié)議標(biāo)志交換技術(shù)， 
能夠克服傳統(tǒng)以太網(wǎng)在安全控制方面的各類(lèi)缺點(diǎn)，提供和電信專(zhuān)線等同的安全性。 
但在該寬帶IP網(wǎng)中，絕大多數(shù)個(gè)人和單位用戶(hù)都不會(huì)直接接入骨干設(shè)備，而是連入專(zhuān)門(mén) 
提供用戶(hù)接入用的2/3層以太網(wǎng)交換機(jī)，該類(lèi)交換機(jī)本身無(wú)法提供足夠的安全保護(hù)來(lái)保障 
數(shù)據(jù)傳輸?shù)陌踩?
二、安全威脅 
從上文可知，在寬帶IP網(wǎng)絡(luò)中，除開(kāi)物理安全性不談，主干網(wǎng)在技術(shù)上幾乎沒(méi)有任何可 
利用的安全隱患，一般可以看作是安全的網(wǎng)絡(luò)。IP寬帶網(wǎng)主要的安全威脅來(lái)自采用傳統(tǒng) 
以太網(wǎng)技術(shù)，提供用戶(hù)接入的2/3層交換機(jī)組成的分布接入層。以下將對(duì)現(xiàn)有IP寬帶網(wǎng)分 
布接入層的部分安全隱患進(jìn)行分析 
（注：以下所有安全隱患未經(jīng)說(shuō)明一律針對(duì)以太網(wǎng)、快速以太網(wǎng)和千兆以太網(wǎng)。） 
● MAC地址－端口對(duì)應(yīng)表欺騙攻擊 
● ARP表欺騙攻擊 
● Vlan信息偽造攻擊 
● 路由欺騙攻擊 
● 源路由攻擊 
2.1 MAC地址－端口對(duì)應(yīng)表欺騙攻擊 
眾所周知，以太網(wǎng)上的二層交換設(shè)備使用MAC地址和端口的對(duì)應(yīng)表來(lái)決定數(shù)據(jù)幀的轉(zhuǎn)發(fā)過(guò) 
程。交換機(jī)通過(guò)它接收到的每一個(gè)數(shù)據(jù)幀的源MAC地址來(lái)構(gòu)建MAC地址－端口對(duì)應(yīng)表。當(dāng) 
兩個(gè)端口先后接收到相同源地址的數(shù)據(jù)幀時(shí)，絕大多數(shù)交換設(shè)備將使用較后收到幀的端 
口進(jìn)行轉(zhuǎn)發(fā)。這樣，當(dāng)處于不同交換端口的主機(jī)A想要截獲主機(jī)B的信息時(shí)，主機(jī)A只需向 
交換機(jī)以一定速率持續(xù)發(fā)送以主機(jī)B網(wǎng)卡的MAC地址作為源地址的數(shù)據(jù)幀，就可以將幾乎 
所有交換機(jī)應(yīng)該發(fā)往主機(jī)B所在端口的數(shù)據(jù)幀重定向到主機(jī)A所在端口，實(shí)現(xiàn)數(shù)據(jù)流的截 
獲。然后主機(jī)A可以使用廣播地址或是組播地址等方式將該數(shù)據(jù)包重新封裝成主機(jī)B可接 
收的數(shù)據(jù)幀發(fā)往主機(jī)B所在端口。這樣，主機(jī)B數(shù)據(jù)通信的整個(gè)過(guò)程被主機(jī)A截獲。主機(jī)A 
可以對(duì)傳輸給B的數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)、篡改等一系列操作。 
2.2 ARP表欺騙攻擊 
針對(duì)三層設(shè)備的攻擊主要是對(duì)三層設(shè)備維護(hù)的用于在三層設(shè)備和二層設(shè)備間進(jìn)行聯(lián)系的 
ARP表進(jìn)行攻擊。每個(gè)三層設(shè)備需要維護(hù)一張IP地址和二層MAC地址的對(duì)應(yīng)表。當(dāng)主機(jī)需 
要給某個(gè)IP地址發(fā)送數(shù)據(jù)時(shí)，根據(jù)該表對(duì)應(yīng)的MAC地址封裝數(shù)據(jù)包。 
主機(jī)主要是通過(guò)偵聽(tīng)網(wǎng)絡(luò)上的ARP查詢(xún)和發(fā)出ARP查詢(xún)來(lái)維護(hù)自身的ARP表。入侵者可以通 
過(guò)偽造ARP信息包讓被攻擊主機(jī)得到錯(cuò)誤的ARP信息，例如讓某臺(tái)主機(jī)錯(cuò)誤的將缺省網(wǎng)關(guān) 
的IP地址映射到攻擊者的MAC地址，那么所有該主機(jī)發(fā)往缺省網(wǎng)關(guān)的數(shù)據(jù)包都將用攻擊者 
的MAC地址封裝被網(wǎng)絡(luò)設(shè)備發(fā)送到攻擊者的機(jī)器，和3.1中介紹的攻擊方式類(lèi)似，攻擊者 
可以對(duì)被攻擊者傳輸?shù)臄?shù)據(jù)進(jìn)行竊聽(tīng)，篡改等一系列操作。 
2.3 Vlan信息偽造攻擊 
在進(jìn)行網(wǎng)絡(luò)設(shè)置的過(guò)程中，經(jīng)常會(huì)出現(xiàn)將連接最終用戶(hù)的端口的Vlan模式設(shè)置為自動(dòng)Tr 
unk模式的錯(cuò)誤設(shè)置。這樣，連接該接口的用戶(hù)可以發(fā)送和運(yùn)營(yíng)商網(wǎng)絡(luò)采用相同Vlan協(xié)議 
進(jìn)行封裝的數(shù)據(jù)幀，欺騙交換機(jī)從而跨越Vlan的限制任意連接到其它Vlan。 
2.4路由欺騙攻擊 
一般的網(wǎng)絡(luò)用戶(hù)在對(duì)傳統(tǒng)的三層路由設(shè)備（多層交換機(jī)和路由器）進(jìn)行設(shè)置時(shí)，一般不 
會(huì)對(duì)路由更新進(jìn)行過(guò)濾。這樣外部攻擊者可以通過(guò)監(jiān)聽(tīng)了解到網(wǎng)絡(luò)中正在使用的動(dòng)態(tài)路 
由協(xié)議和部分網(wǎng)絡(luò)拓?fù)涞刃畔?。同時(shí)可以偽裝成網(wǎng)絡(luò)上的路由器發(fā)送路由更新信息欺騙 
其它路由設(shè)備，這樣，其它被欺騙的路由器可能錯(cuò)誤的認(rèn)為攻擊者的機(jī)器是到達(dá)目的IP 
地址的最佳路徑，而將數(shù)據(jù)包發(fā)往攻擊者主機(jī)，然后攻擊者在對(duì)數(shù)據(jù)進(jìn)行了竊聽(tīng)和篡改 
后采用源路由技術(shù)將數(shù)據(jù)包發(fā)往正常的接收方。采用該種攻擊方式，通信的雙方都無(wú)法 
發(fā)現(xiàn)數(shù)據(jù)流被截獲，威脅性極大。 
2.5源路由攻擊 
TCP/IP協(xié)議集中的源路由技術(shù)，是一種在IP數(shù)據(jù)包內(nèi)部指定路由選擇過(guò)程的技術(shù)，通過(guò) 
該技術(shù)可以在數(shù)據(jù)包內(nèi)部指定該數(shù)據(jù)包通過(guò)的每一跳路由地址。采用該技術(shù)，攻擊者可 
以利用該技術(shù)對(duì)截獲的數(shù)據(jù)包進(jìn)行正常發(fā)送，或是跨越路由規(guī)則或相應(yīng)的訪問(wèn)控制規(guī)則 
將IP包發(fā)往受保護(hù)的網(wǎng)絡(luò)。 
三、IP寬帶網(wǎng)中傳輸安全保障技術(shù)簡(jiǎn)介 
●用戶(hù)認(rèn)證及訪問(wèn)控制技術(shù) 
●VLAN技術(shù) 
●MPLS技術(shù) 
●VPN及加密與密鑰交換 
●設(shè)備廠商提供的增強(qiáng)技術(shù) 
3.1用戶(hù)認(rèn)證及訪問(wèn)控制技術(shù) 
訪問(wèn)控制主要可以分為三種，首先是對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)，采用基于用戶(hù)名/口令的認(rèn)證技 
術(shù)，然后根據(jù)該用戶(hù)名的權(quán)限進(jìn)行相關(guān)的訪問(wèn)控制。主要實(shí)施在運(yùn)營(yíng)商的和用戶(hù)的網(wǎng)絡(luò) 
設(shè)備上。 
第二種是采用運(yùn)營(yíng)商分配的IP地址作為用戶(hù)的認(rèn)證信息，通過(guò)基于IP地址以及端口號(hào)的 
訪問(wèn)控制策略實(shí)現(xiàn)訪問(wèn)控制。此類(lèi)訪問(wèn)控制策略主要實(shí)施在不同的用戶(hù)之間，網(wǎng)絡(luò)本身 
僅僅為不同用戶(hù)提供了一種完全連接的手段，而并非所有的用戶(hù)都需要讓其他用戶(hù)訪問(wèn) 
到自身機(jī)器的全部信息。運(yùn)營(yíng)商可以通過(guò)分配給用戶(hù)的IP地址作為認(rèn)證信息來(lái)實(shí)施問(wèn)控 
制策略。 
最后是采用增強(qiáng)的認(rèn)證手段（口令，密鑰等）進(jìn)行用戶(hù)認(rèn)證后根據(jù)用戶(hù)進(jìn)行相應(yīng)的訪問(wèn) 
控制。第三類(lèi)訪問(wèn)控制技術(shù)提供了進(jìn)一步增強(qiáng)的驗(yàn)證，防止了通過(guò)偽造源IP地址和源路 
由等技術(shù)跨越原有的基于IP地址和端口號(hào)的訪問(wèn)控制的可能，同時(shí)通過(guò)密鑰等幾乎不可 
破解的強(qiáng)密鑰認(rèn)證技術(shù)，保證了VPN等應(yīng)用的高安全性。 
3.2 VLAN技術(shù) 
Vlan技術(shù)在處于第二層的交換設(shè)備上實(shí)現(xiàn)了不同端口之間的邏輯隔離，在劃分了Vlan的 
交換機(jī)上，處于不同Vlan的端口間無(wú)法直接通過(guò)二層交換設(shè)備進(jìn)行通訊。從安全性的角 
度講，Vlan首先分割了廣播域，不同的用戶(hù)從邏輯上看連接在不互相連接的不同二層設(shè) 
備上，Vlan間的通訊只能夠通過(guò)三層路由設(shè)備進(jìn)行：實(shí)施Vlan技術(shù)，可以實(shí)現(xiàn)不同用戶(hù) 
之間在二層交換設(shè)備上的隔離。外部攻擊者無(wú)法通過(guò)類(lèi)似3.1、3.2小節(jié)介紹的在同一廣 
播域內(nèi)才可能實(shí)施的攻擊方式對(duì)其它用戶(hù)進(jìn)行攻擊。 
從靈活性的角度將，在典型的IP寬帶網(wǎng)中，在相對(duì)不安全的分布接入層，首先采用Vlan 
技術(shù)實(shí)現(xiàn)用戶(hù)間的隔離，然后數(shù)據(jù)進(jìn)入由MPLS技術(shù)提供了較高安全性的主干網(wǎng)進(jìn)行傳輸 
，在數(shù)據(jù)通過(guò)主干網(wǎng)后再采用Vlan技術(shù)接入到對(duì)端用戶(hù)。采用 用戶(hù)－Vlan－MPLS－Vla 
n－用戶(hù) 的連接模式保障網(wǎng)絡(luò)傳輸?shù)陌踩?。同時(shí)Vlan限制在本地而不是穿越本地主干網(wǎng) 
的避免了在大量用戶(hù)接入后Vlan的設(shè)定受到Vlan最大數(shù)目的限制。 
3.3 MPLS技術(shù) 
MPLS（多協(xié)議標(biāo)志交換）交換與傳統(tǒng)的基于下一跳的IP路由協(xié)議不同，MPLS是基于一種 
顯式的路由交換（explicit routing），采用源地址路由方式。通過(guò)網(wǎng)絡(luò)拓?fù)鋪?lái)實(shí)現(xiàn)MP 
LS的路由控制管理。 
在標(biāo)志交換的環(huán)境中，MPLS為第3層路由表中的路由前綴分配一個(gè)特定含義的標(biāo)簽，MPL 
S標(biāo)記技術(shù)隱藏了真實(shí)的IP地址以及信息包流的其他內(nèi)容，至少提供了相當(dāng)于窄帶的幀中 
繼技術(shù)的第二層數(shù)據(jù)安全保護(hù)。類(lèi)似的，我們也可以將基于MPLS技術(shù)的數(shù)據(jù)隔離看作是 
等同于Vlan技術(shù)的廣域網(wǎng)。 
3.4 VPN及加密與密鑰交換技術(shù) 
Vlan技術(shù)和MPLS技術(shù)的綜合應(yīng)用保障了第二層的網(wǎng)絡(luò)安全，充分防止了外部攻擊者利用 
IP寬帶網(wǎng)的第二層安全缺陷進(jìn)行攻擊。 
網(wǎng)絡(luò)提供商提供的主要是下三層和部分第四層的服務(wù)（Qos等服務(wù)，幾乎無(wú)須考慮安全性 
），所以?xún)H僅做到第二層的安全性是遠(yuǎn)遠(yuǎn)不夠的，在第三層上，我們主要通過(guò)基于IPSe 
c的VPN技術(shù)來(lái)實(shí)現(xiàn)相關(guān)的安全性。 
3.4.1 IKE技術(shù) 
IKE（Internet 密鑰交換協(xié)議）用于在VPN通道建立前對(duì)雙方的身分進(jìn)行驗(yàn)證，然后協(xié)商 
加密算法并生成共享密鑰。為了防止密鑰泄漏，IKE并不在不安全的網(wǎng)絡(luò)上傳輸密鑰而是 
通過(guò)一系列強(qiáng)安全性的非對(duì)稱(chēng)算法通過(guò)交換非密鑰數(shù)據(jù)，實(shí)現(xiàn)雙方的密鑰交換。按照當(dāng) 
前的解密技術(shù)和計(jì)算機(jī)應(yīng)用的發(fā)展水平該算法可以被看作是不可破解的。 
3.4.2 IPSec技術(shù) 
IPSec技術(shù)是一組協(xié)議的總稱(chēng)，在通常的IPSec應(yīng)用中，同時(shí)使用了用于保障完整性和真 
實(shí)性的AH協(xié)議，和進(jìn)行數(shù)據(jù)加密用于保障數(shù)據(jù)的私有性的ESP協(xié)議，來(lái)保證傳輸過(guò)程中的 
數(shù)據(jù)安全。 
3.4.3 VPN的應(yīng)用 
VPN在兩臺(tái)支持VPN的設(shè)備間建立了對(duì)等關(guān)系并協(xié)商建立一條安全傳輸信道，有兩種典型 
的連接方式，一種是各個(gè)部門(mén)之間通過(guò)專(zhuān)用的VPN通道通過(guò)公用網(wǎng)絡(luò)進(jìn)行連接。第二種方 
式是遠(yuǎn)程授權(quán)用戶(hù)通過(guò)撥號(hào)（撥號(hào)方式采用的是專(zhuān)用鏈路連接，不存在二層安全性問(wèn)題 
）等方式進(jìn)入Internet并和內(nèi)部網(wǎng)絡(luò)采用VPN技術(shù)建立傳輸通道，進(jìn)而訪問(wèn)公司內(nèi)部網(wǎng)絡(luò) 
。 
3.5設(shè)備廠商提供的增強(qiáng)技術(shù) 
各大網(wǎng)絡(luò)設(shè)備廠商在其網(wǎng)絡(luò)設(shè)備上都添加了部分增強(qiáng)網(wǎng)絡(luò)安全性的功能，例如接入層的 
MAC地址綁定及端口安全保護(hù)，靜態(tài)ARP表等網(wǎng)絡(luò)安全性增強(qiáng)技術(shù)，IP寬帶網(wǎng)運(yùn)營(yíng)商可以 
在充分了解網(wǎng)絡(luò)設(shè)備的安全性增強(qiáng)功能后為客戶(hù)提供更加細(xì)致的安全服務(wù)。 
四、傳輸安全典型解決方案 
按照二至四三部分的分析：以下的傳輸安全解決方案，將以某大型集團(tuán)用戶(hù)接入IP寬帶 
網(wǎng)為例，綜合運(yùn)用IP寬帶網(wǎng)上的傳輸安全增強(qiáng)技術(shù)，提供安全可靠的數(shù)據(jù)網(wǎng)絡(luò)。 
實(shí)施部署的整體拓?fù)鋱D如下： 
該方案的實(shí)施主要包括兩個(gè)部分，第一部份是對(duì)IP寬帶網(wǎng)的設(shè)備進(jìn)行增強(qiáng)安全性的相關(guān) 
設(shè)置，主要包括Vlan的劃分，MPLS交換設(shè)置，Vlan匯接設(shè)備上的訪問(wèn)列表以及針對(duì)路由 
更新的過(guò)濾。 
第二部分是在第一部份的基礎(chǔ)上實(shí)施相應(yīng)的VPN解決方案，通過(guò)加密和認(rèn)證技術(shù)，進(jìn)一步 
保障數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)耐暾?、安全性和私有性。VPN的實(shí)施主要通過(guò)在所有需要通過(guò) 
VPN技術(shù)進(jìn)行傳輸?shù)墓?jié)點(diǎn)添加相應(yīng)的VPN加密設(shè)備以建立VPN通道 
在該實(shí)施方案中，在第二層的安全上，綜合使用了Vlan技術(shù)和MPLS技術(shù)來(lái)保障安全性。 
在分布接入層，該集團(tuán)用戶(hù)的網(wǎng)絡(luò)與其他用戶(hù)處于不同的Vlan中，邏輯上完全隔離，其 

他用戶(hù)無(wú)法對(duì)該集團(tuán)用戶(hù)的網(wǎng)絡(luò)進(jìn)行第二層的訪問(wèn)。在核心層基于MPLS的主干網(wǎng)上，不 
同的用戶(hù)采用不同的MPLS標(biāo)記進(jìn)行交換，數(shù)據(jù)傳輸上完全獨(dú)立，在第二層上保證了充分 
的隔離。 
為了避免路由欺騙，Vlan欺騙等技術(shù)：在Vlan匯接設(shè)備上，我們將針對(duì)用戶(hù)采取基于源 
的嚴(yán)格訪問(wèn)控制列表和路由更新過(guò)濾技術(shù)來(lái)防止攻擊者利用傳統(tǒng)路由技術(shù)本身的缺陷對(duì) 
網(wǎng)絡(luò)進(jìn)行攻擊。 
在充分保證二層傳輸安全的同時(shí)，在第三層上實(shí)施基于IPSec協(xié)議的VPN技術(shù)對(duì)傳輸安全 
性進(jìn)行進(jìn)一步的加強(qiáng)。即便鏈路上傳輸?shù)臄?shù)據(jù)因?yàn)槟承┨厥庠颍ɡ缰苯釉谖锢礞溌?
上偵聽(tīng)，或是因?yàn)槟承┰O(shè)置不當(dāng)導(dǎo)致攻擊者有機(jī)可乘）導(dǎo)致數(shù)據(jù)包被外部攻擊者截獲， 
外部攻擊者也無(wú)法對(duì)包含有加密和驗(yàn)證信息的應(yīng)用數(shù)據(jù)進(jìn)行任何監(jiān)聽(tīng)和篡改，進(jìn)一步的 
保障了網(wǎng)絡(luò)傳輸?shù)陌踩浴?
  
-- 
世界上有兩件東西能夠深深地震撼人們的心靈 
一件是我們心中崇高的道德準(zhǔn)則 
另一件是我們頭頂上燦爛的星空 
  
                                ——伊曼努爾·康德