华为VRP安全技术与Cisco比较

2019-11-04 01:40:35

字体：大中小

来源：转载

供稿：网友

　　.3.1 遵循国家商密治理条例的安全子系统
　　华为深知，网络安全的钥匙必须把握在自己手里，在这方面，国外厂商是靠不住的。因此，华为发展了自己的独立的安全技术，并在安全加密方面与国内的权威安全加密机构进行了全面的合作，华为开发的四个型号安全加密路由器已经获得了通过公安部的认证并获得了销售许可证。
　　国外设备的安全子系统在信息安全中的潜在隐患历来是中国网络建设的“软肋”，国家商密治理条例更明文规定，外资企业的安全产品不能取得商密许可。
　　4.3.2 安全特性比较
　　华为公司在Quidway系列路由器所应用的安全技术包括：访问控制、身份认证、地址转换、数据压缩、加密与密钥交换、aspF（相当于Cisco的CBAC）等等。
　　4.3.2.1 华为已实现的安全技术
　　1、 CallBack技术
　　支持ISDN主叫识别回呼与有PPP参与的回呼两种方式。
　　2、授权、认证和记费（AAA）
　　华为实现的AAA&RADIUS支持以下特性：
　　对用户的身份认证以及授权;
　　可以对不同的用户配置单独的属性;
　　支持按时间计费，并可实时计费；
　　支持按字节计费，并可实时计费；
　　支持RADIUS服务器组;
　　对不同的用户可采用不同的RADIUS服务器组;
　　支持超大流量计费：可以最大支持2G*2G的流量，Cisco IOS不支持。
　　3、包过滤技术：
　　华为实现的包过滤具有以下特性：
　　基于ACL（access-List，访问控制列表）;
　　支持标准及扩展的ACL;
　　支持最多16个时间段分别过滤；
　　支持ACL的自动排序（可以选择是否针对某一类的ACL进行自动排序，以简化配置的复杂度，方便对于ACL的配置及维护）；
　　支持名称方式的ACL；
　　支持删除同一个序号的ACL的某一个子项；
　　可以具体到接口的输入及输出方向；
　　支持基于接口进行过滤（可以在一个接口的某个方向上设定禁止或答应转发来自某个接口的报文），Cisco的IOS不支持根据数据的接收端口的信息进行过滤。；
　　支持对符合条件的报文做日志。
　　4、地址转换（NAT/PAT）
　　华为所实现的地址转换具有如下特性：
　　支持NAPT；
　　支持与DDR相结合，轻松上网；
　　支持NAT(可以只转换ip地址，而不转换端口)；
　　支持地址池（内部的地址可以映射到外部的一个地址池中）；
　　支持对不同的数据流做不同的地址转换；
　　提供灵活的内部服务器的支持；
　　分布式地址转换（在Quidway NE系列路由器中，地址转换是分布式的，每个接口均可以做地址转换而不影响其他接口报文的发送，快速稳定）。Cisco的IOS只支持集中式处理。
　　5、数据压缩技术
　　华为实现的IPComp具有如下特性：
　　对不同的数据流可以选择不同的压缩方式；
　　支持多种压缩算法以及多级别的压缩，Cisco IOS只支持一种压缩算法并且没有其他的选择；
　　支持与IPSec一起使用；
　　支持单独使用IPComp。
　　6、加密与密钥交换技术
　　华为实现了IPSec以及IKE，具有如下特性：
　　支持多种加密方式：支持硬件1024位序列码加密，也支持软件加密（华为支持DES、3DES等在内的多种常用的软件加密算法，而Cisco超过56位的加密产品不能出口中国）；
　　华为VRP支持各种加密算法，在VRP1.3中已经实现DES、3DES加密，在VRP3.0中实现cast、blowfish、skipjack等加密算法；而Cisco IOS只有DES、3DES加密算法；
　　软件加密效率极高，华为2630与Cisco 2620的56位DES加密比较，Cisco只有1Mbps吞吐率，华为2630达3.2Mbps，在常用环境下用软件就可以达到线速；
　　对不同的数据流可以选择不同级别的安全服务；
　　支持动态协商密钥；
　　支持手工配置密钥。
　　7、支持ASPF
　　支持HTTP、FTP、SMTP、RSTP、H323；
　　支持DoS的检测及防范；
　　支持java BLOCKING；
　　支持通用的TCP及UDP协议；
　　支持PAM：PAM为Port application Map的缩写，用于提供的服务非通用端口时的情况。比如在81端口提供HTTP，就可以通过PAM设定，从而知道81端口的数据是HTTP报文。
　　8、支持VPN协议
　　二层隧道协议支持L2TP；
　　三层隧道协议支持GRE以及IPSEC。
　　9、将电信交换机中的系列保护机制引入VRP，提高系统的鲁棒性
　　在VRP的发展过程中，逐步的引入了华为公司在电信设备高可用性上的成熟技术经验。例如，VRP采用了和电信交换机相同的冗余热备份技术，在主版发生意外时，备版可以在线倒换。而Cisco 75路由器主备倒换意味着及时重启主版。又如在VRP的任务调度机制中，可以根据用户要求，引入电信交换机的任务保护机制(这一点对多协议路由器的系统健康尤为重要)一旦某一个协议模块出现崩溃，其他模块仍然能够正常运行，而操作系统还可以将崩溃模块单独重启，使之迅速开始重新运行。Cisco的任务治理模型基于公用的数据空间，其中某一个模块崩溃，整个系统则随之混乱
　　4.3.2.2 华为认为不必实现的安全技术
　　在Cisco与华为对比材料中，作者曾提出华为设备在Tacacs认证、Lock and key、认证代理等方面不支持，华为目前确实不支持这些协议，是因为华为通过分析这些协议的实现认为没必要支持。分析如下：
　　1、 Tacacs及Kerberos
　　Tacacs及Kerberos这两个协议与RADIUS一样，都可以实现AAA，其中Tacacs是Cisco的私有协议。通过公司个性的私有协议进行安全认证有何安全性可言？华为选择了实现最为广泛且通用的协议：RADIUS。目前，上网所采用的绝大多数验证协议即为RADIUS。Tacacs及Kerberos在AAA方面并无非凡优势，也很少使用。
　　2、 Lock And Key
　　Cisco IOS所实现的这个功能必须先使用TELNET登录到路由器上才可以使用此功能，反而造成更大的安全隐患！比如：TELNET的用户名、口令是明文传输的！
　　3、 Authentication PRoxy（认证代理）
　　代理由专用的代理服务器来完成时最合适的。在设备侧做代理不可能产生丰富的记录信息，而且只能对部分应用做支持。路由器内的内存有限，不象PC服务器有海量内存和硬盘，而且PC的CPU处理能力日新月异，作为专用设备的路由器究竟在高层应用上不是强项。所以用路由器做Proxy效率低、浪费资源，还影响路由器路由转发的正常业务处理。目前应用常见的Proxy服务器均是直接架设一台代理服务器。
　　4.3.2.3 华为正在实现的安全技术
　　华为正在实现对安全治理以及部分IDS（入侵检测）的支持。安全治理是华为安全方面的一个发展方向。
　　Cisco在IDS方面做得并不出色，出于某些因素考虑，Cisco将NetSonar软件降价出售。因为IDS与防范病毒类似，攻击特征库需要经常性的更新，这对于路由器这种设备来说，每半个月升级一次显然是不合适的。 Cisco攻击华为不支持IDS，自己又做得如何呢？事实上，假如为了要使用这些并不很完整的IDS功能，用户还需要另外购买非常昂贵的NetRanger软件！

上一篇：购买指南之连接设备之路由器

下一篇：大客户一站式综合接入解决方案