网络安全建设:IPSec、IP编址、多协议隧道、网络地址转换
网络安全在方案网络建设的重要性,今天就让我们来深入的了解一下方案网络建设的魅力吧!装备验证采取了预同享密钥或数字证书,以提供装备身份,预同享密钥有三种:通配符、分组和独立。独立预同享密钥与某一IP地址有关,分组预同享密钥与一组名称有关,仅适用于现今的远程接入。
通配符同享密钥不可利用于站点到站点装备验证。数字证书与独立预同享密钥相比,可更理想地扩大,由于它允许一台装备验证其他装备,但不具有通配符密钥的安全特性。数字证书与IP地址无关,而是与企业CA认证的装备上独特的标志信息有关。
方案网络建设:IPSec
IPSec提供了多种安全特性,对管理员如何肯定其工作方式提供了可配置选择:数据加密、装备验证,和保密、数据完全性、地址隐藏和安全机构(SA)密钥老化等功能。IPSec标准要求使用数据完全性或数据加密两种功能之一,具体使用哪一个可任选。思科公司强烈建议加密和完全性两者都使用。而改变以上那些数值会提高安全水平,但与此同时,也增加了处理器开支。
方案网络建设:IP编址
正确的IP编址对用作大型IP网络的方案的成功有侧重要意义。为保持可扩大性、性能和可管理性,强烈建议远程站点使用主网的子网,以便进行归纳。增加ACL输入会下降性能,使故障查寻复杂化并影响可扩大性,适当的子网化还可支持简化的路由器头端配置,以实现分支到分支相互交换,要对所有装备的信息流进行归类,所需的隧道也较少。IP编址还可影响方案的多个方面,包括堆叠网络的远程管理连接。
方案网络建设:多协议隧道
IPSec作为一种标准,只支持单点广播流量。对多协议或IP多点广播隧道,一定要使用另外一种隧道协议。
方案网络建设:网络地址转换
NAT可产生于IPSec之前或以后。了解NAT什么时候产生是十分重要的,由于在某些情况下,由于隧道构建受阻或信息流穿过隧道,NAT都可能对IPSec构成影响。除非提供接入是一定要的,否则将NAT利用于方案流量将不失为上策。
方案网络建设:单一目的和多目的装备
在网络设计进程中,您需要选择是在联网或安全装备中采取集成功能,或采取方案装备的特殊功能。集成功能通常是很吸引人的,由于您可以在现行装备上实行,且该装备经济有效,其特性可与其他装备互操作,从而提供功能更理想的解决方案。
指定的方案装备通常在对功能的要求很高或性能要求使用特殊硬件时,才会使用。当决定了采取何种选项,可根据装备的容量和功能对决策进行权衡,并与集成装备的功能优势相对比。在全部体系结构中,两类系统都有所使用。
由于IPSec是一种要求严格的功能,随着设计范围的提高,选择方案网络建设装备取代集成型路由器或防火墙的可行性也日益增大。注意,对方案装备这一概念的了解不是件容易的事情。现今的许多方案网络建设装备可提供理想的性能和方案管理选项,与此同时,也提供有限的路由选择、防火墙或CoS功能,而它们可能与集成装备有关。
如果所有这些高级功能都得以实现,从性能和部署选项的角度来看,这类装备也开始愈来愈像集成型装备。一样,除路由选择和安全特性的全面实行之外,可支持全部方案功能的方案路由器,可在方案单独环境中进行配置,其特点更象一种利用。
