文档介绍：网络安全技术白皮书
深圳市华为技术有限公司北京研究所
北京市上地信息产业基地信息中路1号华为大厦100085
二000年二月十兴日
摘要
术文详组介组了Qidway系刑路由嘉所应用的安全技术,包挂没问接制技术、驰今认法技
本、推坪轼换技术、加寇早寇钟交振技术。算佩防火描挂术。安全笑智分林管理管,招杨丁
Quidywan絮列蹿山霸圭宇全方面的发屋方合、绪合Quidsay紫刑路申盛在安全方面的动能特点,给
出了标关国用中的实陈觞水柳
关锭词
网绘安全,VPN,智阜境
1概述
门绑为人们描偿于扎的侦利。伸出于皋应miemettgTCP1P伟讥札躲世安全惠,网绍安全
版为怀继罚的一个。门绘上行在莲衔科兰坂的政出方步,包挂
文攻河者偷用报文荣耿汪备,反传锴的敬播洪画狱农政描兵选行分阮,以获
联用户吊代或者是鲁商的数探信息、通过miemed数据传楠,存圭时闻上的绍进,曰
衍地理伸霍上的路趋,要道兔敲探不受窄昕,基本是不史借的
技一一改河者途汝政宗自已的I地如仪糖成内部网用户戟可信余的外部网络
特定的报文以技观武淳的闹络数探佩物,或者春传湾一怡史探哉的路申报文
5加取遇ICMF仪佳定报文米曰改蹿用信恩,以窑政借恩
*深路申收出一一报文发逊方通过和接文的Opio妙中
定泽报文的路由,俐捣文有史
*期口招探。通过振洁防火摸在仰明的河日,朱发玟系组的渡消,选者事先知途路申商转
件的董个版术孙在睿涉,通过查洁特定端口,利斯是吴孙圭源洪利用述渡洙
切路团霸通行政出,位伟路用鸿政个DOWN招或法行
*技绘朋夙政出放出者的日的是国止司法用户寿资潭的泓间。毕红途过发逊大量才
供待闹绘帽宗赞袖消耗。Melisa出症宣所河制的放林商昏抒绝朋加改出、春近技给朋夙
攻出习有子新的发属,出现了分市式折尿务攻师,DisributedDenialOfSersce简称
DDOS。许多大颜口竞都常袁客用DDOS方式政出口遂我偿大的精灰
。庞用尺政击一一有多租形式,仪挂探洁用转件的渡消犊消侠札口答
男外,网绑札切的司靡性的绕路安全是借御注的门题,
胶莲门绘应用的目益葛及,儿其怠在一怡政碑屹合如电子腐务的应闵,网绘安全为日
荣述钊的源河。网绘安全余扬网尿吴文,其一是内郭尿绿网的安全,其工是外部数据交扬宇
全。踹申霭作为内部网绑与外部网绍之间途讯的关锭设备,有必蚊提供兆分的定全保技动限
Oeidwax系刑路画商描偿孔多科罡绘安全朱制,为内部网绘友外部放探提偿了有力的安全保护。本
文鸿寿其技术与定顿作谊缘的传绍。
2安全路由器的设计原则
铁河网烈孜圭秉全陷道,安全路申暹必颗参有加下的安全特忍,
。司家性白绍宇全
躬设证
论刹
信国数
政陶
。文河育英
奕

司靡伯蛭河是寿敦陶恋复命教俳力而描出木的、切于路申霸木说,可靠性主要作玮在探
巳数陈积网绘洪蛇撩大雨科惊泉下,为此,备传是路由碑不司或绮的干民之当生接口故障
贩、备伟探日自动承入工作,保证网绘的武渡运行,当网绘津智增大旷,备伊探日文司技当贾教
分的佐夙
线踹宇全振的是线踹札躯的安全性。踹疃守接受昱入旷,佩阮止探法用户的访闭,帝志
宅全的线跋上通行借5

践申濑中的身传设证主裴余探以下几个部幼
1访问跋申翻时的身传设证,设问踹申濑表多移加式,真接从cemsole口唐录逢行医霜
tshne怡河酝罪,通过SNMP进行防霍,通过medem汪程限贺算箩。对于述皋汪问方式,探雷要
标国的身传计证
路申瀑的身传认法,寿漆路申濑不仁仁指物理上的真接以帝日线浩的路申霸,团
B以友康技的点加途达随道传议林途的踹由霸,圭史漆踹由善本晚逸
立涛搜之腔、需江迹行身传认证。
3路申信怡的身传计泓,路申鹰佩探蹿由信志林发选报文,路申余吴于踹申瀑粉诱是孝
关蝶的。收刺庞楷的踹由信息,有司借俭得路申霸特敷据报文发征不正的日的地,这些报文
司以敦用二分阮关中的敬探内寓,亦重的情泓下,选成正算的通信中原。所以,在探受何踹申
林化的信恩之剑、有必驿此信恩的发逊月逊行鹄证。以保证收刺陶山信恩是吴法的

诅闰招制分为以下凤租惠
1、对于踹出瀑的诉问探制,寿路由深的诉闭权限雪迹行口吊的分经保抒。兮有持有标度巳
仪的恩权用户才佳日踹申磁选行酥霜,一航用具有查睿途信怡的力、
2蒙王B扬挂皓泉闭接制。一艇惊泓下,用户包振网内用户和切支机桧、吾作伟作管网外
用户是通泰坪木区分的,不闵的月户具有不国的权限,通过泊浩定玮菊王I姑的访问
掠制、司以定玲重要澈的俞护
3基于用户的论问探制、路申鹰上以提侨探入朋务动腔对于出探入一式的用户李设,他
佛之间的权限也有可佩是不一根的。通迹寺用户设罪特定的泼国伯,司定玑探入用户的设问
E

与刑颜通信时,不一定答骑步定身伍进行通信。通过地坪转换,古信到陶藏网内地、
具传公共地指的办式议外