所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MPLS

MPLS

  • RSVP认证

    RSVP消息通过验证摘要信息的正确性,来防止消息被篡改或伪造的恶意攻击,增强网络的可靠性和安全性。

  • LDP MD5验证

    MD5称为Message-Digest Algorithm 5,是国际标准摘要密码算法。MD5的典型应用是针对一段信息计算出对应的信息摘要,从而防止信息被篡改。MD5信息摘要是通过不可逆的字符串变换算法产生的,结果唯一。因此,不管信息内容在传输过程中发生任何形式的改变,只要重新计算就会产生不同的信息摘要,接收端就可以由此判定收到的是一个不正确的报文。

    LDP MD5应用其对同一信息段产生唯一摘要信息的特点来实现LDP报文防篡改校验,比一般意义上TCP校验和更为严格。

    LDP MD5验证是在TCP发出去之前进行的:LDP消息在经TCP发出前,会在TCP头后面填充一个唯一的信息摘要再发出。而这个信息摘要就是把TCP头、LDP消息、以及用户设置的密码一起作为原始信息,通过MD5算法计算出的。

    当接收端收到这个TCP报文时,首先会取得报文的TCP头、信息摘要、LDP消息,并结合TCP头、LDP消息以及本地保存的密码,利用MD5计算出信息摘要,然后与报文携带的信息摘要进行比较,从而检验报文是否被篡改过。

    在用户设置密码时有明文和密文两种形式选择,这里的明文密文是对用户设置的密码在配置文件中的记录形式而言的。明文就是直接在配置文件中记录用户设置的字符串,密文就是在配置文件中记录经过特殊算法加密后的字符串。

    但无论用户选择密码记录形态是明文还是密文形式,参与摘要计算时都是直接使用用户输入的字符串。由于明文和密文的转化算法各厂商私有,此种实现做到了私有算法对其他厂商透明。

  • LDP Keychain认证

    Keychain是一种增强型加密算法,类似于MD5,Keychain也是针对同一段信息计算出对应的信息摘要,实现LDP报文防篡改校验。

    Keychain允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法(包括MD5,SHA-1等)及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法以及密码的有效时间,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。

    Keychain的密码、所使用的加解密算法以及密码使用的有效时间可以单独配置,形成一个Keychain配置节点,每个Keychain配置节点至少需要配置一个密码,并指定加解密算法。

    Keychain节点配置完成后,在全局MPLS LDP视图下指定需要引用Keychain节点的对等体和Keychain节点名称,对Keychain进行引用,即可实现对LDP会话的加密。不同的对等体可以引用同一个Keychain配置节点。

    说明:

    LDP安全认证的配置,按生效优先级从高到低的排序是:对单对等体的配置、按对等体组批量配置、对所有对等体批量配置。对于同一优先级的配置,Keychain认证和MD5认证是互斥的。对于不同优先级的配置,Keychain认证和MD5认证可以同时配置,但对同一对等体来说,只有高优先级的配置生效。例如:对单对等体Peer1配置了MD5认证后,再对所有对等体批量配置Keychain认证,则Peer1仍采用MD5认证。其他对等体会采用Keychain认证。

    可以根据需求的不同选择配置LDP MD5认证或者LDP Keychain认证。
    • l MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。

    • l Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。

  • LDP GTSM特性

    LDP GTSM是GTSM在LDP方面的具体应用。

    GTSM通过判定报文的TTL值,确定报文是否有效,从而保护设备免受攻击。GTSM For LDP即是对相邻或相近(基于只要跳数确定的原则)设备间的LDP消息报文应用此种机制,预先在各路由上设定好针对其他设备报文的有效范围,使能GTSM,这样当相应设备之间应用LDP时,如果LDP消息报文的TTL不符合之前设置的范围要求,就认为此报文为非法攻击报文予以丢弃,进而实现对上层协议的保护。

  • LDP白名单特性

    应用层联动模块检测上送的协议报文,对匹配白名单的协议报文,允许其以大带宽和高速率上送。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4019

下载量:121

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页