华为VRP安全技术与Cisco比较
遵循国家商密管理条例的安全子系统
华为深知,网络安全的钥匙必须掌握在自己手里,在这方面,国外厂商是靠不住的。因此,华为发展了自己的独立的安全技术,并在安全加密方面与国内的权威安全加密机构进行了全面的合作,华为开发的四个型号安全加密路由器已经获得了通过公安部的认证并获得了销售许可证。
国外设备的安全子系统在信息安全中的潜在隐患历来是中国网络建设的"软肋",国家商密管理条例更明文规定,外资企业的安全产品不能取得商密许可。
安全特性比较
华为公司在Quidway系列路由器所应用的安全技术包括:访问控制、身份认证、地址转换、数据压缩、加密与密钥交换、ASPF(相当于Cisco的CBAC)等等。
华为已实现的安全技术
1、 CallBack技术
支持ISDN主叫识别回呼与有PPP参与的回呼两种方式。
华为实现的AAA&RADIUS支持以下特性:
可以对不同的用户配置单独的属性;
支持按字节计费,并可实时计费;
对不同的用户可采用不同的RADIUS服务器组;
3、 包过滤技术:
基于ACL(Access-List,访问控制列表);
支持最多16个时间段分别过滤;
支持名称方式的ACL;
可以具体到接口的输入及输出方向;
支持对符合条件的报文做日志。
华为所实现的地址转换具有如下特性:
支持与DDR相结合,轻松上网;
支持地址池(内部的地址可以映射到外部的一个地址池中);
提供灵活的内部服务器的支持;
5、 数据压缩技术
对不同的数据流可以选择不同的压缩方式;
支持与IPSec一起使用;
6、 加密与密钥交换技术
支持多种加密方式:支持硬件1024位序列码加密,也支持软件加密(华为支持DES、3DES等在内的多种常用的软件加密算法,而Cisco超过56位的加密产品不能出口中国);
软件加密效率极高,华为2630与Cisco 2620的56位DES加密比较,Cisco只有1Mbps吞吐率,华为2630达3.2Mbps,在常用环境下用软件就可以达到线速;
支持动态协商密钥;
7、 支持ASPF
支持DoS的检测及防范;
支持通用的TCP及UDP协议;
8、支持VPN协议
三层隧道协议支持GRE以及IPSEC。
在VRP的发展过程中,逐步的引入了华为公司在电信设备高可用性上的成熟技术经验。例如,VRP采用了和电信交换机相同的冗余热备份技术,在主版发生意外时,备版可以在线倒换。而Cisco 75路由器主备倒换意味着及时重启主版。又如在VRP的任务调度机制中,可以根据用户要求,引入电信交换机的任务保护机制(这一点对多协议路由器的系统健康尤为重要)一旦某一个协议模块出现崩溃,其他模块仍然能够正常运行,而操作系统还可以将崩溃模块单独重启,使之迅速开始重新运行。Cisco的任务管理模型基于公用的数据空间,其中某一个模块崩溃,整个系统则随之混乱
华为认为不必实现的安全技术
在Cisco与华为对比材料中,曾提出华为设备在Tacacs认证、Lock and key、认证代理等方面不支持,华为目前确实不支持这些协议,是因为华为通过分析这些协议的实现认为没必要支持。分析
1、 Tacacs及Kerberos
2、 Lock And Key
3、 Authentication Proxy(认证代理)
华为正在实现的安全技术
华为正在实现对安全管理以及部分IDS(入侵检测)的支持。安全管理是华为安全方面的一个发展方向。
编辑推荐:
温馨提示:因考试政策、内容不断变化与调整,长理培训网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准! (责任编辑:长理培训)
点击加载更多评论>>