网络发展，聚焦安全

MILY: 宋体">

事实上，在整个企业网络框架中，传统的路由器和交换机是构成网络的最基本设施，也是网络中贯穿始终的要素，如果能够在这些基础设施上提供一定的网络安全控制能力，将会大大提高企业网络的安全防范能力，屏蔽普遍的病毒攻击及不法用户骚扰。华为3Com公司不但为用户提供了完善的安全解决方案，通过网络产品与安全产品、业务软件产品共同配合，为用户提供完整的整网安全监控，更在基础的路由器和以太网交换机上集成了强大的安全特性，能够在网络接入层及入口等源头处拦截病毒、攻击及不法用户的访问，保障网络的安全，实现网络与安全的无缝融合。

1、攻击防范

目前常见的DoS网络攻击，通过发送大量的报文冲击交换机的CPU，致使设备CPU负载过大，造成处理缓慢甚至死机、重启等问题。常见的网络攻击可分为对CPU的流量攻击、对设备表项的攻击、对协议的攻击、其他攻击几类。

l         华为3Com系列网络产品包括路由器,交换机及专业安全网关产品, 都统一采用VRP软件平台.该平台软件集成基本防火墙,状态防火墙及深度抵御防火墙功能, 提供不同协议层次的攻击防范功能. 可以预防网络病毒、垃圾邮件及DoS攻击行为。

l         华为3Com系列交换机广播风暴抑制功能用来抑制大量的未知单播、未知多播、广播报文在网络中的传播，从而减少报文对网络运行效率的影响。

l         三层交换机基于最长匹配的路由策略，采用逐包转发的体系结构，病毒扫描时不会产生大量无用的硬件IP表项和ARP表项，对病毒攻击具备天然的防御能力，有效的保证了网络和设备安全，革命性的解决了传统交换机流转发的缺陷，从而保证网络连通性、业务连续性、设备可管理性。

l         VRP软件平台支持控制协议报文的优先发送功能,这样即使在大流量下也可以保证各种控制报文如路由协议报文的优先发送, 保证设备的可用性.

2、访问控制

华为3Com系列网络产品支持符合IEEE 802.1x标准的接入用户认证，更可以直接使用用户PC的MAC地址直接认证，大大降低操作的复杂度。

支持PKI/CA证书验证。

支持本地和RADIUS（Remote Authentication Dial In User Service）两种方法，支持使用标准或根据802.1X标准扩展的RADIUS服务器进行接入用户的身份认证，也支持在本地进行身份认证。

华为3Com三层系列交换机支持QoS Profile功能，可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过认证后，交换机根据AAA服务器上配置的用户名和profile的对应关系，将相应的profile动态的下发到用户登录的端口上，为该用户提供预先配置的一系列服务质量保证。包括为用户提供包过滤、流量监管、优先级重标记等功能。

用户分级管理和口令保护。

管理用户远程认证特性：如te.net，web，console用户，在RADIUS服务器上配置用户名和密码，在设备侧配置RADIUS认证。当用户登录设备时，用户名和密码将被送到RADIUS服务器上进行验证，验证通过后用户即可正常登录设备。

支持ACL（Access Control List），支持二、三、四层信息过滤（基于端口、源/目的MAC地址的帧过滤，基于源/目的IP地址、上层协议类型的报文过滤等等），通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点，一旦发现来自危险站点的数据包设备便会将这些数据拒之门外，用于过滤那些用户不感兴趣或者不合法的数据包。

数据加密

现代企业的信息安全，要求对通过公共网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。

华为3Com路由器产品支持IP Sec协议及自动IKE和手工密钥交换, 支持各种常见的加密算法, 包括DES, 3DES,AES等, 另外部分产品可以支持硬件加密方案及硬件加密模块,提高加密性能；

华为3Com全系列网络设备支持SNMP V3的加密认证，确保网管信息在传输过程中加密，侦听用户无法获得报文的真正内容；

支持SSH，可以对Telnet报文进行加密，截获报文也无法解析密码；

支持常用路由协议如RIP V2、OSPF V2报文的明文、密文认证。

3、网络隔离及防地址盗用

华为3Com系列交换机不仅支持标准的802.1Q VLAN，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；

通过启用802.1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击；

交换机提供IP、MAC、端口单独或任意组合绑定的功能，可以防止各种非法地址欺骗，方便实施各种网络管理策略，限制用户可以访问的资源。另外路由器也可以使用静态ARP表来进行隔离及防地址盗用，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机；

交换机还可以限制端口下可学习的MAC地址个数，控制每个端口下挂的用户数量。根据交换机提供的完善的地址表查询机制，可以迅速准确定位非法用户MAC、IP、物理端口等信息，给网络安全监控提供了有力的手段。

4、虚拟专用网（VPN）

虚拟私有网（Virtual Private Network）简称VPN，是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。VPN主要采用隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、身份认证技术（Authentication）来保证安全。有效地采用VPN技术，可以防止欺诈、增强访问控制和系统控制、加强保密和认证。VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。

VPN可以在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。华为3Com系列全系列路由器支持目前常见的所有VPN类型，包括L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、MPLS VPN及华为特有DVPN。

网络与安全的融合是未来网络发展的必然趋势，随着特性的不断更新，华为3Com系列网络设备自身具备的安全能力也会不断加强，与华为3Com公司安全系列产品及用户管理控制软件，共同提供整体解决方案，满足日益提高的网络安全要求。