IPsec在保护移动回传业务中起着重要作用,并且由于入站分组处理所施加的业务过滤,它还在保护SEG背后的节点免受DoS攻击、基于篡改业务的攻击等方面起到了作用。
然而,IPsec也不是总有效的,比如针对IPsec实现本身的一些攻击(例如对IKE守护进程重载)、针对基于IP以下的协议的攻击(例如基于ARP的攻击)或通过由SEG旁路的流量进行的攻击(例如ICMP)。此外,IPsec不检查加密数据包的内容,因此如果对等体被泄露并且恶意业务通过隧道发送,IPsec无法过滤它。
由于上述原因,SEG部署通常由集成在同一设备中或单独的设备中的防火墙来补充。防火墙将执行的一些功能如下:
•检查ARP报文(防止ARP表中毒);
•速率限制;
•访问控制列表;
•深度包检测(对于明文包);(www.daowen.com)
•状态过滤;
•代理。
由制造商设计,防火墙可以内置在与SEG相同的设备中,或在不同的设备中。虽然独立设备在解决方案类型方面提供了更大的灵活性,但它是需要部署在SEG站点中的附加设备,从而增加了路由和高可用性方面的整体复杂性。
防火墙相对于SEG的位置将由其需要提供的保护类型决定。当在公共接口部署作为第一道防线时,它将保护SEG和其他可能的站点设备(站点路由器)免受DoS攻击。
当部署在SEG之后,主要作用是保护核心网络资产。通过隧道或隧道外接收的数据包将根据安全策略进行检查和过滤。防火墙还可以分析高层协议以检测隐藏在用户数据中的攻击。
防火墙也可以部署在IPsec不可用或不适合的接口中。例如,在一些部署中,BTS可以位于非信任环境中,或者甚至在具有对BTS硬件的相对容易的可访问性的公共场所中。本地BTS接口是穿透安全设备的可能方式,防火墙可以用于减轻对设备和移动回传的入侵的风险。在这种情况下,防火墙功能显然需要集成在BTS本身中,至少具有分组过滤的最小功能。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。