扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
4.3.2.2 华为认为不必实现的安全技术
在Cisco与华为对比材料中,作者曾提出华为设备在Tacacs认证、Lock and key、认证代理等方面不支持,华为目前确实不支持这些协议,是因为华为通过分析这些协议的实现认为没必要支持。分析如下:
1、 Tacacs及Kerberos
Tacacs及Kerberos这两个协议与RADIUS一样,都可以实现AAA,其中Tacacs是Cisco的私有协议。通过公司个性的私有协议进行安全认证有何安全性可言?华为选择了实现最为广泛且通用的协议:RADIUS。目前,上网所采用的绝大多数验证协议即为RADIUS。Tacacs及Kerberos在AAA方面并无特殊优势,也很少使用。
2、 Lock And Key
Cisco IOS所实现的这个功能必须先使用TELNET登录到路由器上才可以使用此功能,反而造成更大的安全隐患!比如:TELNET的用户名、口令是明文传输的!
3、 Authentication Proxy(认证代理)
代理由专用的代理服务器来完成时最合适的。在设备侧做代理不可能产生丰富的记录信息,而且只能对部分应用做支持。路由器内的内存有限,不象PC服务器有海量内存和硬盘,而且PC的CPU处理能力日新月异,作为专用设备的路由器毕竟在高层应用上不是强项。所以用路由器做Proxy效率低、浪费资源,还影响路由器路由转发的正常业务处理。目前应用常见的Proxy服务器均是直接架设一台代理服务器。
4.3.2.3 华为正在实现的安全技术
华为正在实现对安全管理以及部分IDS(入侵检测)的支持。安全管理是华为安全方面的一个发展方向。
Cisco在IDS方面做得并不出色,出于某些因素考虑,Cisco将NetSonar软件降价出售。因为IDS与防范病毒类似,攻击特征库需要经常性的更新,这对于路由器这种设备来说,每半个月升级一次显然是不合适的。 Cisco攻击华为不支持IDS,自己又做得如何呢?事实上,如果为了要使用这些并不很完整的IDS功能,用户还需要另外购买非常昂贵的NetRanger软件!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。