华为VRP安全技术与Cisco比较(3)

　　4.3.2.2 华为认为不必实现的安全技术

　　在Cisco与华为对比材料中，作者曾提出华为设备在Tacacs认证、Lock and key、认证代理等方面不支持，华为目前确实不支持这些协议，是因为华为通过分析这些协议的实现认为没必要支持。分析如下：

　　1、 Tacacs及Kerberos

　　Tacacs及Kerberos这两个协议与RADIUS一样，都可以实现AAA，其中Tacacs是Cisco的私有协议。通过公司个性的私有协议进行安全认证有何安全性可言？华为选择了实现最为广泛且通用的协议：RADIUS。目前，上网所采用的绝大多数验证协议即为RADIUS。Tacacs及Kerberos在AAA方面并无特殊优势，也很少使用。

　　2、 Lock And Key

　　Cisco IOS所实现的这个功能必须先使用TELNET登录到路由器上才可以使用此功能，反而造成更大的安全隐患！比如：TELNET的用户名、口令是明文传输的！

　　3、 Authentication Proxy（认证代理）

　　代理由专用的代理服务器来完成时最合适的。在设备侧做代理不可能产生丰富的记录信息，而且只能对部分应用做支持。路由器内的内存有限，不象PC服务器有海量内存和硬盘，而且PC的CPU处理能力日新月异，作为专用设备的路由器毕竟在高层应用上不是强项。所以用路由器做Proxy效率低、浪费资源，还影响路由器路由转发的正常业务处理。目前应用常见的Proxy服务器均是直接架设一台代理服务器。

　　4.3.2.3 华为正在实现的安全技术

　　华为正在实现对安全管理以及部分IDS（入侵检测）的支持。安全管理是华为安全方面的一个发展方向。

　　Cisco在IDS方面做得并不出色，出于某些因素考虑，Cisco将NetSonar软件降价出售。因为IDS与防范病毒类似，攻击特征库需要经常性的更新，这对于路由器这种设备来说，每半个月升级一次显然是不合适的。 Cisco攻击华为不支持IDS，自己又做得如何呢？事实上，如果为了要使用这些并不很完整的IDS功能，用户还需要另外购买非常昂贵的NetRanger软件！