《《网络工程规划与设计》第六章》由会员分享,可在线阅读,更多相关《《网络工程规划与设计》第六章(33页珍藏版)》请在金锄头文库上搜索。
1、第6章 网络安全设计【本章要点】通过本章学习,读者应了解网络威胁与对 策,服务器威胁与对策,802.1x+RADIUS的 应用,以及几种认证方式比较和DMZ的概念 。基本掌握802.1x协议及工作机制,基于 RADIUS的认证计费,防止IP地址盗用的技术 ,网络防病毒技术。基本掌握路由器+防火 墙保护网络边界的方法,标准访问列表和扩 展访问列表的应用。6.1网络安全设计的原则1.网络信息安全的木桶原则 2.网络信息安全的整体性原则 3.安全性评价与平衡原则 4.标准化与一致性原则 5.技术与管理相结合原则 6.统筹规划,分步实施原则 7.等级性原则 8.动态发展原则 9.易操作性原则6.2网络
2、安全威胁与防范网络安全历来都是人们讨论的主要话题之 一。网络安全不但要求防治网络病毒,而且要 提高网络系统抵抗外来非法入侵的能力,还要 提高对远程数据传输的保密性,避免在传输途 中遭受非法窃取。下面从威胁、对策、缺陷、 攻击的角度来分析网络系统安全。6.2.1网络威协与防范1.信息收集 2.探查 3.欺骗 4.会话劫持 5.拒绝服务服务器的主要威胁与对策有以下种。1. 病毒、蠕虫和特洛伊木马2.破解密码3.拒绝服务与分布式拒绝服务4.任意执行代码5.未授权访问6. 足迹7.应用程序威胁与对策6.2.2服务器威胁与防范表6-1应用程序的主要威胁根据应用程序缺陷划分的威胁类别列表 类别威胁输入验证
3、缓冲区溢出,跨站点脚本编写,SQL 注入,标准化身份验证网络窃听,强力攻击,词典攻击,重放 cookie,盗窃凭据授权提高特权,泄漏机密数据,篡改数据,引诱攻击配置管理未经授权访问管理接口,未经授权访问配置存储器,检索明文配置数据, 缺乏个人可记账性,越权进程和服务账户 敏感数据访问存储器中的敏感数据;窃听网络;篡改数据会话管理会话劫持;会话重放;中间人加密技术密钥生成或密钥管理差;脆弱的或者自定义的加密术参数操作查询字符串操作;窗体字段操作;cookie 操作;HTTP 标头操作异常管理信息泄漏;拒绝服务1.身份验证 2.边界安全 3.数据私密性 4.安全监控 5.策略管理6.2.3常用网络
4、安全技术6.2.4安全事件响应小组1.制定事件响应计划的前期准备 (1)建立事件响应小组和明确小组成员 (2)明确事件响应目标 (3)准备事件响应过程中所需要的工具软件 系统及数据的备份和恢复软件。 系统镜像软件。 文件监控及比较软件。 各类日志文件分析软件。 网络分析及嗅探软件。 网络扫描工具软件。 网络追捕软件。 文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。 如有可能,还可以准备一些反弹木马软件。6.3.1 802.1x协议及工作机制6.3网络安全接入与认证图6.1 802.1x协 议的核心内容图6.2 802.1x协议的体系结构6.3.2 RADIUS的认证RADIUS协议
5、合并了认证和授权过程,即响应报文中携带了授权信 息。 基本交互步骤如下: (1) 用户输入用户名和口令; (2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送 认证请求包(access-request)。 (3) RADIUS服务器将该用户信息与users 数据库信息进行对比分析, 如果认证成功,则将用户的权限信息以认证响应包(access-accept )发送给radius 客户端;如果认证失败,则返回access-reject 响应 包。 (4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以 接入用户,则RADIUS 客户端向radius 服务器发送
6、计费开始请求包( accounting-request),status-type 取值为start; (5) RADIUS服务器返回计费开始响应包(accounting-response);6.3.2 RADIUS的认证(6) RADIUS客户端向RADIUS服务器发送计费停止请求包(accounting- request),status-type 取值为stop; (7) RADIUS服务器返回计费结束响应包(accounting-response)。参见 图6.3。 图6.3 RADIUS服 务器返回计费结 束响应包8021x协议认证过程是用户与服务器交互的过程,其认证步骤如下。 (1)用
7、户开机后,通过8021x客户端软件发起请求,查询网络上能 处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包, 就会向客户端发送响应包,并要求用户提供合法的身份标识,如用 户名及其密码。 (2)客户端收到验证设备的响应后,提供身份标识给验证设备。由于 此时客户端还未经过验证,因此认证流只能从验证设备的未受控的 逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器, 进行认证。 (3)如果认证通过,则认证系统的受控逻辑端口打开。 (4)客户端软件发起DHCP请求,经认证设备转发到DHCPServer。 6.3.3 802.1x的认证(5)DHCPServer为用户分配I
8、P地址。 (6)DHCPServer分配的地址信息返回给认证系统,认证系统记录用户的相关信 息,如MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限 。 (7)当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开 始对用户计费。 (8)如果用户退出网络,可以通过客户端软件发起退出过程,认证设备检测到 该数据包后,会通知AAA服务器停止计费,并删除用户的相关信息(如物理 地址和IP地址),受控逻辑端口关闭;用户进入再认证状态。 (9)验证设备通过定期的检测保证链路的激活。如果用户异常死机,则验证设 备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止
9、计费的信息。6.3.3 802.1x的认证nPPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第 一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器 。因此,也就决定了在用户主机和服务器之间,不能有路由器或三层 交换机。另外,由于PPPoE点对点的本质,在用户主机和服务器之间 ,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的 开展。除此之外,PPP协议需要再次封装到以太网中,所以效率很低。nWebDHCP采用旁路方式网络架构时,不能对用户进行类似带宽管理 。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种 方式支持力度还较小,故在防止用户
10、盗用IP地址等方面,还需要额外 的手段来控制。除此之外,用户连接性差,易用性不够好。6.3.4 认证方式比较6.3.5802.1x+RADIUS的应用案例锐捷802.1x的安全接入交换机和RADIUS认证计费系统, 具有以下应用特点。(1)一次同时认证用户名、IP、MAC。在802.1x认证时,客户 端同时提交用户名、IP、MAC,一次认证即同时完成用户名 、IP、MAC三者的认证。(2)分布式认证方式,防止出现单一故障点。(3)认证流和业务流实现分离,实现高效的认证,防止出现用 户无法认证的情况。(4)灵活扩展计费功能。1.系统服务包和安全补丁 2.使用安全系数高的密码 3.做好边界防护 4
11、.关闭没有使用的服务 5.使用数据加密 6.通过备份保护你的数据 7.加密敏感通信 8.不要信任外部网络 9.使用不间断电源支持6.4 操作系统安全设计1.利用 Win2000 的安全配置工具来配置策略2关闭不必要的服务3关闭不必要的端口4打开审核策略5. 整理和收集日志文件信息6开启帐户策略7设定安全记录的访问权限8把敏感文件存放在另外的文件服务器中9. 不让系统显示上次登陆的用户名10. 禁止建立空连接11. 到微软网站下载最新的补丁程序服务器的安全和配置的中级策略 1.关闭DirectDraw 2. 关闭默认共享 3. 禁止Dump file的产生 4. 使用文件加密系统EFS 5. 加
12、密 Temp 文件夹 6. 锁住注册表 7. 关机时清除掉页面文件 8. 禁止从软盘和 CD Rom 启动系统 10. 考虑使用IPSec 9. 考虑使用智能卡来代替密码服务器安全的最后配置策略阶段6.5 WEB服务器安全设计1.对内部和外部应用分别使用单独的服务器 2.使用单独的开发服务器测试和调试应用软件 3.审查网站活动,安全存储日志 4.培训开发者进行可靠的安全编码 6.使用应用软件扫描 5.给操作系统和Web服务器打补丁 6.6网络边界安全设计n6.6.1防火墙和路由器n网络边界防御需要添加一些安全设备来保护进入网络的每个 访问。这些安全设备要么阻塞、要么筛选网络流量来限制网 络活动
13、。或者仅仅允许一些固定的网络地址在固定的端口上 可以通过网管员的网络边界。n这些边界安全设备叫防火墙。防火墙阻止试图对组织内部网 络进行扫描,阻止企图闯入网络的活动,防止外部进行拒绝 服务攻击,禁止一定范围内黑客利用Internet来探测用户内 部网络的行为。阻塞和筛选规则由网管员所在机构的安全策 略来决定。防火墙也可以用来保护在Intranet中的资源不会 受到攻击。1.防火墙是网络安全的屏障 2.防火墙可以强化网络安全策略 3.对网络存取和访问进行监控审计 4.防止内部信息的外泄6.6.1防火墙和路由器6.6.2使用网络DMZ图6.4 网络结构图图6.5 DMZ网络结构6.6.3 ACL1
14、.ACL的作用 2.ACL的分类 3.ACL的配置 4.ACL配置实例ACL的操作1.ACL的执行过程 2.设置ACL的位置图6.6 ACL设置6.6.4扩展ACL的应用1.利用标准ACL控制网络访问 2.利用扩展ACL控制网络访问 3.基于端口和VLAN的ACL访问控制综合练习六1.画图描述802.1x协议及工作机制。2.画图描述基于RADIUS的认证计费。3.简述ACL的作用及应用。实训六 加固操作系统的安全1.加固操作系统的安全 (1)实训目的:了解Windows 2000 Server系统弱点和漏 洞,掌握加固操作系统安全技术。 (2)实训资源:工具和准备工作:安装与配置好的 Wind
15、ows 2000 Server服务器。连接中国教育和科研安 全网站http:/,下载Windows 2000 Server中文版SP4和其他安全补丁。 (3)实训内容:安装SP4系统服务包和安全补丁,限制用 户权限,设置NTFS权限保护文件和目录,删除或禁用不 必要的组件和服务,设置日志和审核,文件系统加密。 (4)实训步骤:实训结束后写出实训总结报告。 2.使用访问控制列表建立防火墙(1)实训目的:了解路由器的访问控制列表配置与使用过 程,会运用标准、扩展访问控制列表建立基于路由器的 防火墙,保护网络边界。(2)实训资源、工具和准备工作:Catalyst2621路由器2 台,Windows2
16、000客户机2台,Windows2000S erver IIS服务器2台,集线器或交换机2台。制作好的UTP网络 连接(双端均有RJ-45头)平行线若干条,交叉线(一端 568A,另一端568B)一条。网络连接参考和子网地址分 配可参考图6.7。(3)实训内容:设置图中各台路由器名称、IP地址 、一般用户口令、静态路由,保存配置文件。安 装与配置IIS服务器,设置WWW服务器的IP地址 。安装和配置客户机,设置客户机的IP地址。分 别对两台路由器设置扩展访问控制列表,调试网 络,使子网1的客户机只能访问子网2的Web服务 80端口,使子网2的客户机只能访问子网1的Web 服务80端口。(4)实训步骤:配置路由器名称、IP地址、一般用户口令、特 权用户口令、静态路由,保存配置文件。安装与配置IIS服务器,设置WWW服务器的IP 地址。安装与配置客户机,设置客户机的IP地址。路由器设置扩展访问控制列表,调试网络。使 子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户
