《以太网技术白皮书》由会员分享,可在线阅读,更多相关《以太网技术白皮书(13页珍藏版)》请在金锄头文库上搜索。
1、以太网安全技术白皮书摘要本文详细介绍了 Quidway系列以太网交换机所应用的安全技术,包括访问控制、802.1X网络访问控制、基 于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等,并探讨了Quidway系列以太网交 换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点,给出了在企业网应 用中的实际解决方案。关键词以太网安全,web认证,802.1X网络访问控制1 概述随着以太网应用的日益普及,尤其是在一些大中型企业网的应用,以太网安全成为日益迫切的需求。一方 面以太网交换机作为企业内部网络之间通讯的关键设备,有必要在企业网内部提供充分的安全保
2、护功能。 另一方面用户只要能接入以太网交换机,就可以访问Internet网上的设备或资源,使WLAN上的安全性问 题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括:访问控制、用户验证、防地址假 冒、入侵检测与防范、安全管理等技术。本文将对其原理与技术实现作介绍。2 安全交换机的设计原则针对以太网存在的各种安全隐患,安全交换机必须具有如下的安全特性: 访问控制 用户验证 防地址假冒 入侵检测与防范 安全管理2.1 访问控制访问控制分为以下几种情况:1、对于交换机的访问控制。 对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用 户才能对交换机进行配置;一般用户只
3、有查看普通信息的权力。2、基于IP地址的访问控制。一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外用户)是通 过IP地址来区分的,不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制,可以实现对 重要资源的保护。3、基于MAC地址的访问控制。特殊情况下,用户也可以通过MAC地址来区分。通过实现基于MAC地址的访 问控制,可以保护特殊用户的权限。4、基于端口的访问控制。 对于接入用户来说,他们之间的权限也有可能是不一样的。通过对用户接入的 端口设置特定的过滤属性,可实现对接入用户的访问控制。5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门,各个部门的访问权限
4、有可能是不一 样的。通过实现基于Vlan的访问控制,可以实现对部门的访问控制。2.2 用户验证用户验证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受网络攻击, 而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务,而未经验证的用户则被拒绝。访问交换机存在多种方式:直接从console 口登录进行配置;telnet登录配置;通过SNMP进行配置;通 过modem远程配置等等。对于这些访问方式,都需要有相应的用户身份验证。验证时可以选择采用交换机 本身维护的用户数据库,还可以采用RADIUS服务器所维护的用户数据库对用户进行验证。远程用户验证 主要包括:P
5、PP验证、WEB验证和端口验证。2.3 防地址假冒为了有效的防止假冒IP地址和假冒MAC地址,Quidway以太网交换机使用了地址绑定技术严格控制用户的 接入。例如,绑定用户接入的端口与MAC地址。2.4 入侵检测与防范为了防止网上的大流量攻击,Quidway系列以太网交换机提供了两种基本的攻击检测技术:1、报文镜像。使用报文镜像,可以将指定类型的报文,例如ICMP报文,拷贝到指定端口,然后通过连接 到镜像端口的协议分析仪进行测试记录。使用这种方法,可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、 RSTP 等多种协议报文。2、报文统计。使用报文统计,可以按时间段、协议类型、IP
6、地址五元组等特性分别进行报文包数和字节 数的统计。Quidway系列以太网交换机通过基于ACL的流量限制,预防并控制网上的大流量攻击。当发现大流量攻击 时,可以限制到达被攻击目的地址的报文流量。2.5 安全管理内部网络与外部网络之间的每一个数据报文都会通过交换机,在交换机上进行报文的审计可以提供网络运 行的必要信息,有助于分析网络的运行情况。另一方面,交换机的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利用,进行安全 策略管理是必需的。3 Quidway系列以太网交换机的安全技术Quidway 系列以太网交换机提供了一个有效的网络安全解决方案,包括用户验证、授权、计费、数据保护
7、 等等。Quidway系列以太网交换机所采用的安全技术包括: 包过滤技术 用户验证技术 防地址假冒技术 入侵检测与防范技术 安全管理3.1 包过滤技术包过滤应用在Quidway系列以太网交换机中,为交换机增加了对数据包的过滤功能。在三层交换机中,不 仅可以过滤有安全隐患的以太网帧,还可以过滤IP数据包。对到达端口的数据包,如果是可以直接在链路 层交换的以太网帧,则先获取以太网帧头信息,包括以太网帧类型、源MAC地址、目的MAC地址,并根据 目的MAC地址获得以太网帧的出端口;如果是需要三层转发的数据包,则先获取包头信息,包括IP层所承 载的上层协议的协议号,数据包的源地址、目的地址、源端口和目
8、的端口等,然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者丢弃。三层IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由交换机进行处理的信息。 包过滤通常用到IP报文的以下属性: IP的源、目的地址及协议域; TCP或UDP的源、目的端口; ICMP 码、 ICMP 的类型域; TCP 的标志域可以由这些域的各式各样的组合形成不同的规则。比如,要禁止从主机到主机2.2.2.2的FTP连 接,包过滤可以创建这样的规则用于丢弃相应的报文: IP 目的地址 = 2.2.2.2 IP 源地址= IP的协议域=6(TCP) 目的端口 = 21(FTP)其他的域一般情况下不
9、用考虑。同样,对于二层报文,也可相应地设置各自的过滤规则。二层报文常用到的过滤属性 源/目的 MAC 地址; 输入/输出端口; 以太网封装类型; 以太网帧承载的协议类型 报文类型; Vlan 标识符可以基于这些域及其组合来制定 ACL 规则,从而完成在第二层的包过滤。Quidway 系列以太网交换机的包过滤具有以下特性: 基于ACL (Access-List,访问控制列表):ACL不仅应用在包过滤中,还可以应用在其他需要进 行对数据流进行分类的特性中,比如报文镜像、报文统计与流量限制。 Quidway 系列以太网交换 机提供的 ACL 可以: 支持标准及扩展的ACL:可以通过标准的ACL只设定
10、一个简单的地址范围,也可以使用扩展的ACL 设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类 型等。 支持时间段:可以使ACL在特定的时间段内起作用,比如可设置每周一的8:00至20:00此ACL起 作用,还可以具体到某年某月某日至某年某月某日此ACL起作用。 支持ACL的自动排序:可以选择是否针对某一类的ACL进行自动排序,以简化配置的复杂度,方 便对于 ACL 的配置及维护。 支持名称方式的ACL:易于记忆及配置。 支持基于端口进行过滤:可以设定禁止或允许转发来自或去往某个端口的报文。 支持基于MAC地址进行过滤:可以设定禁止或允许转发来自或去往某个MA
11、C地址的帧。 支持基于Vlan进行过滤:可以设定禁止或允许转发来自或去往某个Vlan的报文。 支持基于应用进行过滤:可以对交换机端口的输入帧前80字节范围内的64字节任意域设置过滤 规则。 支持对符合条件的报文或帧做日志:可以记录报文或帧的相关信息,并提供了机制保证在有大量 相同触发日志的情况下不会消耗过多的资源。3.2 用户验证3.2.1 PPP 验证PPP是传统窄带拨号网络的接入技术。PPP在NCP过程中,可以采用PAP或CHAP进行口令验证,然后由业 务接入节点分配IP地址。在宽带网络上,引入了对PPP的扩展:PPPoE和PPPoA。PPPoE是PPP在以太 网上的扩展;PPPoE应用在
12、共享的网络介质上,必须采用CHAP进行口令交换,以避免明文口令被侦听。3.2.2 WEB 验证基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP获得IP地址, 然后通过通用浏览器访问指定Web页面(地址、端口及URL),或者由业务接入节点自动导向运营商的Portal 页面。 Portal 认证方式的用户接入方案如图1 所示。接入层边操接入层RADIUS ServerPortal Ser/er(点击放大)图 1 Portal 认证方式的用户接入方案Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是 客户使用获取
13、到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是 PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访 问控制表(ACL)可以做到。用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网 页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由Portal Server与NAS 之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后 Portal S
14、erver与NAS之间用Portal协议直接通信,而NAS又与RADIUS服务器直接通信完成用户的认证 和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。Portal认证方式的关键结点通信关系 如图2 所示。LANSW1TCHMAS与 Portal Server之间迺已RADIUS协 议沁MS龙肯代NASXRADIUS SewAortal Seh/er图 2 Portal 认证方式关键结点通信关系通过Portal认证方式,用户具体上网、计费、下线全过程如图3所示。userPortal ServerNASRADIUS Server4 Req_Cha 11 “电e (.portal 议
15、+一5 Ack_Cha 11 erLEe (.portal t1乜1b Fieq-Hut h (po r t a 1 t/t 讪:)RADIUSWi1 2 A ck_Hut h I.po r t a 1 t/l jI8 Aci:eee_hi:i:ept1 0 A c coiiiLt i rLE_KeQiie e t F 411 AccoiiiLt irL_ReEpunEe 14用户下线1 5 Ee q- 1 o Eout (po r t a 111*!-谊.13下纯通和1 8 h 匚1:一 1 o Eout (po r t :m 1 协 V:j lb AccuijiLt irLE_Keauest - 昨 1 T AccuijiLt irLE_KeEporLEe I1用户开机即可我取私网IP42冊目方式取得认证贡而一3更面中辅人 师户塔和峦码图 3 Portal 认证方式的用户上网、计费、下线流程1、连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址,也可为用户配置静态IP 地址; 2、用户游览ISP网站,获取认证网页,同时可游览社区
