《hm043网络安全特性v5.1》由会员分享,可在线阅读,更多相关《hm043网络安全特性v5.1(40页珍藏版)》请在金锄头文库上搜索。
1、HM-043 网络安全特性网络安全特性ISSUE 5.1日期:n了解安全特性的基本内容了解安全特性的基本内容n明确明确AAA服务的具体内容服务的具体内容n掌握掌握RADIUS协议的基本原理和配置协议的基本原理和配置课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n安全特性概述安全特性概述nAAAnRADIUS目录目录4网络安全概述网络安全概述l网络安全是网络安全是Internet必须面对的现实问题必须面对的现实问题l网络安全是一门综合性的技术网络安全是一门综合性的技术l网络安全具有两层含义:网络安全具有两层含义:保证内部局域网的安全(不被非法侵入)保护内网和外部进行数据交换
2、的安全l随着网络安全技术的完善和更新,网络安全随着网络安全技术的完善和更新,网络安全将是一个永恒的话题。将是一个永恒的话题。5网络安全关注的范围网络安全关注的范围l常常从如下几个方面综合考虑整个网络的安全常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段,重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识6网络安全的必要技术网络安全的必要技术l针对网络存在的各种安全隐患,安全路由器针对网络存在的各种安全隐患,安全路由器必须具有如下安全特性:必须具有如下安全特性:可靠性和线路
3、安全身份认证访问控制信息隐藏数据加密和防伪安全管理7可靠性和线路安全可靠性和线路安全l可靠性要求主要针对故障恢复和负载能力可靠性要求主要针对故障恢复和负载能力主备运行:主接口故障时,备份接口自动接替主用接口的工作负载分担:网络流量增大时,备份链路承担部分主用链路的工作l线路安全指的是线路本身的安全性线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问8身份认证身份认证l访问路由器时的身份认证访问路由器时的身份认证Console口配置Telnet登陆配置SNMP配置Modem远程配置l对其它路由器的身份认证对其它路由器的身份认证直接相连的邻居路由器逻辑连接的对等体l路由信息的身份认证路
4、由信息的身份认证防止伪造路由信息的侵入9访问控制访问控制l对网络设备的访问控制对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限l基于五元组的访问控制基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略l基于用户的访问控制基于用户的访问控制对于接入服务用户,设定特定的过滤属性10信息隐藏信息隐藏l地址转换地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求l应用场合应用场合内部局域网访问Internet11数据加密和防伪数据加密和防伪l数据加密数据加密利用公网传输数据不可避免地面临数据窃听的问题传输之前进行数据加密,保证只有与之通信的对端能够解密l数据防
5、伪数据防伪报文在传输过程中,有可能被攻击者截获、篡改并重新投放到网络上接收端需要进行数据完整性鉴别,丢弃被篡改的数据报文l相关技术相关技术数据加密数字签名IPSec12安全管理安全管理l保证重要的网络设备处于安全的运行环境,保证重要的网络设备处于安全的运行环境,防止人为破坏防止人为破坏l保护好访问口令、密码等重要的安全信息保护好访问口令、密码等重要的安全信息l进行安全策略管理,有效利用安全策略进行安全策略管理,有效利用安全策略l在网络出入口实现报文审计和过滤,提供网在网络出入口实现报文审计和过滤,提供网络运行的必要信息络运行的必要信息13H3C路由器的安全技术路由器的安全技术lAAA(Auth
6、entication,Authorization,Accounting)网络安全服务)网络安全服务提供一个实现身份认证的主框架提供验证、授权、计费服务使用RADIUS等协议实现对网络的访问控制14H3C路由器的安全技术(续)路由器的安全技术(续)l包过滤技术包过滤技术提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤15H3C路由器的安全技术(续)路由器的安全技术(续)l地址转换技术地址转换技术地址转换技术提供内部用户透明访问外部网络的功能有效屏蔽内部网络的地址,禁止外部主机直接访问内部网络实现内部主机的隐藏16H3C路由器的安全技术(续)路由器的安
7、全技术(续)lIPSec和和IKE技术技术IPSec(IP Security)可以实现数据的加密以及防伪,可以在不安全的线路上传输加密信息,形成“安全的隧道”。可以为Internet上的数据传输提供安全的VPN解决方案。IKE(密钥交换协议)为通信双方提供交换密钥等服务,IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥,而是通过一系列交换信息计算密钥。17H3C路由器的安全技术(续)路由器的安全技术(续)l隧道技术隧道技术隧道技术是实现VPN的核心技术二层隧道技术主要有VPDN,主要用来提供拨号接入服务三层隧道技术主要有GR
8、E和IPSec,主要用来使用户在Internet上构建对等的虚拟专网二层隧道示意图三层隧道示意图18安全接入安全接入Internetl基于接口的包过滤基于接口的包过滤l基于时间段定义过滤规则基于时间段定义过滤规则l通过地址转换灵活访问通过地址转换灵活访问Internetl外部不能直接访问内部网络外部不能直接访问内部网络l通过地址转换向外提供等服务器通过地址转换向外提供等服务器19组建安全的组建安全的VPNl出差员工通过当地的出差员工通过当地的ISP接入到接入到Internet,进而接,进而接入公司总部入公司总部l办事处及分支机构通过办事处及分支机构通过GRE和和IPSec实现与总部实现与总部私
9、网的互联,所有的数据报文被加密传送。私网的互联,所有的数据报文被加密传送。n安全特性概述安全特性概述nAAAnRADIUS目录目录21AAA概述概述l验证(验证(Authentication)l授权(授权(Authorization)l计费(计费(Accounting)RADIUS Server本地实现本地实现AAA使用使用RADIUS服务器实现服务器实现AAAH3C 路由器路由器H3C 路由器路由器22提供提供AAA支持的服务支持的服务H3C 路由器路由器Telnet客户端客户端拨入设备拨入设备FTP 客户端客户端PPPH3C 路由器路由器H3C 路由器路由器23验证与授权验证与授权验验 证
10、证授授 权权用户名、口令验证用户名、口令验证PPP的的CHAP验证验证主叫号码认证主叫号码认证服务类型服务类型回呼号码回呼号码隧道属性隧道属性24计费及计费及AAA使用特别提醒使用特别提醒l记录用户使用资源情况记录用户使用资源情况l只能使用只能使用AAA服务器进行计费服务器进行计费l对于通过验证的用户缺省都要进行计费对于通过验证的用户缺省都要进行计费l如果不希望计费一定要配置如下命令:(如果不希望计费一定要配置如下命令:(ISP域视图)域视图)accounting optional 25AAA基本配置命令基本配置命令l配置命令配置命令domain isp-name | default disa
11、ble | enable isp-name accounting-scheme optional scheme radius-scheme radius-scheme-name local | hwtacacs-scheme hwtacacs-scheme-name local | local | none l方法表方法表 5种有效组合:radius、local、none、radius local、hwtacacs-scheme26本地用户数据库本地用户数据库本地用户数据库用户名用户口令授权服务主叫号码回呼号码FTP授权目录local-userdisplay users用 户 数 据相关命令2
12、7本地本地AAA配置举例配置举例l配置配置test域为默认域域为默认域H3C domain default enable testl配置不计费时仍然允许配置不计费时仍然允许test域用户访问(域用户访问(ISP域视图)域视图)H3C-isp-test accounting optional l配置特定接口拨入的配置特定接口拨入的PPP用户的缺省验证方法用户的缺省验证方法H3C-Serial0/0ppp authentication-mode pap scheme domain test28调试和监控信息调试和监控信息l显示在线用户显示在线用户display usersn安全特性概述安全特性概述
13、nAAAnRADIUS目录目录30RADIUS概述概述lRADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协是当前流行的安全服务器协议议l实现实现AAA(授权(授权Authorization、验证、验证Authentication和计费和计费Accounting)功能)功能31RADIUS实现实现AAA的流程的流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网RADIUS ServerH3C 路由器32RADIUS结构及基本原理结构及基本原理lRADIUS协议采用客
14、户机协议采用客户机/服务器服务器(Client/Server)结构,使用)结构,使用UDP协议作协议作为传输协议为传输协议lRADIUS使用使用MD5加密算法对数据包进行数加密算法对数据包进行数字签名,以及对口令进行加密字签名,以及对口令进行加密lRADIUS报文结构灵活,扩展性强报文结构灵活,扩展性强各属性类型长度值类型码ID长度验证字33RADIUS验证与授权验证与授权l验证、授权过程如下:验证、授权过程如下:路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证:合法用户返回访问接受报文(用户授权信息)非法用户返回访问拒绝报文路由器接受服务器的响应报文:访问接
15、受报文允许上网,使用其授权信息对用户进行处理访问拒绝报文拒绝用户上网请求34l每次计费过程包括计费请求、计费应答每次计费过程包括计费请求、计费应答l对一个用户的计费过程有:对一个用户的计费过程有:l计费信息:计费信息:l计费失败处理计费失败处理RADIUS计费计费计费开始实时计费计费结束会话时长输入字节数输出字节数输入包数输出包数35RADIUS用户管理用户管理lRADIUS协议为标准协议,遵循协议为标准协议,遵循RADIUS协协议的所有服务器可以互通议的所有服务器可以互通l用户管理放置在用户管理放置在RADIUS服务器端进行,有服务器端进行,有相应的管理软件相应的管理软件l用户可以灵活选用用
16、户可以灵活选用RADIUS服务器及用户管服务器及用户管理软件理软件36RADIUS基本配置基本配置l创建创建RADIUS方案并进入其视图方案并进入其视图radius scheme radius-scheme-namel配置主从配置主从RADIUS认证认证/授权的授权的IP地址和端口号地址和端口号(RADIUS视图)视图)primary authentication ip-address port-number secondary authentication ip-address port-number l配置主从配置主从RADIUS计费的计费的IP地址和端口号地址和端口号 ( RADIUS视
17、图)视图)primary accounting ip-address port-number secondary accounting ip-address port-number l在在ISP域中应用域中应用RADIUS策略(策略(ISP域视图)域视图)scheme radius-scheme radius-scheme-name 37RADIUS配置举例配置举例l启用基于启用基于RADIUS的的AAA认证计费机制认证计费机制H3C radius scheme testl配置配置RADIUS服务器服务器IP地址和端口地址和端口 ( RADIUS视视图)图)H3C-radius-test pr
18、imary authentication 1.1.1.1 1812 H3C-radius-test primary accounting 1.1.1.1 1813 l创建一个创建一个ISP域并在该域中应用域并在该域中应用RADIUS策略策略H3C domain isp_testH3C-isp-isp_testscheme radius-scheme testl配置特定接口拨入的配置特定接口拨入的PPP用户的缺省验证方法表用户的缺省验证方法表H3C-Serial0/0ppp authentication-mode pap scheme domain test38RADIUS配置举例(续)配置举例
19、(续)l配置配置RADIUS服务器密钥、重传次数、超时服务器密钥、重传次数、超时定时器定时器H3C-radius-test key authentication 123H3C-radius-test key accounting 123H3C-radius-test retry 2H3C-radius-test timer 539RADIUS包调试信息包调试信息l打开打开RADIUS协议报文调试信息开关协议报文调试信息开关debugging radius packetl观察发送、接收数据包的情况及整个观察发送、接收数据包的情况及整个RADIUS包包的内容的内容n安全特性概述安全特性概述nAAAAAA服务服务nRADIUSRADIUS服务器服务器本章总结本章总结
