《网络安全特性》PPT课件.ppt

HM-043 网络安全特性,ISSUE 5.0,2,学习目标,了解安全特性的基本内容明确AAA服务的具体内容掌握RADIUS协议的基本原理和配置,学习完本课程，您应该能够：,3,课程内容,第一章 安全特性概述第二章 AAA第三章 RADIUS,4,网络安全概述,网络安全是Internet必须面对的现实问题网络安全是一门综合性的技术网络安全具有两层含义：保证内部局域网的安全（不被非法侵入）保护内网和外部进行数据交换的安全随着网络安全技术的完善和更新，网络安全将是一个永恒的话题。,5,网络安全关注的范围,常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识,6,网络安全的必要技术,针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性：可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理,7,可靠性和线路安全,可靠性要求主要针对故障恢复和负载能力主备运行：主接口故障时，备份接口自动接替主用接口的工作负载分担：网络流量增大时，备份链路承担部分主用链路的工作线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问,8,身份认证,访问路由器时的身份认证Console口配置Telnet登陆配置SNMP配置Modem远程配置对其它路由器的身份认证直接相连的邻居路由器逻辑连接的对等体路由信息的身份认证防止伪造路由信息的侵入,9,访问控制,对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略基于用户的访问控制对于接入服务用户，设定特定的过滤属性,10,信息隐藏,地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求应用场合内部局域网访问Internet,11,数据加密和防伪,数据加密利用公网传输数据不可避免地面临数据窃听的问题传输之前进行数据加密，保证只有与之通信的对端能够解密数据防伪报文在传输过程中，有可能被攻击者截获、篡改并重新投放到网络上接收端需要进行数据完整性鉴别，丢弃被篡改的数据报文相关技术数据加密数字签名IPSec,12,安全管理,保证重要的网络设备处于安全的运行环境，防止人为破坏保护好访问口令、密码等重要的安全信息进行安全策略管理，有效利用安全策略在网络出入口实现报文审计和过滤，提供网络运行的必要信息,13,Quidway路由器的安全技术,AAA（Authentication，Authorization，Accounting）网络安全服务提供一个实现身份认证的主框架提供验证、授权、计费服务使用RADIUS等协议实现对网络的访问控制,14,Quidway路由器的安全技术（续）,包过滤技术提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤,15,Quidway路由器的安全技术（续）,地址转换技术地址转换技术提供内部用户透明访问外部网络的功能有效屏蔽内部网络的地址，禁止外部主机直接访问内部网络实现内部主机的隐藏,16,Quidway路由器的安全技术（续）,IPSec和IKE技术IPSec（IP Security）可以实现数据的加密以及防伪，可以在不安全的线路上传输加密信息，形成“安全的隧道”。可以为Internet上的数据传输提供安全的VPN解决方案。IKE（密钥交换协议）为通信双方提供交换密钥等服务，IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥，而是通过一系列交换信息计算密钥。,17,Quidway路由器的安全技术（续）,隧道技术隧道技术是实现VPN的核心技术二层隧道技术主要有VPDN，主要用来提供拨号接入服务三层隧道技术主要有GRE和IPSec，主要用来使用户在Internet上构建对等的虚拟专网,二层隧道示意图,三层隧道示意图,18,安全接入Internet,基于接口的包过滤基于时间段定义过滤规则通过地址转换灵活访问Internet外部不能直接访问内部网络通过地址转换向外提供WWW、FTP等服务器,19,组建安全的VPN,出差员工通过当地的ISP接入到Internet，进而接入公司总部办事处及分支机构通过GRE和IPSec实现与总部私网的互联，所有的数据报文被加密传送。,20,课程内容,第一章 安全特性概述第二章 AAA第三章 RADIUS,21,AAA概述,验证（Authentication）授权（Authorization）计费（Accounting）,RADIUS Server,本地实现AAA,使用RADIUS服务器实现AAA,Quidway 路由器,Quidway 路由器,22,提供AAA支持的服务,Quidway 路由器,Telnet客户端,拨入设备,FTP 客户端,PPP,Quidway 路由器,Quidway 路由器,23,验证与授权,验 证,授 权,用户名、口令验证,PPP的CHAP验证,主叫号码认证,服务类型,回呼号码,隧道属性,24,计费及AAA使用特别提醒,记录用户使用资源情况只能使用AAA服务器进行计费对于通过验证的用户缺省都要进行计费如果不希望计费一定要配置如下命令：（ISP域视图）accounting optional,25,AAA基本配置命令,配置命令domain isp-name|default disable|enable isp-name accounting-scheme optional scheme radius-scheme radius-scheme-name local|hwtacacs-scheme hwtacacs-scheme-name local|local|none 方法表 5种有效组合：radius、local、none、radius local、hwtacacs-scheme,26,本地用户数据库,本地用户数据库,用户名,用户口令,授权服务,主叫号码,回呼号码,FTP授权目录,相关命令,local-userdisplay users,用 户 数 据,27,本地AAA配置举例,配置test域为默认域Quidway domain default enable test配置不计费时仍然允许test域用户访问（ISP域视图）Quidway-isp-test accounting optional 配置特定接口拨入的PPP用户的缺省验证方法Quidway-Serial0/0ppp authentication-mode pap scheme domain test,28,调试和监控信息,显示在线用户display users,29,RADIUS概述,RADIUS(Remote Authentication Dial-in User Service)是当前流行的安全服务器协议实现AAA（授权Authorization、验证Authentication和计费Accounting）功能,30,RADIUS实现AAA的流程,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS Server,Quidway 路由器,31,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密RADIUS报文结构灵活，扩展性强,各属性,类型,长度,值,类型码,ID,长度,验证字,32,RADIUS验证与授权,验证、授权过程如下：路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证：合法用户返回访问接受报文（用户授权信息）非法用户返回访问拒绝报文路由器接受服务器的响应报文：访问接受报文允许上网，使用其授权信息对用户进行处理访问拒绝报文拒绝用户上网请求,33,每次计费过程包括计费请求、计费应答对一个用户的计费过程有：计费信息：计费失败处理,RADIUS计费,计费开始,实时计费,计费结束,会话时长,输入字节数,输出字节数,输入包数,输出包数,34,RADIUS用户管理,RADIUS协议为标准协议，遵循RADIUS协议的所有服务器可以互通用户管理放置在RADIUS服务器端进行，有相应的管理软件用户可以灵活选用RADIUS服务器及用户管理软件,35,RADIUS基本配置,创建RADIUS方案并进入其视图radius scheme radius-scheme-name配置主从RADIUS认证/授权的IP地址和端口号（RADIUS视图）primary authentication ip-address port-number secondary authentication ip-address port-number 配置主从RADIUS计费的IP地址和端口号（RADIUS视图）primary accounting ip-address port-number secondary accounting ip-address port-number 在ISP域中应用RADIUS策略（ISP域视图）scheme radius-scheme radius-scheme-name,36,RADIUS配置举例,启用基于RADIUS的AAA认证计费机制Quidway radius scheme test配置RADIUS服务器IP地址和端口（RADIUS视图）Quidway-radius-test primary authentication 1.1.1.1 1812 Quidway-radius-test primary accounting 1.1.1.1 1813 创建一个ISP域并在该域中应用RADIUS策略Quidway domain isp_testQuidway-isp-isp_testscheme radius-scheme test配置特定接口拨入的PPP用户的缺省验证方法表Quidway-Serial0/0ppp authentication-mode pap scheme domain test,37,RADIUS配置举例（续）,配置RADIUS服务器密钥、重传次数、超时定时器Quidway-radius-test key authentication 123Quidway-radius-test key accounting 123Quidway-radius-test retry 2Quidway-radius-test timer 5,38,RADIUS包调试信息,打开RADIUS协议报文调试信息开关debugging radius packet观察发送、接收数据包的情况及整个RADIUS包的内容,39,本章总结,安全特性概述AAA服务RADIUS服务器,华为3Com技术有限公司,华为3Com公司网址:华为3Com技术论坛网址:,