華為網(wǎng)絡(luò)設(shè)備的安全性

1、華為3Com培訓(xùn)中心 HM-043 網(wǎng)絡(luò)安全特性網(wǎng)絡(luò)安全特性 2 學習目標學習目標 l了解安全特性的基本內(nèi)容了解安全特性的基本內(nèi)容 l明確明確AAA服務(wù)的具體內(nèi)容服務(wù)的具體內(nèi)容 l掌握掌握RADIUS協(xié)議的基本原理和配置協(xié)議的基本原理和配置 學習完本課程，您應(yīng)該能夠：學習完本課程，您應(yīng)該能夠： 3 課程內(nèi)容課程內(nèi)容 第一章第一章 安全特性概述安全特性概述 第二章第二章 AAA 第三章第三章 RADIUS 4 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 l網(wǎng)絡(luò)安全是Internet必須面對的一個實際問題 l網(wǎng)絡(luò)安全是一個綜合性的技術(shù) l網(wǎng)絡(luò)安全具有兩層含義： 保證內(nèi)部局域網(wǎng)的安全（不被非法侵入） 保護和外部進行數(shù)

2、據(jù)交換的安全 l網(wǎng)絡(luò)安全技術(shù)的完善和更新 5 網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全關(guān)注的范圍 l常常從如下幾個方面綜合考慮整個網(wǎng)絡(luò)的安全 保護網(wǎng)絡(luò)物理線路不會輕易遭受攻擊 有效識別合法的和非法的用戶 實現(xiàn)有效的訪問控制 保證內(nèi)部網(wǎng)絡(luò)的隱蔽性 有效的防偽手段，重要的數(shù)據(jù)重點保護 對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲的安全管理 病毒防范 提高安全防范意識 6 網(wǎng)絡(luò)安全的必要技術(shù)網(wǎng)絡(luò)安全的必要技術(shù) l針對網(wǎng)絡(luò)存在的各種安全隱患，安全路由器必須具有如下安全 特性： 可靠性和線路安全 身份認證 訪問控制 信息隱藏 數(shù)據(jù)加密和防偽 安全管理 7 可靠可靠 性和線路安全性和線路安全 l可靠性要求主要針對于故障恢復(fù)和負載能力 主備運行

3、：主接口故障時，備份接口自動接替主用接口的工作 負載分擔：網(wǎng)絡(luò)流量增大時，備份鏈路承擔部分主用鏈路的工作 l線路安全指的是線路本身的安全性 防止非法用戶利用線路接口進行訪問 8 身份認證身份認證 l訪問路由器時的身份認證 Console口配置 Telnet登陸配置 SNMP配置 Modem遠程配置 l對其它路由的身份認證 直接相連的鄰居路由器 邏輯連接的對等體 l路由信息的身份認證 防止偽造路由信息的侵入 9 訪問控制訪問控制 l對網(wǎng)絡(luò)設(shè)備的訪問控制 分級保護 不同級別的用戶擁有不同的操作權(quán)限 l基于五元組的訪問控制 根據(jù)數(shù)據(jù)包信息進行數(shù)據(jù)分類 不同的數(shù)據(jù)流采用不同的策略 l基于用戶的訪問控制

4、 對于接入服務(wù)用戶，設(shè)定特定的過濾屬性 10 信息隱藏信息隱藏 l地址轉(zhuǎn)換 隱藏私網(wǎng)內(nèi)部地址 僅僅是內(nèi)部用戶可以直接發(fā)起建立連接請求 l應(yīng)用場合 內(nèi)部局域網(wǎng)訪問Internet 11 數(shù)據(jù)加密和防偽數(shù)據(jù)加密和防偽 l數(shù)據(jù)加密 利用公網(wǎng)傳輸數(shù)據(jù)不可避免的面臨數(shù)據(jù)竊聽的問題 傳輸之前進行數(shù)據(jù)加密，保證只有與之通信的對端能夠解密 l數(shù)據(jù)防偽 報文在傳輸過程中，被截獲、修改，重新投放到網(wǎng)絡(luò)上 接受端進行數(shù)據(jù)識別，丟棄被修改的報文 l相關(guān)技術(shù) 數(shù)據(jù)加密 數(shù)字簽名 IPSec 12 安全管理安全管理 l保證重要的網(wǎng)絡(luò)設(shè)備處于安全的運行環(huán)境，防止人為破壞 l保護好訪問口令、密碼等重要的安全信息 l進行安全策

5、略管理，有效利用安全策略 l在網(wǎng)絡(luò)出入口實現(xiàn)報文審計和過濾，提供網(wǎng)絡(luò)運行的必要信息 13 Quidway路由器的安全技術(shù)路由器的安全技術(shù) lAAA（Authentication，Authorization，Accounting）網(wǎng)絡(luò)安全 服務(wù) 提供一個實現(xiàn)身份認證的主框架 提供驗證、授權(quán)、記帳服務(wù) 使用RADIUS等協(xié)議實現(xiàn)對網(wǎng)絡(luò)的訪問控制 14 Quidway路由器的安全技術(shù)（續(xù)）路由器的安全技術(shù)（續(xù)） l包過濾技術(shù) 提供訪問控制的基本框架 提供基于IP地址等信息的包過濾 提供基于接口的包過濾 提供基于時間段的包過濾 15 Quidway路由器的安全技術(shù)（續(xù)）路由器的安全技術(shù)（續(xù)） l地址轉(zhuǎn)

6、換技術(shù) 地址轉(zhuǎn)換技術(shù)提供內(nèi)部用戶透明訪問外部網(wǎng)絡(luò)的功能 有效屏蔽內(nèi)部網(wǎng)絡(luò)的地址，禁止外部主機直接訪問內(nèi)部網(wǎng)絡(luò) 實現(xiàn)內(nèi)部主機的隱藏 16 Quidway路由器的安全技術(shù)（續(xù)）路由器的安全技術(shù)（續(xù)） lIPSec和IKE技術(shù) IPSec（IP Security）可以實現(xiàn)數(shù)據(jù)的加密以及防偽，可以使在不 安全的線路上傳輸加密信息，形成“安全的隧道”?？梢詾橛脩?在Internet上提供安全的VPN解決方案。 IKE（密鑰交換協(xié)議）為通信雙方提供交換密鑰等服務(wù)，IKE定義 了通信雙方進行身份認證、協(xié)商加密算法以及生成共享的會話密 鑰的方法。并且保證永遠不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而 是通過一系列交換

7、信息計算密鑰。 17 l隧道技術(shù) 隧道技術(shù)是實現(xiàn)VPN的核心技術(shù) 二層隧道技術(shù)主要有VPDN，主要用來提供撥號接入服務(wù) 三層隧道技術(shù)主要有GRE，主要用來使用戶在Internet上構(gòu)建自己 的虛擬專網(wǎng) POP POPPOP POP總部 辦事處客戶 分公司 隧道 Internet骨干 專線 VPN Server PSTN/ISDN 二層隧道示意圖三層隧道示意圖 18 安全接入安全接入Internet l基于接口的包過濾 l基于時間段定義過濾規(guī)則 l通過地址轉(zhuǎn)換靈活訪問Internet l外部不能直接訪問內(nèi)部網(wǎng)絡(luò) l可以通過地址轉(zhuǎn)換向外提供WWW、FTP等服務(wù)器 內(nèi)部服務(wù)器 日志主機 通過地址 轉(zhuǎn)

8、換映射 19 組建安全的組建安全的VPN l出差員工通過當?shù)氐腎SP接入到Internet，進而接入公司總部 l辦事處及分支機構(gòu)通過GRE和IPSec實現(xiàn)與總部間的互聯(lián)，數(shù) 據(jù)采取加密傳輸 PSTN RADIUS服務(wù)器 合作伙伴 重要客戶 公司總部 Quidway A8010 Quidway VPN網(wǎng)關(guān) Quidway VPN網(wǎng)關(guān) 20 課程內(nèi)容課程內(nèi)容 第一章第一章 安全特性概述安全特性概述 第二章第二章 AAA 第三章第三章 RADIUS 21 AAA概述概述 l驗證（Authentication） l授權(quán)（Authorization） l計費（Accounting） Quidway Se

9、ries RouterQuidway Series Router AAA Server 本地實現(xiàn)AAA使用服務(wù)器實現(xiàn)AAA 22 提供提供AAA支持的服務(wù)支持的服務(wù) Quidway Series Router Quidway Series RouterQuidway Series Router EXEC 遠程設(shè)備 FTP Client PPP 23 驗證與授權(quán)驗證與授權(quán) 驗 證授 權(quán) 用戶名、口令驗證 PPP的CHAP驗證 主叫號碼認證 服務(wù)類型 回呼號碼 隧道屬性 24 計費及計費及AAA使用特別提醒使用特別提醒 l記錄用戶使用資源 情況 l只能使用AAA服務(wù)器進行計費 l對于進行了驗證的用

10、戶缺省都要進行計費 l如果不希望計費一定鑰配置如下命令： aaa accounting-scheme optional 25 AAA基本配置命令基本配置命令 l配置命令 aaa-enable aaa accounting-scheme optional aaa authentication-scheme login default | methods-list method1 method2 . aaa authentication-scheme ppp default | methods-list method1 method2 . l方法表 5種有效組合：radius、local、none

11、、radius local、radius none 26 本地用戶數(shù)據(jù)庫本地用戶數(shù)據(jù)庫 本地用戶數(shù)據(jù)庫 用戶名 用戶口令 授權(quán)服務(wù) 主叫號碼 回呼號碼 FTP授權(quán)目錄 相關(guān)命令 Local-user Display aaa user 用 戶 數(shù) 據(jù) 27 AAA配置舉例配置舉例 l啟動AAA Quidway aaa-enable l配置PPP用戶的缺省驗證方法表 Quidway aaa authentication-scheme login default local l配置不計費時仍然允許用戶訪問 Quidway aaa accounting-scheme optional l將缺省方發(fā)表應(yīng)

12、用到封裝了PPP的接口 Quidway-Serial0ppp authentication-mode pap scheme default 28 調(diào)試和監(jiān)控信息調(diào)試和監(jiān)控信息 l顯示在線用戶 display aaa user l原語調(diào)試信息，觀察AAA請求與結(jié)果 debugging radius primitive l事件調(diào)試信息，觀察AAA過程 debugging radius event 29 RADIUS概述概述 lRADIUS (Remote Authentication Dial-in User Service)是當前 流行的安全服務(wù)器協(xié)議 l實現(xiàn)AAA（授權(quán)Authorizatio

13、n、驗證Authentication和計費 Accounting）功能 30 RADIUS實現(xiàn)實現(xiàn)AAA的流程的流程 用戶上網(wǎng) 驗證請求 驗證授權(quán)通過 計費開始請求 計費開始應(yīng)答 計費結(jié)束請求 計費結(jié)束應(yīng)答 授權(quán)并允許用戶上網(wǎng) 用戶下網(wǎng) Quidway Series Router AAA Server 31 RADIUS結(jié)構(gòu)及基本原理結(jié)構(gòu)及基本原理 lRADIUS協(xié)議采用客戶機/服務(wù)器（Client/Server）結(jié)構(gòu)，使用 UDP協(xié)議作為傳輸協(xié)議 lRADIUS使用MD5加密算法對數(shù)據(jù)包進行數(shù)字簽名，以及對口 令進行加密 lRADIUS包機構(gòu)靈活，擴展性好 各屬性 類型長度值 類型碼ID長度

14、 驗證字 32 RADIUS驗證與授權(quán)驗證與授權(quán) l驗證、授權(quán)過程如下： 路由器將得到的用戶信息打包向RADIUS服務(wù)器發(fā)送 RADIUS服務(wù)器對用戶進行驗證： 合法用戶返回訪問接受包（用戶授權(quán)信息） 非法用戶返回訪問拒絕包 路由器接受服務(wù)器的響應(yīng)包： 訪問接受包允許上網(wǎng)，使用其授權(quán)信息對用戶進行處理 訪問拒絕包拒絕用戶上網(wǎng)請求 33 l每次計費過程包括計費請求、計費應(yīng)答 l對一個用戶的計費過程有： l計費信息： l計費失敗處理 RADIUS計費計費 計費開始實時計費計費結(jié)束 會話時長 輸入字節(jié)數(shù)輸出字節(jié)數(shù) 輸入包數(shù)輸出包數(shù) 34 RADIUS用戶管理用戶管理 lRADIUS協(xié)議為標準協(xié)議，遵

15、循RADIUS協(xié)議的所有服務(wù)器可以 互通 l用戶管理放置在RADIUS服務(wù)器端進行，有相應(yīng)的管理軟件 l用戶可以靈活選用RUDIUS服務(wù)器及用戶管理軟件 35 RADIUS基本配置基本配置 l配置RADIUS服務(wù)器 radius server hostname | ip-address authentication-port port-number accouting-port port-number radius shared-key string l配置重傳參數(shù) radius-server retransmit radius-server timeout l配置實時計費 radius-se

16、rver realtime-acct-timeout 36 RADIUS配置舉例配置舉例 l啟用AAA Quidway aaa-enable l配置PPP用戶的缺省驗證方發(fā)表 Quidway aaa authentication-scheme login default radius local l配置RADIUS服務(wù)器IP地址和端口，使用默認端口號 Quidway radius server 8 Quidway radius server 6 accouting-port 0 Quidway radius server 7 authentication-port 0 37 RADIUS配置舉例（續(xù)）配置舉例（續(xù)） l配置RADIUS服務(wù)器密鑰、重傳次數(shù)、超時定時器 Quidway radius shared-key this-is-my-secret Quidway radius retry 2 Quidway radius timer response-timeout 5 l將缺省方發(fā)表應(yīng)用到封裝了PPP