網(wǎng)絡(luò)學(xué)院膠片h3修改后11網(wǎng)絡(luò)安全技術(shù)1v

1、Chapter 11 Chapter 11 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)ISSUE 2.1日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 了解網(wǎng)絡(luò)安全一些基本概念了解網(wǎng)絡(luò)安全一些基本概念n 掌握掌握AAA技術(shù)技術(shù)課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述n 第二節(jié)第二節(jié) AAA目錄目錄4網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述l網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全是Internet必須面對(duì)的一個(gè)實(shí)際問題必須面對(duì)的一個(gè)實(shí)際問題l網(wǎng)絡(luò)安全是一個(gè)綜合性的技術(shù)網(wǎng)絡(luò)安全是一個(gè)綜合性的技術(shù)l網(wǎng)絡(luò)安全具有兩層含義：網(wǎng)絡(luò)安全具有兩層含義：l保證內(nèi)部局域網(wǎng)的安全（不被非法侵入

2、）保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）l保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全l網(wǎng)絡(luò)安全技術(shù)的完善和更新網(wǎng)絡(luò)安全技術(shù)的完善和更新5l常常從如下幾個(gè)方面綜合考慮整個(gè)網(wǎng)絡(luò)的安全常常從如下幾個(gè)方面綜合考慮整個(gè)網(wǎng)絡(luò)的安全l保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊l有效識(shí)別合法的和非法的用戶有效識(shí)別合法的和非法的用戶l實(shí)現(xiàn)有效的訪問控制實(shí)現(xiàn)有效的訪問控制l保證內(nèi)部網(wǎng)絡(luò)的隱蔽性保證內(nèi)部網(wǎng)絡(luò)的隱蔽性l有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)l對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾韺?duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾韑病毒防范病毒防范l提高安全防范意識(shí)提

3、高安全防范意識(shí)網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全關(guān)注的范圍6網(wǎng)絡(luò)安全的必要技術(shù)網(wǎng)絡(luò)安全的必要技術(shù)l針對(duì)網(wǎng)絡(luò)存在的各種安全隱患，安全針對(duì)網(wǎng)絡(luò)存在的各種安全隱患，安全 l 路由器必須具有如下安全特性：路由器必須具有如下安全特性：l可靠性和線路安全可靠性和線路安全l身份認(rèn)證身份認(rèn)證l訪問控制訪問控制l信息隱藏信息隱藏l數(shù)據(jù)加密和防偽數(shù)據(jù)加密和防偽l安全管理安全管理n 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述n 第二節(jié)第二節(jié) AAA目錄目錄8AAA概述概述AAA服務(wù)器網(wǎng)關(guān)NAS用戶9AAA定義定義l驗(yàn)證（驗(yàn)證（Authentication）l授權(quán)（授權(quán)（Authorization）l計(jì)費(fèi)（計(jì)費(fèi)（Accounting）Quid

4、way Series RouterQuidway Series RouterAAA Server本地實(shí)現(xiàn)AAA使用服務(wù)器實(shí)現(xiàn)AAA10RADIUS概述概述lRADIUS (Remote Authentication Dial-in l User Service)是當(dāng)前流行的安全服務(wù)器是當(dāng)前流行的安全服務(wù)器協(xié)協(xié) l 議議l實(shí)現(xiàn)實(shí)現(xiàn)AAA（授權(quán)（授權(quán)Authorization、驗(yàn)證、驗(yàn)證 l Authentication和計(jì)費(fèi)和計(jì)費(fèi)Accounting）功）功能能11RADIUS結(jié)構(gòu)及基本原理結(jié)構(gòu)及基本原理lRADIUS協(xié)議采用客戶機(jī)協(xié)議采用客戶機(jī)/服務(wù)器（服務(wù)器（Client/Server）結(jié)）

5、結(jié) l 構(gòu)，使用構(gòu)，使用UDP協(xié)議作為傳輸協(xié)議協(xié)議作為傳輸協(xié)議lRADIUS使用使用MD5加密算法對(duì)數(shù)據(jù)包進(jìn)行數(shù)字簽名，加密算法對(duì)數(shù)據(jù)包進(jìn)行數(shù)字簽名， l 以及對(duì)口令進(jìn)行加密以及對(duì)口令進(jìn)行加密lRADIUS包機(jī)構(gòu)靈活，擴(kuò)展性好，采用包機(jī)構(gòu)靈活，擴(kuò)展性好，采用UDP發(fā)送發(fā)送CodeidentifierlengthAuthenticatorA12RADIUS工作過程工作過程(I)Radius服務(wù)器SRT2RT1用戶13RADIUS工作過程工作過程(II)在RT1上需要配置（示意）如下信息：在和用戶相連的接口上配置利用PPP CHAP驗(yàn)證對(duì)方；使能AAA，并且配置AAA驗(yàn)證、計(jì)費(fèi)協(xié)議使用Radius

6、；配置Radius驗(yàn)證、計(jì)費(fèi)服務(wù)器為S，并且配置它們和RT1之間的互相驗(yàn)證密鑰為abc。在Radius服務(wù)器S上需要配置（示意）如下信息：配置一個(gè)名稱為RT1的Radius客戶端，共享密鑰為abc；在用戶數(shù)據(jù)庫中配置新的一行（用戶名：user1 密碼：123 IP地址：10.0.0.2 缺省網(wǎng)關(guān)：10.0.0.1）。14RADIUS實(shí)現(xiàn)實(shí)現(xiàn)AAA的流程的流程用戶上網(wǎng)驗(yàn)證請(qǐng)求驗(yàn)證授權(quán)通過計(jì)費(fèi)開始請(qǐng)求計(jì)費(fèi)開始應(yīng)答計(jì)費(fèi)結(jié)束請(qǐng)求計(jì)費(fèi)結(jié)束應(yīng)答授權(quán)并允許用戶上網(wǎng)用戶下網(wǎng)Quidway Series RouterAAA S15RADIUS驗(yàn)證與授權(quán)驗(yàn)證與授權(quán)l(xiāng)驗(yàn)證、授權(quán)過程如下：驗(yàn)證、授權(quán)過程如下：l路由器

7、將得到的用戶信息打包向路由器將得到的用戶信息打包向RADIUS服務(wù)器發(fā)服務(wù)器發(fā)送送lRADIUS服務(wù)器對(duì)用戶進(jìn)行驗(yàn)證：服務(wù)器對(duì)用戶進(jìn)行驗(yàn)證：l合法用戶合法用戶返回訪問接受包（用戶授權(quán)信息）返回訪問接受包（用戶授權(quán)信息）l非法用戶非法用戶返回訪問拒絕包返回訪問拒絕包l路由器接受服務(wù)器的響應(yīng)包：路由器接受服務(wù)器的響應(yīng)包：l訪問接受包訪問接受包允許上網(wǎng)，使用其授權(quán)信息對(duì)用允許上網(wǎng)，使用其授權(quán)信息對(duì)用戶進(jìn)行處理戶進(jìn)行處理l訪問拒絕包訪問拒絕包拒絕用戶上網(wǎng)請(qǐng)求拒絕用戶上網(wǎng)請(qǐng)求16RADIUS計(jì)費(fèi)計(jì)費(fèi)l每次計(jì)費(fèi)過程包括計(jì)費(fèi)請(qǐng)求、計(jì)費(fèi)應(yīng)答每次計(jì)費(fèi)過程包括計(jì)費(fèi)請(qǐng)求、計(jì)費(fèi)應(yīng)答l對(duì)一個(gè)用戶的計(jì)費(fèi)過程有：對(duì)一個(gè)用戶

8、的計(jì)費(fèi)過程有：l計(jì)費(fèi)信息：計(jì)費(fèi)信息：l計(jì)費(fèi)失敗處理計(jì)費(fèi)失敗處理計(jì)費(fèi)開始實(shí)時(shí)計(jì)費(fèi)計(jì)費(fèi)結(jié)束會(huì)話時(shí)長輸入字節(jié)數(shù)輸出字節(jié)數(shù)輸入包數(shù)輸出包數(shù)17802.1X起源起源l來源：來源：802.1X協(xié)議起源于協(xié)議起源于802.11協(xié)議，起初主要是協(xié)議，起初主要是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。l目的：有線局域網(wǎng)通過固定線路形成固定的物理空目的：有線局域網(wǎng)通過固定線路形成固定的物理空間；但無線局域網(wǎng)具有開放性和終端可移動(dòng)性，因此間；但無線局域網(wǎng)具有開放性和終端可移動(dòng)性，因此很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于某一網(wǎng)絡(luò)。很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于某一網(wǎng)絡(luò)。8

9、02.1x正是基于這一需求而出現(xiàn)的一種認(rèn)證技術(shù)。正是基于這一需求而出現(xiàn)的一種認(rèn)證技術(shù)。l作用形式：操作粒度為端口；對(duì)于無線局域網(wǎng)接入作用形式：操作粒度為端口；對(duì)于無線局域網(wǎng)接入認(rèn)證之后建立起來的信道（端口）被獨(dú)占。認(rèn)證之后建立起來的信道（端口）被獨(dú)占。18802.1X的應(yīng)用的應(yīng)用lIEEE 802.11定義的無線定義的無線 LAN 接入方式（基于邏輯接入方式（基于邏輯端口）端口）lLanSwitch的一個(gè)物理端口僅連接一個(gè)的一個(gè)物理端口僅連接一個(gè)End Station（基于物理端口）（基于物理端口）l華為華為-3ComVRP平臺(tái)的平臺(tái)的802.1X軟件子系統(tǒng)對(duì)軟件子系統(tǒng)對(duì)802.1X協(xié)議認(rèn)證方

10、式進(jìn)行了擴(kuò)展，支持一個(gè)物理端口下多個(gè)協(xié)議認(rèn)證方式進(jìn)行了擴(kuò)展，支持一個(gè)物理端口下多個(gè)End Station的應(yīng)用場(chǎng)合，多個(gè)的應(yīng)用場(chǎng)合，多個(gè)End Station的識(shí)別的識(shí)別具體到其源具體到其源MAC地址地址19EAP驗(yàn)證過程驗(yàn)證過程UsernamePasswordUser1abcUser2123EAPUsername：User1Password：abc用戶數(shù)據(jù)庫20802.1X的系統(tǒng)組成的系統(tǒng)組成lIEEE 802.1X的體系結(jié)構(gòu)包括三部分的體系結(jié)構(gòu)包括三部分:lSupplicant System-用戶接入設(shè)備用戶接入設(shè)備lAuthenticator System-接入控制單元接入控制單元lAuthentication Sever System-認(rèn)證服務(wù)器認(rèn)證服務(wù)器l傳輸介質(zhì)：點(diǎn)對(duì)點(diǎn)以太網(wǎng)（如果是共享式以太網(wǎng)需傳輸介質(zhì)：點(diǎn)對(duì)點(diǎn)以太網(wǎng)（如果是共享式以太網(wǎng)需要采用加密的方式傳遞認(rèn)證信息）要采用加密的方式傳遞認(rèn)證信息）21802.1X認(rèn)證系統(tǒng)圖認(rèn)證系統(tǒng)圖EAP Over SomethingAuthentication ServerAuthenticatorEAPOLS22EAPOL協(xié)議的消息格式協(xié)議的