HM-043 網絡安全特性(V5.1)

1、HM-043 網絡安全特性ISSUE 5.1日期：了解安全特性的基本內容明確AAA服務的具體內容掌握RADIUS協(xié)議的基本原理和配置課程目標學習完本課程，您應該能夠：安全特性概述AAARADIUS目錄網絡安全概述網絡安全是Internet必須面對的現(xiàn)實問題網絡安全是一門綜合性的技術網絡安全具有兩層含義：保證內部局域網的安全（不被非法侵入）保護內網和外部進行數(shù)據(jù)交換的安全隨著網絡安全技術的完善和更新，網絡安全將是一個永恒的話題。網絡安全關注的范圍常常從如下幾個方面綜合考慮整個網絡的安全保護網絡物理線路不會輕易遭受攻擊有效識別合法的和非法的用戶實現(xiàn)有效的訪問控制保證內部網絡的隱蔽性有效的防偽手段，

2、重要的數(shù)據(jù)重點保護對網絡設備、網絡拓撲的安全管理病毒防范提高安全防范意識網絡安全的必要技術針對網絡存在的各種安全隱患，安全路由器必須具有如下安全特性：可靠性和線路安全身份認證訪問控制信息隱藏數(shù)據(jù)加密和防偽安全管理可靠性和線路安全可靠性要求主要針對故障恢復和負載能力主備運行：主接口故障時，備份接口自動接替主用接口的工作負載分擔：網絡流量增大時，備份鏈路承擔部分主用鏈路的工作線路安全指的是線路本身的安全性防止非法用戶利用線路接口進行訪問身份認證訪問路由器時的身份認證Console口配置Telnet登陸配置SNMP配置Modem遠程配置對其它路由器的身份認證直接相連的鄰居路由器邏輯連接的對等體路由信

3、息的身份認證防止偽造路由信息的侵入訪問控制對網絡設備的訪問控制分級保護不同級別的用戶擁有不同的操作權限基于五元組的訪問控制根據(jù)數(shù)據(jù)包信息進行數(shù)據(jù)分類不同的數(shù)據(jù)流采用不同的策略基于用戶的訪問控制對于接入服務用戶，設定特定的過濾屬性信息隱藏地址轉換隱藏私網內部地址僅僅是內部用戶可以直接發(fā)起建立連接請求應用場合內部局域網訪問Internet數(shù)據(jù)加密和防偽數(shù)據(jù)加密利用公網傳輸數(shù)據(jù)不可避免地面臨數(shù)據(jù)竊聽的問題傳輸之前進行數(shù)據(jù)加密，保證只有與之通信的對端能夠解密數(shù)據(jù)防偽報文在傳輸過程中，有可能被攻擊者截獲、篡改并重新投放到網絡上接收端需要進行數(shù)據(jù)完整性鑒別，丟棄被篡改的數(shù)據(jù)報文相關技術數(shù)據(jù)加密數(shù)字簽名IP

4、Sec安全管理保證重要的網絡設備處于安全的運行環(huán)境，防止人為破壞保護好訪問口令、密碼等重要的安全信息進行安全策略管理，有效利用安全策略在網絡出入口實現(xiàn)報文審計和過濾，提供網絡運行的必要信息H3C路由器的安全技術AAA（Authentication，Authorization，Accounting）網絡安全服務提供一個實現(xiàn)身份認證的主框架提供驗證、授權、計費服務使用RADIUS等協(xié)議實現(xiàn)對網絡的訪問控制H3C路由器的安全技術（續(xù)）包過濾技術提供訪問控制的基本框架提供基于IP地址等信息的包過濾提供基于接口的包過濾提供基于時間段的包過濾H3C路由器的安全技術（續(xù)）地址轉換技術地址轉換技術提供內部用戶

5、透明訪問外部網絡的功能有效屏蔽內部網絡的地址，禁止外部主機直接訪問內部網絡實現(xiàn)內部主機的隱藏H3C路由器的安全技術（續(xù)）IPSec和IKE技術IPSec（IP Security）可以實現(xiàn)數(shù)據(jù)的加密以及防偽，可以在不安全的線路上傳輸加密信息，形成“安全的隧道”?？梢詾镮nternet上的數(shù)據(jù)傳輸提供安全的VPN解決方案。IKE（密鑰交換協(xié)議）為通信雙方提供交換密鑰等服務，IKE定義了通信雙方進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。并且保證永遠不在不安全的網絡上直接傳送密鑰，而是通過一系列交換信息計算密鑰。H3C路由器的安全技術（續(xù)）隧道技術隧道技術是實現(xiàn)VPN的核心技術二層隧道技

6、術主要有VPDN，主要用來提供撥號接入服務三層隧道技術主要有GRE和IPSec，主要用來使用戶在Internet上構建對等的虛擬專網二層隧道示意圖三層隧道示意圖安全接入Internet基于接口的包過濾基于時間段定義過濾規(guī)則通過地址轉換靈活訪問Internet外部不能直接訪問內部網絡通過地址轉換向外提供等服務器組建安全的VPN出差員工通過當?shù)氐腎SP接入到Internet，進而接入公司總部辦事處及分支機構通過GRE和IPSec實現(xiàn)與總部私網的互聯(lián)，所有的數(shù)據(jù)報文被加密傳送。安全特性概述AAARADIUS目錄AAA概述驗證（Authentication）授權（Authorization）計費（Ac

7、counting）RADIUS Server本地實現(xiàn)AAA使用RADIUS服務器實現(xiàn)AAAH3C 路由器H3C 路由器提供AAA支持的服務H3C 路由器Telnet客戶端撥入設備FTP 客戶端PPPH3C 路由器H3C 路由器驗證與授權驗 證授 權用戶名、口令驗證PPP的CHAP驗證主叫號碼認證服務類型回呼號碼隧道屬性計費及AAA使用特別提醒記錄用戶使用資源情況只能使用AAA服務器進行計費對于通過驗證的用戶缺省都要進行計費如果不希望計費一定要配置如下命令：（ISP域視圖）accounting optional AAA基本配置命令配置命令domain isp-name | default dis

8、able | enable isp-name accounting-scheme optional scheme radius-scheme radius-scheme-name local | hwtacacs-scheme hwtacacs-scheme-name local | local | none 方法表 5種有效組合：radius、local、none、radius local、hwtacacs-scheme本地用戶數(shù)據(jù)庫本地用戶數(shù)據(jù)庫用戶名用戶口令授權服務主叫號碼回呼號碼FTP授權目錄local-userdisplay users用 戶 數(shù) 據(jù)相關命令本地AAA配置舉例配置te

9、st域為默認域H3C domain default enable test配置不計費時仍然允許test域用戶訪問（ISP域視圖）H3C-isp-test accounting optional 配置特定接口撥入的PPP用戶的缺省驗證方法H3C-Serial0/0ppp authentication-mode pap scheme domain test調試和監(jiān)控信息顯示在線用戶display users安全特性概述AAARADIUS目錄RADIUS概述RADIUS (Remote Authentication Dial-in User Service)是當前流行的安全服務器協(xié)議實現(xiàn)AAA（授權

10、Authorization、驗證Authentication和計費Accounting）功能RADIUS實現(xiàn)AAA的流程用戶上網驗證請求驗證授權通過計費開始請求計費開始應答計費結束請求計費結束應答授權并允許用戶上網用戶下網RADIUS ServerH3C 路由器RADIUS結構及基本原理RADIUS協(xié)議采用客戶機/服務器（Client/Server）結構，使用UDP協(xié)議作為傳輸協(xié)議RADIUS使用MD5加密算法對數(shù)據(jù)包進行數(shù)字簽名，以及對口令進行加密RADIUS報文結構靈活，擴展性強各屬性類型長度值類型碼ID長度驗證字RADIUS驗證與授權驗證、授權過程如下：路由器將得到的用戶信息打包向RAD

11、IUS服務器發(fā)送RADIUS服務器對用戶進行驗證：合法用戶返回訪問接受報文（用戶授權信息）非法用戶返回訪問拒絕報文路由器接受服務器的響應報文：訪問接受報文允許上網，使用其授權信息對用戶進行處理訪問拒絕報文拒絕用戶上網請求每次計費過程包括計費請求、計費應答對一個用戶的計費過程有：計費信息：計費失敗處理RADIUS計費計費開始實時計費計費結束會話時長輸入字節(jié)數(shù)輸出字節(jié)數(shù)輸入包數(shù)輸出包數(shù)RADIUS用戶管理RADIUS協(xié)議為標準協(xié)議，遵循RADIUS協(xié)議的所有服務器可以互通用戶管理放置在RADIUS服務器端進行，有相應的管理軟件用戶可以靈活選用RADIUS服務器及用戶管理軟件RADIUS基本配置創(chuàng)建

12、RADIUS方案并進入其視圖radius scheme radius-scheme-name配置主從RADIUS認證/授權的IP地址和端口號（RADIUS視圖）primary authentication ip-address port-number secondary authentication ip-address port-number 配置主從RADIUS計費的IP地址和端口號 （ RADIUS視圖）primary accounting ip-address port-number secondary accounting ip-address port-number 在ISP域中應

13、用RADIUS策略（ISP域視圖）scheme radius-scheme radius-scheme-name RADIUS配置舉例啟用基于RADIUS的AAA認證計費機制H3C radius scheme test配置RADIUS服務器IP地址和端口 （ RADIUS視圖）H3C-radius-test primary authentication 1812 H3C-radius-test primary accounting 1813 創(chuàng)建一個ISP域并在該域中應用RADIUS策略H3C domain isp_testH3C-isp-isp_testscheme radius-scheme test配置特定接口撥入的PPP用戶的缺省驗證方法表H3C-Serial0/0ppp authentication-mode pap scheme domain testRADIUS配置舉例（續(xù)）配置RADIUS服務器密鑰、重傳次數(shù)、超時定時器H3C-radi