网络设备的安全性全解课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,HM-043 网络安全特性,ISSUE 4.0,HM-043 网络安全特性ISSUE 4.0,学习目标,了解安全特性的基本内容,明确AAA服务的具体内容,掌握RADIUS协议的基本原理和配置,学习完本课程，您应该能够：,2,学习目标了解安全特性的基本内容学习完本课程，您应该能够：2,课程内容,第一章 安全特性概述,第二章 AAA,第三章 RADIUS,3,课程内容第一章 安全特性概述3,网络安全概述,网络安全是Internet必须面对的一个实际问题,网络安全是一个综合性的技术,网络安全具有两层含义：,保证内部局域网的安全（不被非法侵入）,保护和外部进行数据交换的安全,网络安全技术的完善和更新,4,网络安全概述网络安全是Internet必须面对的一个实际问题,网络安全关注的范围,常常从如下几个方面综合考虑整个网络的安全,保护网络物理线路不会轻易遭受攻击,有效识别合法的和非法的用户,实现有效的访问控制,保证内部网络的隐蔽性,有效的防伪手段，重要的数据重点保护,对网络设备、网络拓扑的安全管理,病毒防范,提高安全防范意识,5,网络安全关注的范围常常从如下几个方面综合考虑整个网络的安全5,网络安全的必要技术,针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性：,可靠性和线路安全,身份认证,访问控制,信息隐藏,数据加密和防伪,安全管理,6,网络安全的必要技术针对网络存在的各种安全隐患，安全路由器必须,可靠 性和线路安全,可靠性要求主要针对于故障恢复和负载能力,主备运行：主接口故障时，备份接口自动接替主用接口的工作,负载分担：网络流量增大时，备份链路承担部分主用链路的工作,线路安全指的是线路本身的安全性,防止非法用户利用线路接口进行访问,7,可靠 性和线路安全可靠性要求主要针对于故障恢复和负载能力7,身份认证,访问路由器时的身份认证,Console口配置,Telnet登陆配置,SNMP配置,Modem远程配置,对其它路由的身份认证,直接相连的邻居路由器,逻辑连接的对等体,路由信息的身份认证,防止伪造路由信息的侵入,8,身份认证访问路由器时的身份认证8,访问控制,对网络设备的访问控制,分级保护,不同级别的用户拥有不同的操作权限,基于五元组的访问控制,根据数据包信息进行数据分类,不同的数据流采用不同的策略,基于用户的访问控制,对于接入服务用户，设定特定的过滤属性,9,访问控制对网络设备的访问控制9,信息隐藏,地址转换,隐藏私网内部地址,仅仅是内部用户可以直接发起建立连接请求,应用场合,内部局域网访问Internet,10,信息隐藏地址转换10,数据加密和防伪,数据加密,利用公网传输数据不可避免的面临数据窃听的问题,传输之前进行数据加密，保证只有与之通信的对端能够解密,数据防伪,报文在传输过程中，被截获、修改，重新投放到网络上,接受端进行数据识别，丢弃被修改的报文,相关技术,数据加密,数字签名,IPSec,11,数据加密和防伪数据加密11,安全管理,保证重要的网络设备处于安全的运行环境，防止人为破坏,保护好访问口令、密码等重要的安全信息,进行安全策略管理，有效利用安全策略,在网络出入口实现报文审计和过滤，提供网络运行的必要信息,12,安全管理保证重要的网络设备处于安全的运行环境，防止人为破坏1,Quidway路由器的安全技术,AAA（Authentication，Authorization，Accounting）网络安全服务,提供一个实现身份认证的主框架,提供验证、授权、记帐服务,使用RADIUS等协议实现对网络的访问控制,13,Quidway路由器的安全技术AAA（Authenticat,Quidway路由器的安全技术（续）,包过滤技术,提供访问控制的基本框架,提供基于IP地址等信息的包过滤,提供基于接口的包过滤,提供基于时间段的包过滤,14,Quidway路由器的安全技术（续）包过滤技术14,Quidway路由器的安全技术（续）,地址转换技术,地址转换技术提供内部用户透明访问外部网络的功能,有效屏蔽内部网络的地址，禁止外部主机直接访问内部网络,实现内部主机的隐藏,15,Quidway路由器的安全技术（续）地址转换技术15,Quidway路由器的安全技术（续）,IPSec和IKE技术,IPSec（IP Security）可以实现数据的加密以及防伪，可以使在不安全的线路上传输加密信息，形成“安全的隧道”。可以为用户在Internet上提供安全的VPN解决方案。,IKE（密钥交换协议）为通信双方提供交换密钥等服务，IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥，而是通过一系列交换信息计算密钥。,16,Quidway路由器的安全技术（续）IPSec和IKE技术1,Quidway路由器的安全技术（续）,隧道技术,隧道技术是实现VPN的核心技术,二层隧道技术主要有VPDN，主要用来提供拨号接入服务,三层隧道技术主要有GRE，主要用来使用户在Internet上构建自己的虚拟专网,POP,POP,POP,POP,总部,办事处,客户,分公司,隧道,Internet骨干,专线,VPN,Server,PSTN/ISDN,二层隧道示意图,三层隧道示意图,17,Quidway路由器的安全技术（续）隧道技术POPPOPPO,安全接入Internet,基于接口的包过滤,基于时间段定义过滤规则,通过地址转换灵活访问Internet,外部不能直接访问内部网络,可以通过地址转换向外提供WWW、FTP等服务器,内部服务器,日志主机,通过地址,转换映射,18,安全接入Internet基于接口的包过滤内部服务器日志主机通,组建安全的VPN,出差员工通过当地的ISP接入到Internet，进而接入公司总部,办事处及分支机构通过GRE和IPSec实现与总部间的互联，数据采取加密传输,PSTN,RADIUS服务器,合作伙伴,重要客户,公司总部,Quidway A8010,Quidway VPN网关,Quidway VPN网关,Internet,19,组建安全的VPN出差员工通过当地的ISP接入到Interne,课程内容,第一章 安全特性概述,第二章 AAA,第三章 RADIUS,20,课程内容第一章 安全特性概述20,AAA概述,验证（Authentication）,授权（Authorization）,计费（Accounting）,Quidway Series Router,Quidway Series Router,AAA Server,本地实现AAA,使用服务器实现AAA,21,AAA概述验证（Authentication）Quidway,提供AAA支持的服务,Quidway Series Router,Quidway Series Router,Quidway Series Router,EXEC,远程设备,FTP Client,PPP,22,提供AAA支持的服务Quidway Series Route,验证与授权,验 证,授 权,用户名、口令验证,PPP的CHAP验证,主叫号码认证,服务类型,回呼号码,隧道属性,23,验证与授权验 证授 权用户名、口令验证PPP的C,计费及AAA使用特别提醒,记录用户使用资源 情况,只能使用AAA服务器进行计费,对于进行了验证的用户缺省都要进行计费,如果不希望计费一定钥配置如下命令：,aaa accounting-scheme optional,24,计费及AAA使用特别提醒记录用户使用资源 情况24,AAA基本配置命令,配置命令,aaa-enable,aaa accounting-scheme optional,aaa authentication-scheme login,default,|,methods-list,method1,method2.,aaa authentication-scheme ppp,default,|,methods-list,method1,method2.,方法表,5种有效组合：radius、local、none、radius local、radius none,25,AAA基本配置命令配置命令25,本地用户数据库,本地用户数据库,用户名,用户口令,授权服务,主叫号码,回呼号码,FTP授权目录,相关命令,Local-user,Display aaa user,用 户 数 据,26,本地用户数据库本地用户数据库用户名用户口令授权服务主叫号码回,AAA配置举例,启动AAA,Quidway,aaa-enable,配置PPP用户的缺省验证方法表,Quidway,aaa authentication-scheme login default,local,配置不计费时仍然允许用户访问,Quidway,aaa accounting-scheme optional,将缺省方发表应用到封装了PPP的接口,Quidway-Serial0,ppp authentication-mode pap,scheme,default,27,AAA配置举例启动AAA27,调试和监控信息,显示在线用户,display aaa user,原语调试信息，观察AAA请求与结果,debugging radius,primitive,事件调试信息，观察AAA过程,debugging radius,event,28,调试和监控信息显示在线用户28,RADIUS概述,RADIUS(Remote Authentication Dial-in User Service)是当前流行的安全服务器协议,实现AAA（授权Authorization、验证Authentication和计费Accounting）功能,29,RADIUS概述RADIUS(Remote Authent,RADIUS实现AAA的流程,用户上网,验证请求,验证授权通过,计费开始请求,计费开始应答,计费结束请求,计费结束应答,授权并允许用户上网,用户下网,Quidway Series Router,AAA Server,30,RADIUS实现AAA的流程用户上网验证请求验证授权通过计费,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议,RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密,RADIUS包机构灵活，扩展性好,各属性,类型,长度,值,类型码,ID,长度,验证字,31,RADIUS结构及基本原理RADIUS协议采用客户机/服务器,RADIUS验证与授权,验证、授权过程如下：,路由器将得到的用户信息打包向RADIUS服务器发送,RADIUS服务器对用户进行验证：,合法用户返回访问接受包（用户授权信息）,非法用户返回访问拒绝包,路由器接受服务器的响应包：,访问接受包允许上网，使用其授权信息对用户进行处理,访问拒绝包拒绝用户上网请求,32,RADIUS验证与授权验证、授权过程如下：32,每次计费过程包括计费请求、计费应答,对一个用户的计费过程有：,计费信息：,计费失败处理,RADIUS计费,计费开始,实时计费,计费结束,会话时长,输入字节数,输出字节数,输入包数,输出包数,33,每次计费过程包括计费请求、计费应答RADIUS计费计费开始实,RADIUS用户管理,RADIUS协议为标准协议，遵循RADIUS协议的所有服务器可以互通,用户管理放置在RADIUS服务器端进行，有相应的管理软件,用户可以灵活选用RUDIUS服务器及用户管理软件,34,RADIUS用户管理RADIUS协议为标准协议，遵循RADI,RADIUS基本配置,配置RADIUS服务器,radius server,hostname,|,ip-address,authentication-port,port-number,accouting-port,port-num