《網(wǎng)絡(luò)安全特性》PPT課件.pptVIP

HM-043 網(wǎng)絡(luò)安全特性,ISSUE 5.0,2,學(xué)習(xí)目標(biāo),了解安全特性的基本內(nèi)容 明確AAA服務(wù)的具體內(nèi)容 掌握RADIUS協(xié)議的基本原理和配置,學(xué)習(xí)完本課程，您應(yīng)該能夠：,3,課程內(nèi)容,第一章 安全特性概述 第二章 AAA 第三章 RADIUS,4,網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全是Internet必須面對的現(xiàn)實問題 網(wǎng)絡(luò)安全是一門綜合性的技術(shù) 網(wǎng)絡(luò)安全具有兩層含義： 保證內(nèi)部局域網(wǎng)的安全（不被非法侵入） 保護(hù)內(nèi)網(wǎng)和外部進(jìn)行數(shù)據(jù)交換的安全 隨著網(wǎng)絡(luò)安全技術(shù)的完善和更新，網(wǎng)絡(luò)安全將是一個永恒的話題。,5,網(wǎng)絡(luò)安全關(guān)注的范圍,常常從如下幾個方面綜合考慮整個網(wǎng)絡(luò)的安全 保護(hù)網(wǎng)絡(luò)物理線路不會輕易遭受攻擊 有效識別合法的和非法的用戶 實現(xiàn)有效的訪問控制 保證內(nèi)部網(wǎng)絡(luò)的隱蔽性 有效的防偽手段，重要的數(shù)據(jù)重點保護(hù) 對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾?病毒防范 提高安全防范意識,6,網(wǎng)絡(luò)安全的必要技術(shù),針對網(wǎng)絡(luò)存在的各種安全隱患，安全路由器必須具有如下安全特性： 可靠性和線路安全 身份認(rèn)證 訪問控制 信息隱藏 數(shù)據(jù)加密和防偽 安全管理,7,可靠性和線路安全,可靠性要求主要針對故障恢復(fù)和負(fù)載能力 主備運行：主接口故障時，備份接口自動接替主用接口的工作 負(fù)載分擔(dān)：網(wǎng)絡(luò)流量增大時，備份鏈路承擔(dān)部分主用鏈路的工作 線路安全指的是線路本身的安全性 防止非法用戶利用線路接口進(jìn)行訪問,8,身份認(rèn)證,訪問路由器時的身份認(rèn)證 Console口配置 Telnet登陸配置 SNMP配置 Modem遠(yuǎn)程配置 對其它路由器的身份認(rèn)證 直接相連的鄰居路由器 邏輯連接的對等體 路由信息的身份認(rèn)證 防止偽造路由信息的侵入,9,訪問控制,對網(wǎng)絡(luò)設(shè)備的訪問控制 分級保護(hù) 不同級別的用戶擁有不同的操作權(quán)限 基于五元組的訪問控制 根據(jù)數(shù)據(jù)包信息進(jìn)行數(shù)據(jù)分類 不同的數(shù)據(jù)流采用不同的策略 基于用戶的訪問控制 對于接入服務(wù)用戶，設(shè)定特定的過濾屬性,10,信息隱藏,地址轉(zhuǎn)換 隱藏私網(wǎng)內(nèi)部地址 僅僅是內(nèi)部用戶可以直接發(fā)起建立連接請求 應(yīng)用場合 內(nèi)部局域網(wǎng)訪問Internet,11,數(shù)據(jù)加密和防偽,數(shù)據(jù)加密 利用公網(wǎng)傳輸數(shù)據(jù)不可避免地面臨數(shù)據(jù)竊聽的問題 傳輸之前進(jìn)行數(shù)據(jù)加密，保證只有與之通信的對端能夠解密 數(shù)據(jù)防偽 報文在傳輸過程中，有可能被攻擊者截獲、篡改并重新投放到網(wǎng)絡(luò)上 接收端需要進(jìn)行數(shù)據(jù)完整性鑒別，丟棄被篡改的數(shù)據(jù)報文 相關(guān)技術(shù) 數(shù)據(jù)加密 數(shù)字簽名 IPSec,12,安全管理,保證重要的網(wǎng)絡(luò)設(shè)備處于安全的運行環(huán)境，防止人為破壞 保護(hù)好訪問口令、密碼等重要的安全信息 進(jìn)行安全策略管理，有效利用安全策略 在網(wǎng)絡(luò)出入口實現(xiàn)報文審計和過濾，提供網(wǎng)絡(luò)運行的必要信息,13,Quidway路由器的安全技術(shù),AAA（Authentication，Authorization，Accounting）網(wǎng)絡(luò)安全服務(wù) 提供一個實現(xiàn)身份認(rèn)證的主框架 提供驗證、授權(quán)、計費服務(wù) 使用RADIUS等協(xié)議實現(xiàn)對網(wǎng)絡(luò)的訪問控制,14,Quidway路由器的安全技術(shù)（續(xù)）,包過濾技術(shù) 提供訪問控制的基本框架 提供基于IP地址等信息的包過濾 提供基于接口的包過濾 提供基于時間段的包過濾,15,Quidway路由器的安全技術(shù)（續(xù)）,地址轉(zhuǎn)換技術(shù) 地址轉(zhuǎn)換技術(shù)提供內(nèi)部用戶透明訪問外部網(wǎng)絡(luò)的功能 有效屏蔽內(nèi)部網(wǎng)絡(luò)的地址，禁止外部主機(jī)直接訪問內(nèi)部網(wǎng)絡(luò) 實現(xiàn)內(nèi)部主機(jī)的隱藏,16,Quidway路由器的安全技術(shù)（續(xù)）,IPSec和IKE技術(shù) IPSec（IP Security）可以實現(xiàn)數(shù)據(jù)的加密以及防偽，可以在不安全的線路上傳輸加密信息，形成“安全的隧道”?？梢詾镮nternet上的數(shù)據(jù)傳輸提供安全的VPN解決方案。 IKE（密鑰交換協(xié)議）為通信雙方提供交換密鑰等服務(wù)，IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。并且保證永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列交換信息計算密鑰。,17,Quidway路由器的安全技術(shù)（續(xù)）,隧道技術(shù) 隧道技術(shù)是實現(xiàn)VPN的核心技術(shù) 二層隧道技術(shù)主要有VPDN，主要用來提供撥號接入服務(wù) 三層隧道技術(shù)主要有GRE和IPSec，主要用來使用戶在Internet上構(gòu)建對等的虛擬專網(wǎng),二層隧道示意圖,三層隧道示意圖,18,安全接入Internet,基于接口的包過濾 基于時間段定義過濾規(guī)則 通過地址轉(zhuǎn)換靈活訪問Internet 外部不能直接訪問內(nèi)部網(wǎng)絡(luò) 通過地址轉(zhuǎn)換向外提供WWW、FTP等服務(wù)器,19,組建安全的VPN,出差員工通過當(dāng)?shù)氐腎SP接入到Internet，進(jìn)而接入公司總部 辦事處及分支機(jī)構(gòu)通過GRE和IPSec實現(xiàn)與總部私網(wǎng)的互聯(lián)，所有的數(shù)據(jù)報文被加密傳送。,20,課程內(nèi)容,第一章 安全特性概述 第二章 AAA 第三章 RADIUS,21,AAA概述,驗證（Authentication） 授權(quán)（Authorization） 計費（Accounting）,RADIUS Server,本地實現(xiàn)AAA,使用RADIUS服務(wù)器實現(xiàn)AAA,Quidway 路由器,Quidway 路由器,22,提供AAA支持的服務(wù),Quidway 路由器,Telnet客戶端,撥入設(shè)備,FTP 客戶端,PPP,Quidway 路由器,Quidway 路由器,23,驗證與授權(quán),驗 證,授 權(quán),用戶名、口令驗證,PPP的CHAP驗證,主叫號碼認(rèn)證,服務(wù)類型,回呼號碼,隧道屬性,24,計費及AAA使用特別提醒,記錄用戶使用資源情況 只能使用AAA服務(wù)器進(jìn)行計費 對于通過驗證的用戶缺省都要進(jìn)行計費 如果不希望計費一定要配置如下命令：（ISP域視圖） accounting optional,25,AAA基本配置命令,配置命令 domain isp-name | default disable | enable isp-name accounting-scheme optional scheme radius-scheme radius-scheme-name local | hwtacacs-scheme hwtacacs-scheme-name local | local | none 方法表 5種有效組合：radius、local、none、radius local、hwtacacs-scheme,26,本地用戶數(shù)據(jù)庫,本地用戶數(shù)據(jù)庫,用戶名,用戶口令,授權(quán)服務(wù),主叫號碼,回呼號碼,FTP授權(quán)目錄,相關(guān)命令,local-user display users,用 戶 數(shù) 據(jù),27,本地AAA配置舉例,配置test域為默認(rèn)域 Quidway domain default enable test 配置不計費時仍然允許test域用戶訪問（ISP域視圖） Quidway-isp-test accounting optional 配置特定接口撥入的PPP用戶的缺省驗證方法 Quidway-Serial0/0ppp authentication-mode pap scheme domain test,28,調(diào)試和監(jiān)控信息,顯示在線用戶 display users,29,RADIUS概述,RADIUS (Remote Authentication Dial-in User Service)是當(dāng)前流行的安全服務(wù)器協(xié)議 實現(xiàn)AAA（授權(quán)Authorization、驗證Authentication和計費Accounting）功能,30,RADIUS實現(xiàn)AAA的流程,用戶上網(wǎng),驗證請求,驗證授權(quán)通過,授權(quán)并允許用戶上網(wǎng),RADIUS Server,Quidway 路由器,31,RADIUS結(jié)構(gòu)及基本原理,RADIUS協(xié)議采用客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)，使用UDP協(xié)議作為傳輸協(xié)議 RADIUS使用MD5加密算法對數(shù)據(jù)包進(jìn)行數(shù)字簽名，以及對口令進(jìn)行加密 RADIUS報文結(jié)構(gòu)靈活，擴(kuò)展性強(qiáng),各屬性,類型,長度,值,類型碼,ID,長度,驗證字,32,RADIUS驗證與授權(quán),驗證、授權(quán)過程如下： 路由器將得到的用戶信息打包向RADIUS服務(wù)器發(fā)送 RADIUS服務(wù)器對用戶進(jìn)行驗證： 合法用戶返回訪問接受報文（用戶授權(quán)信息） 非法用戶返回訪問拒絕報文 路由器接受服務(wù)器的響應(yīng)報文： 訪問接受報文允許上網(wǎng)，使用其授權(quán)信息對用戶進(jìn)行處理 訪問拒絕報文拒絕用戶上網(wǎng)請求,33,每次計費過程包括計費請求、計費應(yīng)答 對一個用戶的計費過程有： 計費信息： 計費失敗處理,RADIUS計費,計費開始,實時計費,計費結(jié)束,會話時長,輸入字節(jié)數(shù),輸出字節(jié)數(shù),輸入包數(shù),輸出包數(shù),34,RADIUS用戶管理,RADIUS協(xié)議為標(biāo)準(zhǔn)協(xié)議，遵循RADIUS協(xié)議的所有服務(wù)器可以互通 用戶管理放置在RADIUS服務(wù)器端進(jìn)行，有相應(yīng)的管理軟件 用戶可以靈活選用RADIUS服務(wù)器及用戶管理軟件,35,RADIUS基本配置,創(chuàng)建RADIUS方案并進(jìn)入其視圖 radius scheme radius-scheme-name 配置主從RADIUS認(rèn)證/授權(quán)的IP地址和端口號（RADIUS視圖） primary authentication ip-address port-number secondary authentication ip-address port-number 配置主從RADIUS計費的IP地址和端口號 （ RADIUS視圖） primary accounting ip-address port-number secondary accounting ip-address port-number 在ISP域中應(yīng)用RADIUS策略（ISP域視圖） scheme radius-scheme radius-scheme-name ,36,RADIUS配置舉例,啟用基于RADIUS的AAA認(rèn)證計費機(jī)制 Quidway radius scheme test 配置RADIUS服務(wù)器IP地址和端口 （ RADIUS視圖） Quidway-radius-test primary authentication 1812 Quidway-radius-test primary accounting 1813 創(chuàng)建一個ISP域并在該域中應(yīng)用RADIUS策略 Quidway domain isp_test Quidway-isp-isp_testscheme radius-scheme test 配置特定接口撥入的PPP用戶的缺省驗證方法表 Quidway-Serial0/0ppp authentication-mode pap scheme domain test,37,RADIUS配置舉例（續(xù)）,配置RADIUS服務(wù)器密鑰、重傳次數(shù)、超時定時器 Quidway-radius-test key authentication 123 Quidway-radius-test key accounting 123 Quidway-radius