網(wǎng)絡(luò)學(xué)院膠片h3修改后11網(wǎng)絡(luò)安全技術(shù)1v

1、Chapter 11 Chapter 11 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)ISSUE 2.1日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 了解網(wǎng)絡(luò)安全一些基本概念了解網(wǎng)絡(luò)安全一些基本概念n 掌握掌握AAA技術(shù)技術(shù)課程目標課程目標學(xué)習完本課程，您應(yīng)該能夠：學(xué)習完本課程，您應(yīng)該能夠：n 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述n 第二節(jié)第二節(jié) AAA目錄目錄4網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述l網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全是Internet必須面對的一個實際問題必須面對的一個實際問題l網(wǎng)絡(luò)安全是一個綜合性的技術(shù)網(wǎng)絡(luò)安全是一個綜合性的技術(shù)l網(wǎng)絡(luò)安全具有兩層含義：網(wǎng)絡(luò)安全具有兩層含義：l保證內(nèi)部局域網(wǎng)的安全（不被非法侵入

2、）保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）l保護和外部進行數(shù)據(jù)交換的安全保護和外部進行數(shù)據(jù)交換的安全l網(wǎng)絡(luò)安全技術(shù)的完善和更新網(wǎng)絡(luò)安全技術(shù)的完善和更新5l常常從如下幾個方面綜合考慮整個網(wǎng)絡(luò)的安全常常從如下幾個方面綜合考慮整個網(wǎng)絡(luò)的安全l保護網(wǎng)絡(luò)物理線路不會輕易遭受攻擊保護網(wǎng)絡(luò)物理線路不會輕易遭受攻擊l有效識別合法的和非法的用戶有效識別合法的和非法的用戶l實現(xiàn)有效的訪問控制實現(xiàn)有效的訪問控制l保證內(nèi)部網(wǎng)絡(luò)的隱蔽性保證內(nèi)部網(wǎng)絡(luò)的隱蔽性l有效的防偽手段，重要的數(shù)據(jù)重點保護有效的防偽手段，重要的數(shù)據(jù)重點保護l對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲的安全管理對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲的安全管理l病毒防范病毒防范l提高安全防范意識提

3、高安全防范意識網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全關(guān)注的范圍6網(wǎng)絡(luò)安全的必要技術(shù)網(wǎng)絡(luò)安全的必要技術(shù)l針對網(wǎng)絡(luò)存在的各種安全隱患，安全針對網(wǎng)絡(luò)存在的各種安全隱患，安全 l 路由器必須具有如下安全特性：路由器必須具有如下安全特性：l可靠性和線路安全可靠性和線路安全l身份認證身份認證l訪問控制訪問控制l信息隱藏信息隱藏l數(shù)據(jù)加密和防偽數(shù)據(jù)加密和防偽l安全管理安全管理n 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述n 第二節(jié)第二節(jié) AAA目錄目錄8AAA概述概述AAA服務(wù)器網(wǎng)關(guān)NAS用戶9AAA定義定義l驗證（驗證（Authentication）l授權(quán)（授權(quán)（Authorization）l計費（計費（Accounting）Quid

4、way Series RouterQuidway Series RouterAAA Server本地實現(xiàn)AAA使用服務(wù)器實現(xiàn)AAA10RADIUS概述概述lRADIUS (Remote Authentication Dial-in l User Service)是當前流行的安全服務(wù)器是當前流行的安全服務(wù)器協(xié)協(xié) l 議議l實現(xiàn)實現(xiàn)AAA（授權(quán)（授權(quán)Authorization、驗證、驗證 l Authentication和計費和計費Accounting）功）功能能11RADIUS結(jié)構(gòu)及基本原理結(jié)構(gòu)及基本原理lRADIUS協(xié)議采用客戶機協(xié)議采用客戶機/服務(wù)器（服務(wù)器（Client/Server）結(jié)）

5、結(jié) l 構(gòu)，使用構(gòu)，使用UDP協(xié)議作為傳輸協(xié)議協(xié)議作為傳輸協(xié)議lRADIUS使用使用MD5加密算法對數(shù)據(jù)包進行數(shù)字簽名，加密算法對數(shù)據(jù)包進行數(shù)字簽名， l 以及對口令進行加密以及對口令進行加密lRADIUS包機構(gòu)靈活，擴展性好，采用包機構(gòu)靈活，擴展性好，采用UDP發(fā)送發(fā)送CodeidentifierlengthAuthenticatorA12RADIUS工作過程工作過程(I)Radius服務(wù)器SRT2RT1用戶13RADIUS工作過程工作過程(II)在RT1上需要配置（示意）如下信息：在和用戶相連的接口上配置利用PPP CHAP驗證對方；使能AAA，并且配置AAA驗證、計費協(xié)議使用Radius

6、；配置Radius驗證、計費服務(wù)器為S，并且配置它們和RT1之間的互相驗證密鑰為abc。在Radius服務(wù)器S上需要配置（示意）如下信息：配置一個名稱為RT1的Radius客戶端，共享密鑰為abc；在用戶數(shù)據(jù)庫中配置新的一行（用戶名：user1 密碼：123 IP地址：10.0.0.2 缺省網(wǎng)關(guān)：10.0.0.1）。14RADIUS實現(xiàn)實現(xiàn)AAA的流程的流程用戶上網(wǎng)驗證請求驗證授權(quán)通過計費開始請求計費開始應(yīng)答計費結(jié)束請求計費結(jié)束應(yīng)答授權(quán)并允許用戶上網(wǎng)用戶下網(wǎng)Quidway Series RouterAAA S15RADIUS驗證與授權(quán)驗證與授權(quán)l(xiāng)驗證、授權(quán)過程如下：驗證、授權(quán)過程如下：l路由器

7、將得到的用戶信息打包向路由器將得到的用戶信息打包向RADIUS服務(wù)器發(fā)服務(wù)器發(fā)送送lRADIUS服務(wù)器對用戶進行驗證：服務(wù)器對用戶進行驗證：l合法用戶合法用戶返回訪問接受包（用戶授權(quán)信息）返回訪問接受包（用戶授權(quán)信息）l非法用戶非法用戶返回訪問拒絕包返回訪問拒絕包l路由器接受服務(wù)器的響應(yīng)包：路由器接受服務(wù)器的響應(yīng)包：l訪問接受包訪問接受包允許上網(wǎng)，使用其授權(quán)信息對用允許上網(wǎng)，使用其授權(quán)信息對用戶進行處理戶進行處理l訪問拒絕包訪問拒絕包拒絕用戶上網(wǎng)請求拒絕用戶上網(wǎng)請求16RADIUS計費計費l每次計費過程包括計費請求、計費應(yīng)答每次計費過程包括計費請求、計費應(yīng)答l對一個用戶的計費過程有：對一個用戶

8、的計費過程有：l計費信息：計費信息：l計費失敗處理計費失敗處理計費開始實時計費計費結(jié)束會話時長輸入字節(jié)數(shù)輸出字節(jié)數(shù)輸入包數(shù)輸出包數(shù)17802.1X起源起源l來源：來源：802.1X協(xié)議起源于協(xié)議起源于802.11協(xié)議，起初主要是協(xié)議，起初主要是為了解決無線局域網(wǎng)用戶的接入認證問題。為了解決無線局域網(wǎng)用戶的接入認證問題。l目的：有線局域網(wǎng)通過固定線路形成固定的物理空目的：有線局域網(wǎng)通過固定線路形成固定的物理空間；但無線局域網(wǎng)具有開放性和終端可移動性，因此間；但無線局域網(wǎng)具有開放性和終端可移動性，因此很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于某一網(wǎng)絡(luò)。很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于某一網(wǎng)絡(luò)。8

9、02.1x正是基于這一需求而出現(xiàn)的一種認證技術(shù)。正是基于這一需求而出現(xiàn)的一種認證技術(shù)。l作用形式：操作粒度為端口；對于無線局域網(wǎng)接入作用形式：操作粒度為端口；對于無線局域網(wǎng)接入認證之后建立起來的信道（端口）被獨占。認證之后建立起來的信道（端口）被獨占。18802.1X的應(yīng)用的應(yīng)用lIEEE 802.11定義的無線定義的無線 LAN 接入方式（基于邏輯接入方式（基于邏輯端口）端口）lLanSwitch的一個物理端口僅連接一個的一個物理端口僅連接一個End Station（基于物理端口）（基于物理端口）l華為華為-3ComVRP平臺的平臺的802.1X軟件子系統(tǒng)對軟件子系統(tǒng)對802.1X協(xié)議認證方

10、式進行了擴展，支持一個物理端口下多個協(xié)議認證方式進行了擴展，支持一個物理端口下多個End Station的應(yīng)用場合，多個的應(yīng)用場合，多個End Station的識別的識別具體到其源具體到其源MAC地址地址19EAP驗證過程驗證過程UsernamePasswordUser1abcUser2123EAPUsername：User1Password：abc用戶數(shù)據(jù)庫20802.1X的系統(tǒng)組成的系統(tǒng)組成lIEEE 802.1X的體系結(jié)構(gòu)包括三部分的體系結(jié)構(gòu)包括三部分:lSupplicant System-用戶接入設(shè)備用戶接入設(shè)備lAuthenticator System-接入控制單元接入控制單元lAuthentication Sever System-認證服務(wù)器認證服務(wù)器l傳輸介質(zhì)：點對點以太網(wǎng)（如果是共享式以太網(wǎng)需傳輸介質(zhì)：點對點以太網(wǎng)（如果是共享式以太網(wǎng)需要采用加密的方式傳遞認證信息）要采用加密的方式傳遞認證信息）21802.1X認證系統(tǒng)圖認證系統(tǒng)圖EAP Over SomethingAuthentication ServerAuthenticatorEAPOLS22EAPOL協(xié)議的消息格式協(xié)議的