《网络工程规划与设计》第六章.ppt

第6章网络安全设计 本章要点 通过本章学习 读者应了解网络威胁与对策 服务器威胁与对策 802 1x RADIUS的应用 以及几种认证方式比较和DMZ的概念 基本掌握802 1x协议及工作机制 基于RADIUS的认证计费 防止IP地址盗用的技术 网络防病毒技术 基本掌握路由器 防火墙保护网络边界的方法 标准访问列表和扩展访问列表的应用 6 1网络安全设计的原则 1 网络信息安全的木桶原则2 网络信息安全的整体性原则3 安全性评价与平衡原则4 标准化与一致性原则5 技术与管理相结合原则6 统筹规划 分步实施原则7 等级性原则8 动态发展原则9 易操作性原则 6 2网络安全威胁与防范 网络安全历来都是人们讨论的主要话题之一 网络安全不但要求防治网络病毒 而且要提高网络系统抵抗外来非法入侵的能力 还要提高对远程数据传输的保密性 避免在传输途中遭受非法窃取 下面从威胁 对策 缺陷 攻击的角度来分析网络系统安全 6 2 1网络威协与防范 1 信息收集2 探查3 欺骗4 会话劫持5 拒绝服务 服务器的主要威胁与对策有以下种 1 病毒 蠕虫和特洛伊木马2 破解密码3 拒绝服务与分布式拒绝服务4 任意执行代码5 未授权访问6 足迹7 应用程序威胁与对策 6 2 2服务器威胁与防范 表6 1应用程序的主要威胁 1 身份验证2 边界安全3 数据私密性4 安全监控5 策略管理 6 2 3常用网络安全技术 6 2 4安全事件响应小组 1 制定事件响应计划的前期准备 1 建立事件响应小组和明确小组成员 2 明确事件响应目标 3 准备事件响应过程中所需要的工具软件 系统及数据的备份和恢复软件 系统镜像软件 文件监控及比较软件 各类日志文件分析软件 网络分析及嗅探软件 网络扫描工具软件 网络追捕软件 文件捆绑分析及分离软件 二进制文件分析软件 进程监控软件 如有可能 还可以准备一些反弹木马软件 6 3 1802 1x协议及工作机制 6 3网络安全接入与认证 图6 1802 1x协议的核心内容 图6 2802 1x协议的体系结构 6 3 2RADIUS的认证 RADIUS协议合并了认证和授权过程 即响应报文中携带了授权信息 基本交互步骤如下 1 用户输入用户名和口令 2 RADIUS客户端根据获取的用户名和口令 向RADIUS服务器发送认证请求包 access request 3 RADIUS服务器将该用户信息与users数据库信息进行对比分析 如果认证成功 则将用户的权限信息以认证响应包 access accept 发送给radius客户端 如果认证失败 则返回access reject响应包 4 RADIUS客户端根据接收到的认证结果接入 拒绝用户 如果可以接入用户 则RADIUS客户端向radius服务器发送计费开始请求包 accounting request status type取值为start 5 RADIUS服务器返回计费开始响应包 accounting response 6 3 2RADIUS的认证 6 RADIUS客户端向RADIUS服务器发送计费停止请求包 accounting request status type取值为stop 7 RADIUS服务器返回计费结束响应包 accounting response 参见图6 3 图6 3RADIUS服务器返回计费结束响应包 802 1x协议认证过程是用户与服务器交互的过程 其认证步骤如下 1 用户开机后 通过802 1x客户端软件发起请求 查询网络上能处理EAPoL数据包的设备 如果某台验证设备能处理EAPoL数据包 就会向客户端发送响应包 并要求用户提供合法的身份标识 如用户名及其密码 2 客户端收到验证设备的响应后 提供身份标识给验证设备 由于此时客户端还未经过验证 因此认证流只能从验证设备的未受控的逻辑端口经过 验证设备通过EAP协议将认证流转发到AAA服务器 进行认证 3 如果认证通过 则认证系统的受控逻辑端口打开 4 客户端软件发起DHCP请求 经认证设备转发到DHCPServer 6 3 3802 1x的认证 5 DHCPServer为用户分配IP地址 6 DHCPServer分配的地址信息返回给认证系统 认证系统记录用户的相关信息 如MAC IP地址等信息 并建立动态的ACL访问列表 以限制用户的权限 7 当认证设备检测到用户的上网流量 就会向认证服务器发送计费信息 开始对用户计费 8 如果用户退出网络 可以通过客户端软件发起退出过程 认证设备检测到该数据包后 会通知AAA服务器停止计费 并删除用户的相关信息 如物理地址和IP地址 受控逻辑端口关闭 用户进入再认证状态 9 验证设备通过定期的检测保证链路的激活 如果用户异常死机 则验证设备在发起多次检测后 自动认为用户已经下线 于是向认证服务器发送终止计费的信息 6 3 3802 1x的认证 PPPoE的本质就是在以太网上跑PPP协议 由于PPP协议认证过程的第一阶段是发现阶段 广播只能在二层网络 才能发现宽带接入服务器 因此 也就决定了在用户主机和服务器之间 不能有路由器或三层交换机 另外 由于PPPoE点对点的本质 在用户主机和服务器之间 限制了组播协议存在 这样 将会在一定程度上 影响视频业务的开展 除此之外 PPP协议需要再次封装到以太网中 所以效率很低 Web DHCP采用旁路方式网络架构时 不能对用户进行类似带宽管理 另外 DHCP是动态分配IP地址 但其本身的成熟度加上设备对这种方式支持力度还较小 故在防止用户盗用IP地址等方面 还需要额外的手段来控制 除此之外 用户连接性差 易用性不够好 6 3 4认证方式比较 6 3 5802 1x RADIUS的应用案例 锐捷802 1x的安全接入交换机和RADIUS认证计费系统 具有以下应用特点 1 一次同时认证用户名 IP MAC 在802 1x认证时 客户端同时提交用户名 IP MAC 一次认证即同时完成用户名 IP MAC三者的认证 2 分布式认证方式 防止出现单一故障点 3 认证流和业务流实现分离 实现高效的认证 防止出现用户无法认证的情况 4 灵活扩展计费功能 1 系统服务包和安全补丁2 使用安全系数高的密码3 做好边界防护4 关闭没有使用的服务5 使用数据加密6 通过备份保护你的数据7 加密敏感通信8 不要信任外部网络9 使用不间断电源支持 6 4操作系统安全设计 1 利用Win2000的安全配置工具来配置策略2 关闭不必要的服务3 关闭不必要的端口4 打开审核策略5 整理和收集日志文件信息6 开启帐户策略7 设定安全记录的访问权限8 把敏感文件存放在另外的文件服务器中9 不让系统显示上次登陆的用户名10 禁止建立空连接11 到微软网站下载最新的补丁程序 服务器的安全和配置的中级策略 1 关闭DirectDraw2 关闭默认共享3 禁止Dumpfile的产生4 使用文件加密系统EFS5 加密Temp文件夹6 锁住注册表7 关机时清除掉页面文件8 禁止从软盘和CDRom启动系统10 考虑使用IPSec9 考虑使用智能卡来代替密码 服务器安全的最后配置策略阶段 6 5WEB服务器安全设计 1 对内部和外部应用分别使用单独的服务器2 使用单独的开发服务器测试和调试应用软件3 审查网站活动 安全存储日志4 培训开发者进行可靠的安全编码6 使用应用软件扫描5 给操作系统和Web服务器打补丁 6 6网络边界安全设计 6 6 1防火墙和路由器网络边界防御需要添加一些安全设备来保护进入网络的每个访问 这些安全设备要么阻塞 要么筛选网络流量来限制网络活动 或者仅仅允许一些固定的网络地址在固定的端口上可以通过网管员的网络边界 这些边界安全设备叫防火墙 防火墙阻止试图对组织内部网络进行扫描 阻止企图闯入网络的活动 防止外部进行拒绝服务攻击 禁止一定范围内黑客利用Internet来探测用户内部网络的行为 阻塞和筛选规则由网管员所在机构的安全策略来决定 防火墙也可以用来保护在Intranet中的资源不会受到攻击 1 防火墙是网络安全的屏障2 防火墙可以强化网络安全策略3 对网络存取和访问进行监控审计4 防止内部信息的外泄 6 6 1防火墙和路由器 6 6 2使用网络DMZ 图6 4网络结构图 图6 5DMZ网络结构 6 6 3ACL 1 ACL的作用2 ACL的分类3 ACL的配置4 ACL配置实例 ACL的操作 1 ACL的执行过程2 设置ACL的位置 图6 6ACL设置 6 6 4扩展ACL的应用 1 利用标准ACL控制网络访问2 利用扩展ACL控制网络访问3 基于端口和VLAN的ACL访问控制 综合练习六 1 画图描述802 1x协议及工作机制 2 画图描述基于RADIUS的认证计费 3 简述ACL的作用及应用 实训六加固操作系统的安全 1 加固操作系统的安全 1 实训目的 了解Windows2000Server系统弱点和漏洞 掌握加固操作系统安全技术 2 实训资源 工具和准备工作 安装与配置好的Windows2000Server服务器 连接中国教育和科研安全网站 下载Windows2000Server中文版SP4和其他安全补丁 3 实训内容 安装SP4系统服务包和安全补丁 限制用户权限 设置NTFS权限保护文件和目录 删除或禁用不必要的组件和服务 设置日志和审核 文件系统加密 4 实训步骤 实训结束后写出实训总结报告 2 使用访问控制列表建立防火墙 1 实训目的 了解路由器的访问控制列表配置与使用过程 会运用标准 扩展访问控制列表建立基于路由器的防火墙 保护网络边界 2 实训资源 工具和准备工作 Catalyst2621路由器2台 Windows2000客户机2台 Windows2000ServerIIS服务器2台 集线器或交换机2台 制作好的UTP网络连接 双端均有RJ 45头 平行线若干条 交叉线 一端568A 另一端568B 一条 网络连接参考和子网地址分配可参考图6 7 3 实训内容 设置图中各台路由器名称 IP地址 一般用户口令 静态路由 保存配置文件 安装与配置IIS服务器 设置WWW服务器的IP地址 安装和配置客户机 设置客户机的IP地址 分别对两台路由器设置扩展访