HM-043网络安全特性V.ppt

HM 043网络安全特性 ISSUE5 1 日期 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 了解安全特性的基本内容明确AAA服务的具体内容掌握RADIUS协议的基本原理和配置 课程目标 学习完本课程 您应该能够 安全特性概述AAARADIUS 目录 网络安全概述 网络安全是Internet必须面对的现实问题网络安全是一门综合性的技术网络安全具有两层含义 保证内部局域网的安全 不被非法侵入 保护内网和外部进行数据交换的安全随着网络安全技术的完善和更新 网络安全将是一个永恒的话题 网络安全关注的范围 常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段 重要的数据重点保护对网络设备 网络拓扑的安全管理病毒防范提高安全防范意识 网络安全的必要技术 针对网络存在的各种安全隐患 安全路由器必须具有如下安全特性 可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理 可靠性和线路安全 可靠性要求主要针对故障恢复和负载能力主备运行 主接口故障时 备份接口自动接替主用接口的工作负载分担 网络流量增大时 备份链路承担部分主用链路的工作线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问 身份认证 访问路由器时的身份认证Console口配置Telnet登陆配置SNMP配置Modem远程配置对其它路由器的身份认证直接相连的邻居路由器逻辑连接的对等体路由信息的身份认证防止伪造路由信息的侵入 访问控制 对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略基于用户的访问控制对于接入服务用户 设定特定的过滤属性 信息隐藏 地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求应用场合内部局域网访问Internet 数据加密和防伪 数据加密利用公网传输数据不可避免地面临数据窃听的问题传输之前进行数据加密 保证只有与之通信的对端能够解密数据防伪报文在传输过程中 有可能被攻击者截获 篡改并重新投放到网络上接收端需要进行数据完整性鉴别 丢弃被篡改的数据报文相关技术数据加密数字签名IPSec 安全管理 保证重要的网络设备处于安全的运行环境 防止人为破坏保护好访问口令 密码等重要的安全信息进行安全策略管理 有效利用安全策略在网络出入口实现报文审计和过滤 提供网络运行的必要信息 H3C路由器的安全技术 AAA Authentication Authorization Accounting 网络安全服务提供一个实现身份认证的主框架提供验证 授权 计费服务使用RADIUS等协议实现对网络的访问控制 H3C路由器的安全技术 续 包过滤技术提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤 H3C路由器的安全技术 续 地址转换技术地址转换技术提供内部用户透明访问外部网络的功能有效屏蔽内部网络的地址 禁止外部主机直接访问内部网络实现内部主机的隐藏 H3C路由器的安全技术 续 IPSec和IKE技术IPSec IPSecurity 可以实现数据的加密以及防伪 可以在不安全的线路上传输加密信息 形成 安全的隧道 可以为Internet上的数据传输提供安全的VPN解决方案 IKE 密钥交换协议 为通信双方提供交换密钥等服务 IKE定义了通信双方进行身份认证 协商加密算法以及生成共享的会话密钥的方法 并且保证永远不在不安全的网络上直接传送密钥 而是通过一系列交换信息计算密钥 H3C路由器的安全技术 续 隧道技术隧道技术是实现VPN的核心技术二层隧道技术主要有VPDN 主要用来提供拨号接入服务三层隧道技术主要有GRE和IPSec 主要用来使用户在Internet上构建对等的虚拟专网 二层隧道示意图 三层隧道示意图 安全接入Internet 基于接口的包过滤基于时间段定义过滤规则通过地址转换灵活访问Internet外部不能直接访问内部网络通过地址转换向外提供WWW FTP等服务器 组建安全的VPN 出差员工通过当地的ISP接入到Internet 进而接入公司总部办事处及分支机构通过GRE和IPSec实现与总部私网的互联 所有的数据报文被加密传送 安全特性概述AAARADIUS 目录 AAA概述 验证 Authentication 授权 Authorization 计费 Accounting RADIUSServer 本地实现AAA 使用RADIUS服务器实现AAA H3C路由器 H3C路由器 提供AAA支持的服务 H3C路由器 Telnet客户端 拨入设备 FTP客户端 PPP H3C路由器 H3C路由器 验证与授权 验证 授权 用户名 口令验证 PPP的CHAP验证 主叫号码认证 服务类型 回呼号码 隧道属性 计费及AAA使用特别提醒 记录用户使用资源情况只能使用AAA服务器进行计费对于通过验证的用户缺省都要进行计费如果不希望计费一定要配置如下命令 ISP域视图 accountingoptional AAA基本配置命令 配置命令domain isp name default disable enableisp name accounting schemeoptionalscheme radius schemeradius scheme name local hwtacacs schemehwtacacs scheme name local local none 方法表5种有效组合 radius local none radiuslocal hwtacacs scheme 本地用户数据库 本地用户数据库 用户名 用户口令 授权服务 主叫号码 回呼号码 FTP授权目录 local userdisplayusers 用户数据 相关命令 本地AAA配置举例 配置test域为默认域 H3C domaindefaultenabletest配置不计费时仍然允许test域用户访问 ISP域视图 H3C isp test accountingoptional配置特定接口拨入的PPP用户的缺省验证方法 H3C Serial0 0 pppauthentication modepapschemedomaintest 调试和监控信息 显示在线用户displayusers 安全特性概述AAARADIUS 目录 RADIUS概述 RADIUS RemoteAuthenticationDial inUserService 是当前流行的安全服务器协议实现AAA 授权Authorization 验证Authentication和计费Accounting 功能 RADIUS实现AAA的流程 用户上网 验证请求 验证授权通过 授权并允许用户上网 RADIUSServer H3C路由器 RADIUS结构及基本原理 RADIUS协议采用客户机 服务器 Client Server 结构 使用UDP协议作为传输协议RADIUS使用MD5加密算法对数据包进行数字签名 以及对口令进行加密RADIUS报文结构灵活 扩展性强 各属性 类型 长度 值 类型码 ID 长度 验证字 RADIUS验证与授权 验证 授权过程如下 路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证 合法用户 返回访问接受报文 用户授权信息 非法用户 返回访问拒绝报文路由器接受服务器的响应报文 访问接受报文 允许上网 使用其授权信息对用户进行处理访问拒绝报文 拒绝用户上网请求 每次计费过程包括计费请求 计费应答对一个用户的计费过程有 计费信息 计费失败处理 RADIUS计费 计费开始 实时计费 计费结束 会话时长 输入字节数 输出字节数 输入包数 输出包数 RADIUS用户管理 RADIUS协议为标准协议 遵循RADIUS协议的所有服务器可以互通用户管理放置在RADIUS服务器端进行 有相应的管理软件用户可以灵活选用RADIUS服务器及用户管理软件 RADIUS基本配置 创建RADIUS方案并进入其视图radiusschemeradius scheme name配置主从RADIUS认证 授权的IP地址和端口号 RADIUS视图 primaryauthenticationip address port number secondaryauthenticationip address port number 配置主从RADIUS计费的IP地址和端口号 RADIUS视图 primaryaccountingip address port number secondaryaccountingip address port number 在ISP域中应用RADIUS策略 ISP域视图 scheme radius schemeradius scheme name RADIUS配置举例 启用基于RADIUS的AAA认证计费机制 H3C radiusschemetest配置RADIUS服务器IP地址和端口 RADIUS视图 H3C radius test primaryauthentication1 1 1 11812 H3C radius test primaryaccounting1 1 1 11813创建一个ISP域并在该域中应用RADIUS策略 H3C domainisp test H3C isp isp test schemeradius schemetest配置特定接口拨入的PPP用户的缺省验证方法表 H3C Serial0 0 pppauthentication modepapschemedomaintest RADIUS配置举例 续 配置RADIUS服务器密钥 重传次数 超时定时器 H3C