您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 管理学资料 > 华为网络设备的安全性
华为3Com培训中心华为3Com公司版权所有,未经授权不得使用与传播HM-043网络安全特性ISSUE4.02学习目标了解安全特性的基本内容明确AAA服务的具体内容掌握RADIUS协议的基本原理和配置学习完本课程,您应该能够:3课程内容第一章安全特性概述第二章AAA第三章RADIUS4网络安全概述网络安全是Internet必须面对的一个实际问题网络安全是一个综合性的技术网络安全具有两层含义:保证内部局域网的安全(不被非法侵入)保护和外部进行数据交换的安全网络安全技术的完善和更新5网络安全关注的范围常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段,重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识6网络安全的必要技术针对网络存在的各种安全隐患,安全路由器必须具有如下安全特性:可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理7可靠性和线路安全可靠性要求主要针对于故障恢复和负载能力主备运行:主接口故障时,备份接口自动接替主用接口的工作负载分担:网络流量增大时,备份链路承担部分主用链路的工作线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问8身份认证访问路由器时的身份认证Console口配置Telnet登陆配置SNMP配置Modem远程配置对其它路由的身份认证直接相连的邻居路由器逻辑连接的对等体路由信息的身份认证防止伪造路由信息的侵入9访问控制对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略基于用户的访问控制对于接入服务用户,设定特定的过滤属性10信息隐藏地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求应用场合内部局域网访问Internet11数据加密和防伪数据加密利用公网传输数据不可避免的面临数据窃听的问题传输之前进行数据加密,保证只有与之通信的对端能够解密数据防伪报文在传输过程中,被截获、修改,重新投放到网络上接受端进行数据识别,丢弃被修改的报文相关技术数据加密数字签名IPSec12安全管理保证重要的网络设备处于安全的运行环境,防止人为破坏保护好访问口令、密码等重要的安全信息进行安全策略管理,有效利用安全策略在网络出入口实现报文审计和过滤,提供网络运行的必要信息13Quidway路由器的安全技术AAA(Authentication,Authorization,Accounting)网络安全服务提供一个实现身份认证的主框架提供验证、授权、记帐服务使用RADIUS等协议实现对网络的访问控制14Quidway路由器的安全技术(续)包过滤技术提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤15Quidway路由器的安全技术(续)地址转换技术地址转换技术提供内部用户透明访问外部网络的功能有效屏蔽内部网络的地址,禁止外部主机直接访问内部网络实现内部主机的隐藏16Quidway路由器的安全技术(续)IPSec和IKE技术IPSec(IPSecurity)可以实现数据的加密以及防伪,可以使在不安全的线路上传输加密信息,形成“安全的隧道”。可以为用户在Internet上提供安全的VPN解决方案。IKE(密钥交换协议)为通信双方提供交换密钥等服务,IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥,而是通过一系列交换信息计算密钥。17Quidway路由器的安全技术(续)隧道技术隧道技术是实现VPN的核心技术二层隧道技术主要有VPDN,主要用来提供拨号接入服务三层隧道技术主要有GRE,主要用来使用户在Internet上构建自己的虚拟专网POPPOPPOPPOP总部办事处客户分公司隧道Internet骨干专线VPNServerPSTN/ISDN二层隧道示意图三层隧道示意图18安全接入Internet基于接口的包过滤基于时间段定义过滤规则通过地址转换灵活访问Internet外部不能直接访问内部网络可以通过地址转换向外提供、FTP等服务器内部服务器日志主机通过地址转换映射19组建安全的VPN出差员工通过当地的ISP接入到Internet,进而接入公司总部办事处及分支机构通过GRE和IPSec实现与总部间的互联,数据采取加密传输PSTNRADIUS服务器合作伙伴重要客户公司总部QuidwayA8010QuidwayVPN网关QuidwayVPN网关20课程内容第一章安全特性概述第二章AAA第三章RADIUS21AAA概述验证(Authentication)授权(Authorization)计费(Accounting)QuidwaySeriesRouterQuidwaySeriesRouterAAAServer本地实现AAA使用服务器实现AAA22提供AAA支持的服务QuidwaySeriesRouterQuidwaySeriesRouterQuidwaySeriesRouterEXEC远程设备FTPClientPPP23验证与授权验证授权用户名、口令验证PPP的CHAP验证主叫号码认证服务类型回呼号码隧道属性24计费及AAA使用特别提醒记录用户使用资源情况只能使用AAA服务器进行计费对于进行了验证的用户缺省都要进行计费如果不希望计费一定钥配置如下命令:aaaaccounting-schemeoptional25AAA基本配置命令配置命令aaa-enableaaaaccounting-schemeoptionalaaaauthentication-schemelogin{default|methods-list}{method1[method2...]}aaaauthentication-schemeppp{default|methods-list}{method1}[method2...]方法表5种有效组合:radius、local、none、radiuslocal、radiusnone26本地用户数据库本地用户数据库用户名用户口令授权服务主叫号码回呼号码FTP授权目录相关命令Local-userDisplayaaauser用户数据27AAA配置举例启动AAA[Quidway]aaa-enable配置PPP用户的缺省验证方法表[Quidway]aaaauthentication-schemelogindefaultlocal配置不计费时仍然允许用户访问[Quidway]aaaaccounting-schemeoptional将缺省方发表应用到封装了PPP的接口[Quidway-Serial0]pppauthentication-modepapschemedefault28调试和监控信息显示在线用户displayaaauser原语调试信息,观察AAA请求与结果debuggingradiusprimitive事件调试信息,观察AAA过程debuggingradiusevent29RADIUS概述RADIUS(RemoteAuthenticationDial-inUserService)是当前流行的安全服务器协议实现AAA(授权Authorization、验证Authentication和计费Accounting)功能30RADIUS实现AAA的流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网QuidwaySeriesRouterAAAServer31RADIUS结构及基本原理RADIUS协议采用客户机/服务器(Client/Server)结构,使用UDP协议作为传输协议RADIUS使用MD5加密算法对数据包进行数字签名,以及对口令进行加密RADIUS包机构灵活,扩展性好各属性类型长度值类型码ID长度验证字32RADIUS验证与授权验证、授权过程如下:路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证:合法用户——返回访问接受包(用户授权信息)非法用户——返回访问拒绝包路由器接受服务器的响应包:访问接受包——允许上网,使用其授权信息对用户进行处理访问拒绝包——拒绝用户上网请求33每次计费过程包括计费请求、计费应答对一个用户的计费过程有:计费信息:计费失败处理RADIUS计费计费开始实时计费计费结束会话时长输入字节数输出字节数输入包数输出包数34RADIUS用户管理RADIUS协议为标准协议,遵循RADIUS协议的所有服务器可以互通用户管理放置在RADIUS服务器端进行,有相应的管理软件用户可以灵活选用RUDIUS服务器及用户管理软件35RADIUS基本配置配置RADIUS服务器radiusserver{hostname|ip-address}[authentication-portport-number][accouting-portport-number]radiusshared-keystring配置重传参数radius-serverretransmitradius-servertimeout配置实时计费radius-serverrealtime-acct-timeout36RADIUS配置举例启用AAA[Quidway]aaa-enable配置PPP用户的缺省验证方发表[Quidway]aaaauthentication-schemelogindefaultradiuslocal配置RADIUS服务器IP地址和端口,使用默认端口号[Quidway]radiusserver129.7.66.68[Quidway]radiusserver129.7.66.66accouting-port0[Quidway]radiusserver129.7.66.67authentication-port037RADIUS配置举例(续)配置RADIUS服务器密钥、重传次数、超时定时器[Quidway]radiusshared-keythis-is-my-secret[Quidway]radiusretry2[Quidway]radiustimerresponse-timeout5将缺省方发表应用到封装了PPP的接口[Quidway-Serial0]pppauthentication-modepapschemedefault38RADIUS包调试信息协议报文调试信息开关debuggingradiuspacket帮助诊断RADIUS故障观察发送、接受数据包的情况及整个RADIUS包的内容39本章总结安全特性概述AAA服务RADIUS服务器华为3Com技术有限公司华为3Com公司网址:技术论坛网址:forum.huawei-3com.com
本文标题:华为网络设备的安全性
链接地址:https://www.777doc.com/doc-1309815 .html