• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

01-安全概述

本章节下载 01-安全概述  (140.32 KB)

01-安全概述


1 安全概述

网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。

1.1  网络安全威胁

网络系统所面临的安全威胁主要包括以下四个方面:

·     信息泄露:信息被泄露或透露给某个非授权的人或实体。

·     完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。

·     业务拒绝:对信息或其它资源的合法访问被非法阻止。

·     非法使用:某一资源被非授权的人或被以非授权的方式使用。

1.2  网络安全服务

一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:

·     身份认证

身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。

·     接入安全

接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证、Portal认证,它们在AAA的配合下完成对用户的身份认证。

·     数据安全

在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),其中IPsec为IP层的数据传输提供安全保障,SSL和SSH为应用层的数据传输提供安全保障。

·     攻击检测及防范

对网络中的流量或应用协议报文的内容进行检测,实现对攻击行为的有效识别,并根据识别结果采取一定的监管及防范措施,防止网络攻击的发生或者对已发生的网络攻击行为进行有效的控制。攻击检测及防范可提供针对数据链路层、网络层和应用层的攻击检测和防御手段,例如ARP攻击防御、IP Source Guard、TCP和ICMP攻击防御。

1.3  网络安全技术

1.3.1  身份认证

1. AAA

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

·     认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。

·     授权:对不同用户赋予不同的权限,限制用户可以使用的服务。

·     计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。

AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议,在实际应用中最常使用的是RADIUS协议。

2. PKI

PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。

目前,设备实现的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接层)提供数字证书管理机制。

1.3.2  接入安全

1. 802.1X认证

802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。

2. MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。

3. Portal认证

Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。

未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。

1.3.3  数据安全

1. 公钥管理

公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。

2. IPsec

IPsec(IP Security,IP安全)是一个IP层的安全框架,它为网络上传输的IP数据提供安全保证,其主要功能是对数据的加密和对数据收发方的身份认证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网)的安全技术。

3. SSL

SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。

4. SSH

SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

1.3.4  连接控制

连接限制是通过限制用户发起的连接数、限制用户创建连接的速率或者限制用户建立连接所占用的带宽资源,对设备上建立的连接进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源。

1.3.5  攻击检测及防范

1. ARP攻击防御

ARP协议有简单、易用的优点,但是因为没有任何安全机制而容易被攻击发起者利用。目前ARP攻击已经成为局域网安全的一大威胁,针对常见的ARP攻击行为,如仿冒用户、仿冒网关、ARP泛洪攻击等,H3C提出了较为完整的解决方案来有效防止攻击。

2. ND攻击防御

IPv6 ND(Neighbor Discovery,邻居发现)协议功能强大,但没有自身的安全机制,容易被攻击者利用。设备提供了多种ND攻击检测技术,例如ND协议报文源MAC地址一致性检查功能、ND Detection功能,可有效地防范ND攻击带来的危害。

3. IP Source Guard

IP Source Guard功能利用绑定表项对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性,该功能通常在设备接入用户侧的端口上启用。

IP Source Guard绑定表项是由报文的源IP地址、源MAC地址以及VLAN ID组成,可通过手工配置或者利用DHCP、ND的相关表项动态生成。

4. URPF

URPF(Unicast Reverse Path Forwarding,单播反向路径转发)技术通过对报文的源地址进行反查,并依据其合法性对报文进行过滤,以阻止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。

5. TCP和ICMP攻击防御

针对攻击者利用TCP连接的建立过程或者通过发送大量ICMP分片报文形成的网络攻击,TCP和ICMP攻击防御可以提供了以下具体的防御功能:

·     SYN Cookie功能

·     防止Naptha攻击功能

·     关闭ICMP分片报文转发功能

1.3.6  其它安全技术

设备还可提供更为丰富的网络安全技术,用以配合上述基本的安全技术,为用户网络提供多功能、全方位的安全保护。例如,Password Control是一种增强本地密码安全性的功能,它根据管理员设置的安全策略对用户的登录密码、super密码和用户的登录状态进行控制,这些安全策略可包括密码最小长度限制、密码更新间隔管理、密码老化管理、密码过期提醒等。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们