01-安全概述
本章节下载: 01-安全概述 (152.28 KB)
网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。
· 完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。
一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:
身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。
接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证、Portal认证,它们在AAA的配合下完成对用户的身份认证。
在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),其中IPsec为IP层的数据传输提供安全保障,SSL和SSH为应用层的数据传输提供安全保障。
防火墙技术是一种非常有效的网络安全模型,是将内部网络与外部网络之间访问进行全面控制的一种机制。基本的防火墙技术主要包括包过滤、ASPF(Advanced Stateful Packet Filter,高级状态包过滤)和ALG(Application Level Gateway,应用层网关)。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
· 计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。
AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议或LDAP协议,在实际应用中最常使用的是RADIUS协议。
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。
目前,设备实现的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接层)提供数字证书管理机制。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用:通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。
未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。
公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。
IPsec(IP Security,IP安全)是一个IP层的安全框架,它为网络上传输的IP数据提供安全保证,其主要功能是对数据的加密和对数据收发方的身份认证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网)的安全技术。
IKE(Internet Key Exchange,因特网密钥交换)为IPsec提供了自动协商安全参数的服务,能够简化IPsec的配置和维护工作。IKE协商的安全参数包括加密和认证算法、加密和认证密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。
SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。
SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
包过滤实现了对IP数据包的过滤。对需要转发的数据包,设备先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理(丢弃或转发)。
ASPF(Advanced Stateful Packet Filter,高级状态包过滤)是基于应用层状态的报文过滤,它提供以下功能:
· 传输层协议检测:检测传输层协议信息(即通用TCP/UDP检测),根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络;
· 应用层协议检测:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。
除以上功能之外,ASPF还支持丰富的安全特性,例如端口到应用的映射、ICMP差错报文丢弃、TCP首包非SYN报文丢弃。在网络边界,ASPF和包过滤防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
ALG(Application Level Gateway,应用层网关)是一种对应用层报文进行处理的技术,它通过与NAT(Network Address Translation,网络地址转换)、ASPF等技术的组合应用,实现对应用层的处理和检测:
· 配合NAT可实现对报文载荷的地址转换功能;
· 配合ASPF特性可支持动态通道检测功能,以及对应用层的状态检测功能。
会话管理是为了实现NAT、ASPF等基于会话进行处理的业务而抽象出来的公共功能,主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并将传输层报文之间的交互关系抽象为会话,通过会话对所有连接的状态信息进行统一维护和管理。
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
会话管理本身只能实现连接跟踪,并不能阻止潜在的攻击报文通过。
ARP协议有简单、易用的优点,但是因为没有任何安全机制而容易被攻击发起者利用。目前ARP攻击已经成为局域网安全的一大威胁,针对常见的ARP攻击行为,如仿冒用户、仿冒网关、ARP泛洪攻击等,H3C提出了较为完整的解决方案来有效防止攻击。
针对攻击者利用TCP连接的建立过程形成的网络攻击,TCP攻击防御提供了SYN Cookie功能。
Web过滤功能通过过滤内部用户的非法Web访问请求,包括阻止内部用户访问非法网址,以及对网页内的Java或ActiveX程序进行阻断,来提高内部网络的安全性。
设备还可提供更为丰富的网络安全技术,用以配合上述基本的安全技术,为用户网络提供多功能、全方位的安全保护。
User Profile是一个配置模板,它能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略或QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证(目前支持PPPoE、802.1X、MAC地址认证和Portal四种接入认证方式)。在认证过程中,认证服务器会先匹配用户名和密码,匹配成功后再将与用户绑定的User Profile名称下发给设备,设备会启用User Profile里定义的策略对用户的访问行为进行限制。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!