01-安全概述
本章节下载 (164.52 KB)
网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。
网络系统所面临的安全威胁主要包括以下四个方面:
· 信息泄露:信息被泄露或透露给某个非授权的人或实体。
· 完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。
· 业务拒绝:对信息或其它资源的合法访问被非法阻止。
· 非法使用:某一资源被非授权的人或被以非授权的方式使用。
一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:
· 身份认证
身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。
· 接入安全
接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证、Portal认证,它们在AAA的配合下完成对用户的身份认证。
· 数据安全
在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),其中IPsec为IP层的数据传输提供安全保障,SSL和SSH为应用层的数据传输提供安全保障。
· 防火墙技术
防火墙技术是一种非常有效的网络安全模型,是将内部网络与外部网络之间访问进行全面控制的一种机制。基本的防火墙技术主要包括包过滤和ASPF(Advanced Stateful Packet Filter,高级状态包过滤)。
· 攻击检测及防范
对网络中的流量或应用协议报文的内容进行检测,实现对攻击行为的有效识别,并根据识别结果采取一定的监管及防范措施,防止网络攻击的发生或者对已发生的网络攻击行为进行有效的控制。攻击检测及防范可提供针对数据链路层、网络层和应用层的攻击检测和防御手段,例如ARP攻击防御、IP Source Guard、TCP攻击防御。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
· 计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。
AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议,在实际应用中最常使用的是RADIUS协议。
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。
目前,设备实现的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接层)提供数字证书管理机制。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用:通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。
未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。
公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。
IPsec(IP Security,IP安全)是一个IP层的安全框架,它为网络上传输的IP数据提供安全保证,其主要功能是对数据的加密和对数据收发方的身份认证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网)的安全技术。
IKE(Internet Key Exchange,因特网密钥交换)为IPsec提供了自动协商安全参数的服务,能够简化IPsec的配置和维护工作。IKE协商的安全参数包括加密和认证算法、加密和认证密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。
SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。
SSL VPN是以SSL为基础的VPN技术,工作在传输层和应用层之间,广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证
SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
包过滤实现了对IP数据包的过滤。对需要转发的数据包,设备先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理(丢弃或转发)。
ASPF(Advanced Stateful Packet Filter,高级状态包过滤)是基于应用层状态的报文过滤,它提供以下功能:
· 传输层协议检测:检测传输层协议信息(即通用TCP/UDP检测),根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络;
· 应用层协议检测:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。
除以上功能之外,ASPF还支持丰富的安全特性,例如端口到应用的映射、Java阻断和ActiveX阻断、ICMP差错报文丢弃、TCP首包非SYN报文丢弃。在网络边界,ASPF和包过滤防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
连接限制是通过限制用户发起的连接数、限制用户创建连接的速率或者限制用户建立连接所占用的带宽资源,对设备上建立的连接进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源。
ARP协议有简单、易用的优点,但是因为没有任何安全机制而容易被攻击发起者利用。目前ARP攻击已经成为局域网安全的一大威胁,针对常见的ARP攻击行为,如仿冒用户、仿冒网关、ARP泛洪攻击等,H3C提出了较为完整的解决方案来有效防止攻击。
IP Source Guard功能利用绑定表项对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性,该功能通常在设备接入用户侧的端口上启用。
IP Source Guard绑定表项是由报文的源IP地址、源MAC地址以及VLAN ID组成,可通过手工配置或者利用DHCP的相关表项动态生成。
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)技术通过对报文的源地址进行反查,并依据其合法性对报文进行过滤,以阻止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
IP攻击检测及防范是一个重要的网络安全特性,能够通过分析经过设备的报文的内容和行为特征,判断报文是否具有攻击性,并对具有攻击特征的报文执行相应的防范措施,例如输出告警日志、丢弃报文或加入黑名单,可有效防范单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击。
针对攻击者利用TCP连接的建立过程形成的网络攻击,TCP攻击防御可以提供了以下具体的防御功能:
· SYN Cookie功能
· 防止Naptha攻击功能
设备还可提供更为丰富的网络安全技术,用以配合上述基本的安全技术,为用户网络提供多功能、全方位的安全保护。
User Profile是一个配置模板,它能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略或QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证(目前支持PPPoE、802.1X和Portal三种接入认证方式)。在认证过程中,认证服务器会先匹配用户名和密码,匹配成功后再将与用户绑定的User Profile名称下发给设备,设备会启用User Profile里定义的策略对用户的访问行为进行限制。
Password Control是一种增强本地密码安全性的功能,它根据管理员设置的安全策略对用户的登录密码、super密码和用户的登录状态进行控制,这些安全策略可包括密码最小长度限制、密码更新间隔管理、密码老化管理、密码过期提醒等。
RSH(Remote Shell,远程外壳)用来实现客户端对主机的远程操作,即允许远程执行主机上特定的命令(即远程主机的操作系统所提供的命令)。远程主机上需要运行RSH守护程序(RSH Daemon)以支持RSH服务,RSH Daemon提供对信任主机的特权端口的认证服务。设备可实现RSH客户端功能,用户可以在设备上使用rsh命令远程执行远程主机上的命令。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!