《计算机网络安全课件(沈鑫剡)第4章教学内容.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全课件(沈鑫剡)第4章教学内容.ppt(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全课件(沈鑫剡)第4章安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.1 以太网安全技术以太网安全技术n以太网接入控制以太网接入控制访问控制列表;访问控制列表;安全端口;安全端口;802.1X接入控制过程。接入控制过程。n以太网其他安全功能以太网其他安全功能防站表溢出攻击功能;防站表溢出攻击功能;防防DHCP欺骗;欺骗;防防ARP欺骗攻击。欺骗攻击。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络
2、安全计算机网络安全计算机网络安全以太网接入控制以太网接入控制n黑客攻击内部网络的第一步是接入内部网络,黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用户终端而以太网是最常见的直接用于接入用户终端的网络,只允许授权用户终端接入以太网是的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;抵御黑客攻击的关键步骤;n交换机端口是用户终端的物理连接处,防止交换机端口是用户终端的物理连接处,防止黑客终端接入以太网的关键技术是授权用户黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符,交换机端口具终端具有难以伪造的标识符,交换机端口具有识别授权用户终端标识符的能
3、力。有识别授权用户终端标识符的能力。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n允许为交换机每一个端允许为交换机每一个端口配置访问控制列表,口配置访问控制列表,列表中给出允许接入的列表中给出允许接入的终端的终端的MAC地址;地址;n配置访问控制列表的端配置访问控制列表的端口只允许转发源口只允许转发源MAC地址属于列表中地址属于列表中MAC地址的地址的MAC帧,因此帧,因此对于接入端口,只允许对于接入端口,只允许物理连接物理连接MAC地址属地址属于列表中于列表中MAC地址的地址的终端。终端。以太网接入控制以太网接入控制访问控制列表访问
4、控制列表安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n安全端口是自动建立访安全端口是自动建立访问控制列表的机制;问控制列表的机制;n允许为每一个交换机端允许为每一个交换机端口设置口设置MACMAC地址数地址数N N,从,从端口学习到的前端口学习到的前N N个个MACMAC地址作为访问控制列表地址作为访问控制列表的的MACMAC地址;地址;n不允许转发源地址是不允许转发源地址是N N个个地址以外的地址以外的MACMAC帧。帧。以太网接入控制以太网接入控制安全端口安全端口安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机
5、网络安全计算机网络安全计算机网络安全n802.1X基于端口认证机制,一旦完成认证过程,端口就处于正常转发状基于端口认证机制,一旦完成认证过程,端口就处于正常转发状态,这种方式适用于交换机态,这种方式适用于交换机B的认证端口,不适用交换机的认证端口,不适用交换机A的认证端口;的认证端口;n802.1X基于基于MAC地址认证机制是认证和访问控制列表的有机结合,一旦地址认证机制是认证和访问控制列表的有机结合,一旦交换机通过对某个用户的身份认证,将该用户终端的交换机通过对某个用户的身份认证,将该用户终端的MAC地址记录在访地址记录在访问控制列表的中,这种方式下,访问控制列表的中的问控制列表的中,这种方
6、式下,访问控制列表的中的MAC地址是动态的,地址是动态的,随着用户接入增加,随着用户退出减少。随着用户接入增加,随着用户退出减少。以太网接入控制以太网接入控制实现802.1X接入控制接入控制过程的程的网网络结构构安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n认证数据库表明:允许用户名为用户认证数据库表明:允许用户名为用户A,具有口令,具有口令PASSA的用户接入以太网;的用户接入以太网;n交换机交换机A将端口将端口7设置为认证端口,意味着必须根据认证数据库指定的认证机制:设置为认证端口,意味着必须根据认证数据库指定的认证机制:EAP-
7、CHAP完成用户身份认证的用户终端的完成用户身份认证的用户终端的MAC地址才能记录在端口地址才能记录在端口7的访问的访问控制列表的中。控制列表的中。以太网接入控制以太网接入控制用用户A向向认证服服务器器证明自己身份:用明自己身份:用户名名为用用户A,具有口,具有口令令PASSA。用用户A终端的端的MAC地地址址记录在在访问控制列控制列表中。表中。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全以太网其他安全功能以太网其他安全功能n由于站表容量是有限的,当某个黑客终端大量发送源由于站表容量是有限的,当某个黑客终端大量发送源MAC地址伪造地址
8、伪造的的MAC帧时,很容易使站表溢出;帧时,很容易使站表溢出;n一旦站表溢出,正常终端的一旦站表溢出,正常终端的MAC地址无法进入站表,导致正常终端地址无法进入站表,导致正常终端之间传输的之间传输的MAC帧以广播方式传输。帧以广播方式传输。站表溢出攻站表溢出攻击解决方法解决方法限制交换机从每限制交换机从每一个端口学习到一个端口学习到的地址数。的地址数。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全伪造的伪造的DHCPDHCP服务器为终端配置错误的网络信息,导致终端服务器为终端配置错误的网络信息,导致终端发送的数据都被转发到冒充默认网关的
9、黑客终端。发送的数据都被转发到冒充默认网关的黑客终端。以太网其他安全功能以太网其他安全功能信任端口信任端口非信任端口非信任端口将将连接授接授权DHCP服服务器的端口器的端口和互和互连交交换机的端口机的端口设置置为信任信任端口,其他端口端口,其他端口为非信任端口,非信任端口,只允只允许转发从信任端口接收到的从信任端口接收到的DHCP响响应报文。文。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全终端终端B B通过发送将终端通过发送将终端A A的的IPIP地址和自己地址和自己MACMAC地址绑定的地址绑定的ARPARP报文,在其他终端和路由报
10、文,在其他终端和路由器的器的ARPARP缓冲器中增添一项缓冲器中增添一项,导致其他终端和路由器将目的,导致其他终端和路由器将目的IPIP地址为地址为IP AIP A的的IPIP分组,全部封装成以分组,全部封装成以MAC BMAC B为目的地址的为目的地址的MACMAC帧。帧。以太网其他安全功能以太网其他安全功能ARP欺欺骗攻攻击过程程信任端口信任端口解决方法基于终端配置通过解决方法基于终端配置通过DHCPDHCP服务器获得;服务器获得;交换机侦听通过信任端口接收交换机侦听通过信任端口接收到的到的DHCPDHCP响应报文,并将响应报响应报文,并将响应报文中作为终端标识符的文中作为终端标识符的MA
11、CMAC地址地址和和DHCPDHCP分配给终端的分配给终端的IPIP地址记录地址记录在在DHCPDHCP配置表中;配置表中;一旦交换机接收到一旦交换机接收到ARPARP报文,根报文,根据据ARPARP报文中给出的报文中给出的IPIP地址和地址和MACMAC地址对匹配地址对匹配DHCPDHCP配置表,如果找配置表,如果找到匹配项,继续转发到匹配项,继续转发ARPARP报文,报文,否则,丢弃否则,丢弃ARPARP报文。报文。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.2 安全路由安全路由n路由器和路由项认证;路由器和路由项认证;n路由
12、项过滤;路由项过滤;n单播反向路径验证。单播反向路径验证。这些功能一是确保只有授权路由器之间才能传输这些功能一是确保只有授权路由器之间才能传输路由消息,且路由器只处理传输过程中未被篡改路由消息,且路由器只处理传输过程中未被篡改的路由消息;二是防止内部网络结构外泄;三是的路由消息;二是防止内部网络结构外泄;三是拒绝黑客终端的源拒绝黑客终端的源IPIP地址欺骗攻击。地址欺骗攻击。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全路由器和路由项认证路由器和路由项认证n黑客终端伪造和黑客终端伪造和LAN4LAN4直接相连的路由项,并通过路由消息将该
13、路由项组直接相连的路由项,并通过路由消息将该路由项组播给路由器播给路由器R1R1、R2R2;n路由器路由器R1R1将通往将通往LAN4LAN4传输路径的下一跳改为黑客终端;传输路径的下一跳改为黑客终端;n所有所有LAN1LAN1中终端发送给中终端发送给LAN4LAN4中终端的中终端的IPIP分组都被错误地转发给黑客终端。分组都被错误地转发给黑客终端。LAN4 1黑客黑客终端端伪造路由造路由项过程程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性;路由器和路由项认证的基本思路是
14、认证发送者和检测路由消息的完整性;n相邻路由器配置共享密钥相邻路由器配置共享密钥K K,路由消息附带消息认证码(,路由消息附带消息认证码(MACMAC),由于计算),由于计算MACMAC需要共享密钥需要共享密钥K K,因此,一旦接收路由器根据密钥,因此,一旦接收路由器根据密钥K K和路由消息计算和路由消息计算MACMAC的结果和路由消息附带的的结果和路由消息附带的MACMAC相同,可以保证发送者具有和自己相同的密相同,可以保证发送者具有和自己相同的密钥钥K K(授权路由器),路由消息传输过程中未被篡改。(授权路由器),路由消息传输过程中未被篡改。发送路由器送路由器接收路由器接收路由器路由器和路
15、由项认证路由器和路由项认证安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全路由项过滤路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。器的透明性。三个网络,其三个网络,其中两个是内部中两个是内部网络。网络。过滤器中的目过滤器中的目的网络包含两的网络包含两个内部网络。个内部网络。路由消息中不包含路由消息中不包含被过滤器屏蔽掉的被过滤
16、器屏蔽掉的两个内部网络。两个内部网络。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全单播反向路径验证单播反向路径验证n单播反向路径验证的目的是丢弃伪造源单播反向路径验证的目的是丢弃伪造源IPIP地址的地址的IPIP分组;分组;n路由器通过检测接收路由器通过检测接收IPIP分组的端口和通往源终端的端口是否相同确分组的端口和通往源终端的端口是否相同确定源定源IPIP地址是否伪造。地址是否伪造。193.1.1.5193.1.1.7193.1.1.5安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机
17、网络安全4.3 虚拟网络虚拟网络n虚拟局域网;虚拟局域网;n虚拟路由器;虚拟路由器;n虚拟专用网络。虚拟专用网络。这里的虚拟是指逻辑上等同于独立局域网、这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络,物理上且和其独立路由器或者专用网络,物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网络或物理路由器的一网络共享同一物理网络或物理路由器的一种技术。种技术。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全虚拟局域网虚拟局域网n同一个以太网是一个广播域,以太网内广播是不可避免同一
18、个以太网是一个广播域,以太网内广播是不可避免的,但广播一是浪费带宽,二是产生安全问题;的,但广播一是浪费带宽,二是产生安全问题;n同一以太网两个终端之间通信不需要经过路由器,而路同一以太网两个终端之间通信不需要经过路由器,而路由器具有比交换机更强的信息传输控制能力;由器具有比交换机更强的信息传输控制能力;n一些黑客攻击手段,如伪造一些黑客攻击手段,如伪造DHCP服务器,服务器,ARP欺骗攻欺骗攻击等,都是针对同一以太网的终端的。击等,都是针对同一以太网的终端的。同一物理以太网同一物理以太网三个功能上完全独立的以太网三个功能上完全独立的以太网安全网络技术安全网络技术安全网络技术安全网络技术计算机
19、网络安全计算机网络安全计算机网络安全计算机网络安全n一般用户终端和服务器不在同一个一般用户终端和服务器不在同一个VLAN,用户终端访问服务器必须经过,用户终端访问服务器必须经过路由器,可以用路由器的信息传输控制功能对用户终端访问服务器过程路由器,可以用路由器的信息传输控制功能对用户终端访问服务器过程进行控制;进行控制;n配置网络设备的终端配置网络设备的终端A和网络设备内嵌的和网络设备内嵌的Web服务器处于同一个服务器处于同一个VLAN,且和其他且和其他VLAN没有任何逻辑联系,是一个孤立的网络,避免其他网络终没有任何逻辑联系,是一个孤立的网络,避免其他网络终端配置网络设备。端配置网络设备。虚拟
20、局域网虚拟局域网物理网物理网络由物理网由物理网络划分成的三个虚划分成的三个虚拟局域网局域网安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全虚拟路由器虚拟路由器n基于安全的原因,有些单位要求连接内部网络资源的办公网基于安全的原因,有些单位要求连接内部网络资源的办公网络和用于访问外部网络资源的网络相互独立;络和用于访问外部网络资源的网络相互独立;n但办公终端和用于访问外部网络资源的终端不是一成不变的,但办公终端和用于访问外部网络资源的终端不是一成不变的,需要经常调整,当然,这种调整最好不要改变网络的物理结需要经常调整,当然,这种调整最好不要改
21、变网络的物理结构。虚拟路由器就用于实现将单一物理网络划分为多个独立构。虚拟路由器就用于实现将单一物理网络划分为多个独立的逻辑网络的功能。的逻辑网络的功能。物理网物理网络两个独立的互两个独立的互连网网安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n将一个物理互连网划分为将一个物理互连网划分为两个独立的互连网;两个独立的互连网;n一个物理路由器成为两个一个物理路由器成为两个独立的逻辑路由器,路由独立的逻辑路由器,路由器的每一个接口可以成为器的每一个接口可以成为逻辑路由器的接口;逻辑路由器的接口;n每一个逻辑路由器具有路每一个逻辑路由器具有路
22、由器全部功能:连接不同由器全部功能:连接不同的网络、运行路由协议、的网络、运行路由协议、建立路由表、转发建立路由表、转发IP分组;分组;n在本例中,进入接口的在本例中,进入接口的IP分组根据封装该分组根据封装该IP分组的分组的MAC帧的帧的VLAN ID确定确定用于转发该用于转发该IP分组的逻辑分组的逻辑路由器;路由器;n任何逻辑路由器只在它所任何逻辑路由器只在它所连接的连接的VLAN间转发间转发IP分分组。组。虚拟路由器虚拟路由器物理网物理网络办公公网网络访问外部外部资源源网网络安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全虚拟专用网
23、络虚拟专用网络n两个两个VPN A(或两个(或两个VPN B)是物理上分隔的属于同一)是物理上分隔的属于同一内部网络的两个子网,分配内部内部网络的两个子网,分配内部IP地址(本地地址(本地IP地址),地址),只在内部网络终端之间交换数据;只在内部网络终端之间交换数据;n这两个子网通过公共传输网络实现互连,但又需要使用这两个子网通过公共传输网络实现互连,但又需要使用本地本地IP地址、具有内部网络传输数据的安全性;地址、具有内部网络传输数据的安全性;n要求要求PE1和和PE2之间为每一个内部网络(之间为每一个内部网络(VPN A或或VPN B)提供类似专用通路的传输路径。)提供类似专用通路的传输路
24、径。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n为建立为建立CE1和和CE3之间、之间、CE2和和CE4之间独立的传输通路,之间独立的传输通路,PE1、PE2都需都需要分解为两个独立虚拟路由器,同时需要单独建立两对虚拟路由器之间的传要分解为两个独立虚拟路由器,同时需要单独建立两对虚拟路由器之间的传输路径,以此对应输路径,以此对应VPN A和和VPN B;n但两对虚拟路由器共享一对但两对虚拟路由器共享一对LSP,因此,经过,因此,经过LSP传输的传输的MPLS帧结构必须帧结构必须携带携带VPN标识符,以此确定接收和发送标识符,以此确定
25、接收和发送MPLS帧的虚拟路由器。帧的虚拟路由器。虚拟专用网络虚拟专用网络安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.4 信息流管制信息流管制n信息流分类;信息流分类;n管制算法;管制算法;n信息流管制抑制拒绝服务攻击机制。信息流管制抑制拒绝服务攻击机制。信息流管制的目的是限制特定信息流的流信息流管制的目的是限制特定信息流的流量,特定信息流是指定源和目的终端之间量,特定信息流是指定源和目的终端之间和某个应用相关的和某个应用相关的IP分组序列,这样的分组序列,这样的IP分组通过源和目的终端地址、源和目的端分组通过源和目的终端地址、源
26、和目的端口号、协议字段值等参数唯一标识。口号、协议字段值等参数唯一标识。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全信息流分类信息流分类分类终端分类终端A用浏览器访问用浏览器访问Web服务器的信息流的标准:服务器的信息流的标准:n源源IP地址地址192.1.1.1&目的目的IP地址地址192.1.3.5;n源端口号源端口号*目的端口号目的端口号80;n协议字段值协议字段值6(TCP)。)。以太网以太网以太网以太网终端端A192.1.1.1/24Web服服务器器192.1.3.5/24安全网络技术安全网络技术安全网络技术安全网络技术计算
27、机网络安全计算机网络安全计算机网络安全计算机网络安全管制算法管制算法n漏斗管制算法保证信息流恒速输出;漏斗管制算法保证信息流恒速输出;n突发性信息流存储在分组输出队列,队列稳定器以指定速率输出分组;突发性信息流存储在分组输出队列,队列稳定器以指定速率输出分组;n如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链路空闲。路空闲。漏斗漏斗漏斗管制算法漏斗管制算法实现过程程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全管制算法管制算法n令牌生成器恒速生成令牌(每秒令牌生
28、成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丢弃后续令牌),但一旦令牌桶溢出,丢弃后续令牌,每一个令牌对应令牌,每一个令牌对应K字节,令牌桶容量为字节,令牌桶容量为U令牌;令牌;n如果分组输出队列头的分组的字节数如果分组输出队列头的分组的字节数(P1)K,则只当令牌桶中包,则只当令牌桶中包含的令牌数含的令牌数P时,才允许输出该分组,并从令牌桶中取走时,才允许输出该分组,并从令牌桶中取走P个令牌,如果个令牌,如果令牌桶中令牌数令牌桶中令牌数P,停止输出,直到令牌桶中令牌数,停止输出,直到令牌桶中令牌数P;n平均输出速率平均输出速率V K/s(单位字节),突发性数据长度(单位字节),突发性数
29、据长度U K(单位字(单位字节)。节)。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全信息流管制抑制拒绝服务攻击机制信息流管制抑制拒绝服务攻击机制为了抑制为了抑制SYN泛洪攻击,在泛洪攻击,在S7、S8、S9连接连接VLAN 1、VLAN 2、VLAN 3端口设置流量管制器:端口设置流量管制器:n目的目的IP地址地址192.1.7.0/24;n协议字段值协议字段值6(TCP)nTCP首部控制标志位值:首部控制标志位值:SYN=1.ACK=0;n速率限制:平均传输速率速率限制:平均传输速率64kbps,突发,突发性数据长度性数据长度800
30、0B。为了抑制为了抑制DDOS攻击,在攻击,在S7、S8、S9连接连接VLAN 1、VLAN 2、VLAN 3端口设置端口设置流量管制器:流量管制器:n目的目的IP地址地址192.1.7.0/24;n协议字段值协议字段值1(ICMP)nICMP类型字段值类型字段值8或或0;n速率限制:平均传输速率速率限制:平均传输速率64kbps,突发性数据长度,突发性数据长度8000B。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.5 网络地址转换网络地址转换n端口地址转换;端口地址转换;n动态动态NAT;n静态静态NAT;nNAT弱安全性。弱安
31、全性。内部网络分配本地地址的终端发送给外部网络的内部网络分配本地地址的终端发送给外部网络的IP分组,分组,在进入外部网络时,源地址需变换成全球在进入外部网络时,源地址需变换成全球IP地址,同样,地址,同样,外部网络终端发送给内部网络终端的外部网络终端发送给内部网络终端的IP分组,在进入内分组,在进入内部网络时,目的部网络时,目的IP地址需变换成本地地址,这个过程称地址需变换成本地地址,这个过程称为网络地址转换(为网络地址转换(NAT)。内部网络的本地地址对外部)。内部网络的本地地址对外部网络是透明的。由于外部网络终端看不到内部网络分配网络是透明的。由于外部网络终端看不到内部网络分配了本地地址的
32、终端,无法发起对内部网络终端的攻击,了本地地址的终端,无法发起对内部网络终端的攻击,因此,因此,NAT具有一定的增强内部网络终端安全性的功能。具有一定的增强内部网络终端安全性的功能。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全端口地址转换端口地址转换n内部网络终端发送的内部网络终端发送的IP分组,进入分组,进入Internet时,以边缘路由器连接时,以边缘路由器连接Internet端口的端口的全球全球IP地址为源地址为源IP地址,为了正确鉴别源终端,用内部网络唯一的源端口号取代地址,为了正确鉴别源终端,用内部网络唯一的源端口号取代IP
33、分组终端唯一的源端口号。分组终端唯一的源端口号。n内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时通过地址转换表建立绑定,会话结束时取消绑定;通过地址转换表建立绑定,会话结束时取消绑定;n端口地址转换技术只能用于端口地址转换技术只能用于IP分组净荷是运输层报文的情况。分组净荷是运输层报文的情况。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全动态动态NATn动态地址转换以会话为单位,会话开始时在全球动态地址转换以会话为单位,会话开始时在全球IP地址
34、池中分配一个未使用的地址池中分配一个未使用的IP地址,并在地址,并在地址转换表中将全球地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定和关联;和关联;nIP分组进入分组进入Internet时,用全球时,用全球IP地址取代本地地址。地址取代本地地址。IP分组进入内部网络时,用本地地址取分组进入内部网络时,用本地地址取代全球代全球IP地址;地址;n动态动态NAT不需改动源端口号,因此,原则可用于不需改动源端口号,因此,原则可用于IP分组净荷不是运输层报文的情况。分组净荷不是运输层报文的情况。安全网络技术安
35、全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全静态静态NATn端口地址转换和动态端口地址转换和动态NAT在建立本地地址和全球在建立本地地址和全球IP地址之间绑定前,内部网络终地址之间绑定前,内部网络终端对外部网络是透明的。而且,建立本地地址和全球端对外部网络是透明的。而且,建立本地地址和全球IP地址之间绑定的操作由内地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网络终端发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,络终端
36、发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,但不允许外部网络终端发起和内部网络终端之间的会话;但不允许外部网络终端发起和内部网络终端之间的会话;n静态静态NAT将建立本地地址和全球将建立本地地址和全球IP地址的固定关联,这样,允许外部网络终端随地址的固定关联,这样,允许外部网络终端随时通过该全球时通过该全球IP地址访问和该全球地址访问和该全球IP地址建立固定关系的本地地址所标识的内部地址建立固定关系的本地地址所标识的内部网络终端。网络终端。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全NAT的弱安全性的弱安全性nNA
37、T弱安全性体现在外部网络终端对内部网络的弱安全性体现在外部网络终端对内部网络的透明性,在建立本地地址和全球透明性,在建立本地地址和全球IP地址之间绑定地址之间绑定之前,外部网络终端无法用全球之前,外部网络终端无法用全球IP地址和内部网地址和内部网络终端进行通信;络终端进行通信;n一旦建立本地地址和全球一旦建立本地地址和全球IP地址之间的绑定,外地址之间的绑定,外部网络终端可以通过全球部网络终端可以通过全球IP地址或者端口号确定地址或者端口号确定内部网络终端,并因此实现和内部网络终端之间内部网络终端,并因此实现和内部网络终端之间的通信,黑客可以通过截获的的通信,黑客可以通过截获的IP分组获得和某
38、个分组获得和某个内部网络终端绑定的全球内部网络终端绑定的全球IP地址或端口号。地址或端口号。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.6 容错网络结构容错网络结构n核心层容错结构;核心层容错结构;n网状容错结构;网状容错结构;n生成树协议;生成树协议;n冗余链路。冗余链路。容错网络是指在发生链路或结点故障的情况下,容错网络是指在发生链路或结点故障的情况下,仍然能够保持网络连通性的网络结构,容错网络仍然能够保持网络连通性的网络结构,容错网络的原旨是提高网络的可靠性,但黑客攻击的目标的原旨是提高网络的可靠性,但黑客攻击的目标就是瘫痪
39、某段链路或某个结点,因此,高可靠性就是瘫痪某段链路或某个结点,因此,高可靠性的容错网络结构也具有较高的安全性。的容错网络结构也具有较高的安全性。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全核心层容错结构核心层容错结构n核心层容错是用两个以核心层容错是用两个以太网互连这些路由器,太网互连这些路由器,因此,只要有一个以太因此,只要有一个以太网保持连通性,就可保网保持连通性,就可保证这些路由器之间的通证这些路由器之间的通信;信;n两个核心层交换机最好两个核心层交换机最好异地放置。异地放置。核心核心层容容错网网络结构构安全网络技术安全网络技术
40、安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全网状容错结构网状容错结构n分组交换,多条端到端传输路径是分组交换网络高可靠分组交换,多条端到端传输路径是分组交换网络高可靠性的保证,也是研发分组交换网络的原因;性的保证,也是研发分组交换网络的原因;n通过监测网络状态和合理选择端到端传输路径,保证端通过监测网络状态和合理选择端到端传输路径,保证端到端传输的可靠性。到端传输的可靠性。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全生成树协议生成树协议n交换机两个端口之间不允许存在两条以上的交换路径,因此,以太网普
41、遍使用树形交换机两个端口之间不允许存在两条以上的交换路径,因此,以太网普遍使用树形结构;结构;n但树形结构的以太网缺少容错性,某段链路发生故障,或是某台交换机发生故障,但树形结构的以太网缺少容错性,某段链路发生故障,或是某台交换机发生故障,都有可能导致一部以太网端口不能和其他以太网端口连通;都有可能导致一部以太网端口不能和其他以太网端口连通;n生成树协议允许交换机端口之间存在环路,但通过阻塞一些端口消除这些环路,一生成树协议允许交换机端口之间存在环路,但通过阻塞一些端口消除这些环路,一旦某段链路发生故障,通过开启阻塞端口,使交换机各个端口之间保持连通。旦某段链路发生故障,通过开启阻塞端口,使交
42、换机各个端口之间保持连通。生成生成树协议通通过阻塞一阻塞一些端口,使网状形的以些端口,使网状形的以太网太网结构,构,变成成树形以形以太网太网结构,消除了端口构,消除了端口之之间的的环路。路。一旦一旦树形以太网形以太网结构中构中的某段的某段链路路发生故障,生故障,导致一部分交致一部分交换机端口机端口无法和其他交无法和其他交换机端口机端口保持保持连通。通。通通过开启一些原开启一些原本阻塞的端口,本阻塞的端口,重新使各个交重新使各个交换机端口之机端口之间保持保持连通。通。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全冗余链路冗余链路n生成树协
43、议可以解决通过冗余链路提高可靠性和保证以太网树形结生成树协议可以解决通过冗余链路提高可靠性和保证以太网树形结构之间的矛盾,但从链路发生故障到重新保持交换机端口之间连通构之间的矛盾,但从链路发生故障到重新保持交换机端口之间连通需要较长的时间,这段时间内,可能导致一些交换机端口之间的连需要较长的时间,这段时间内,可能导致一些交换机端口之间的连通发生问题;通发生问题;n主干链路要求对故障做出快速反应,以保证终端之间的连通,冗余主干链路要求对故障做出快速反应,以保证终端之间的连通,冗余链路技术就是一种对链路故障作出快速反应的技术。链路技术就是一种对链路故障作出快速反应的技术。主主链路路 备用用链路路正常情况下,主正常情况下,主链路工作,路工作,备用用链路路阻塞。阻塞。一旦主一旦主链路路发生故生故障,障,备用用链路立即路立即工作。工作。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改,仅供参考!此课件下载可自行编辑修改,仅供参考!感谢您的支持,我们努力做得更好!谢谢感谢您的支持,我们努力做得更好!谢谢