《《网络工程规划与设计》第六章.ppt》由会员分享,可在线阅读,更多相关《《网络工程规划与设计》第六章.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第6章章 网络安全设计网络安全设计 【本章要点】通过本章学习,读者应了解网络威胁与对策,服务器威胁与对策,802.1x+RADIUS的应用,以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制,基于RADIUS的认证计费,防止IP地址盗用的技术,网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。6.1网络安全设计的原则1.网络信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原则5.技术与管理相结合原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则6.2网络安全威胁与防
2、范 网络安全历来都是人们讨论的主要话题之一。网络安全历来都是人们讨论的主要话题之一。网络安全不但要求防治网络病毒,而且要提高网网络安全不但要求防治网络病毒,而且要提高网络系统抵抗外来非法入侵的能力,还要提高对远络系统抵抗外来非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法程数据传输的保密性,避免在传输途中遭受非法窃取。下面从威胁、对策、缺陷、攻击的角度来窃取。下面从威胁、对策、缺陷、攻击的角度来分析网络系统安全。分析网络系统安全。6.2.1网络威协与防范1.信息收集2.探查3.欺骗4.会话劫持5.拒绝服务服务器的主要威胁与对策有以下种。服务器的主要威胁与对策有以下种。1.
3、病毒、蠕虫和特洛伊木马2.破解密码3.拒绝服务与分布式拒绝服务4.任意执行代码5.未授权访问6.足迹7.应用程序威胁与对策6.2.2服务器威胁与防范表表6-1应用程序的主要威胁应用程序的主要威胁根据应用程序缺陷划分的威胁类别列表类别威胁输入验证缓冲区溢出,跨站点脚本编写,SQL 注入,标准化身份验证网络窃听,强力攻击,词典攻击,重放 cookie,盗窃凭据授权提高特权,泄漏机密数据,篡改数据,引诱攻击配置管理未经授权访问管理接口,未经授权访问配置存储器,检索明文配置数据,缺乏个人可记账性,越权进程和服务账户敏感数据访问存储器中的敏感数据;窃听网络;篡改数据会话管理会话劫持;会话重放;中间人加密
4、技术密钥生成或密钥管理差;脆弱的或者自定义的加密术参数操作查询字符串操作;窗体字段操作;cookie 操作;HTTP 标头操作异常管理信息泄漏;拒绝服务1.身份验证2.边界安全3.数据私密性4.安全监控5.策略管理6.2.3常用网络安全技术常用网络安全技术6.2.4安全事件响应小组1.制定事件响应计划的前期准备(1)建立事件响应小组和明确小组成员(2)明确事件响应目标(3)准备事件响应过程中所需要的工具软件系统及数据的备份和恢复软件。系统镜像软件。文件监控及比较软件。各类日志文件分析软件。网络分析及嗅探软件。网络扫描工具软件。网络追捕软件。文件捆绑分析及分离软件,二进制文件分析软件,进程监控软
5、件。如有可能,还可以准备一些反弹木马软件。6.3.1 802.1x协议及工作机制6.3网络安全接入与认证网络安全接入与认证图6.1 802.1x协议的核心内容图6.2 802.1x协议的体系结构6.3.2 RADIUS的认证 RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。基本交互步骤如下:(1)用户输入用户名和口令;(2)RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(access-request)。(3)RADIUS服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept
6、)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。(4)RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS 客户端向radius 服务器发送计费开始请求包(accounting-request),status-type 取值为start;(5)RADIUS服务器返回计费开始响应包(accounting-response);6.3.2 RADIUS的认证(6)RADIUS客户端向RADIUS服务器发送计费停止请求包(accounting-request),status-type 取值为stop;(7)RADIUS服务器返回计
7、费结束响应包(accounting-response)。参见图6.3。图6.3 RADIUS服务器返回计费结束响应包8021x协议认证过程是用户与服务器交互的过程,其认证步骤如下。(1)用户开机后,通过8021x客户端软件发起请求,查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包,就会向客户端发送响应包,并要求用户提供合法的身份标识,如用户名及其密码。(2)客户端收到验证设备的响应后,提供身份标识给验证设备。由于此时客户端还未经过验证,因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器,进行认证。(3)如果认证通过,则
8、认证系统的受控逻辑端口打开。(4)客户端软件发起DHCP请求,经认证设备转发到DHCPServer。6.3.3 802.1x的认证的认证(5)DHCPServer为用户分配IP地址。(6)DHCPServer分配的地址信息返回给认证系统,认证系统记录用户的相关信息,如MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。(7)当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。(8)如果用户退出网络,可以通过客户端软件发起退出过程,认证设备检测到该数据包后,会通知AAA服务器停止计费,并删除用户的相关信息(如物理地址和IP地址),受控逻辑端口关闭;用户
9、进入再认证状态。(9)验证设备通过定期的检测保证链路的激活。如果用户异常死机,则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。6.3.3 802.1x的认证的认证nPPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在用户主机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在用户主机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率很低。nWebDHCP采用
10、旁路方式网络架构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。6.3.4 认证方式比较认证方式比较6.3.5802.1x+RADIUS的应用案例 锐捷802.1x的安全接入交换机和RADIUS认证计费系统,具有以下应用特点。(1)一次同时认证用户名、IP、MAC。在802.1x认证时,客户端同时提交用户名、IP、MAC,一次认证即同时完成用户名、IP、MAC三者的认证。(2)分布式认证方式,防止出现单一故障点。(3)认证流和业务流实
11、现分离,实现高效的认证,防止出现用户无法认证的情况。(4)灵活扩展计费功能。1.系统服务包和安全补丁2.使用安全系数高的密码3.做好边界防护4.关闭没有使用的服务5.使用数据加密6.通过备份保护你的数据7.加密敏感通信8.不要信任外部网络9.使用不间断电源支持6.4 操作系统安全设计1.利用 Win2000 的安全配置工具来配置策略2关闭不必要的服务3关闭不必要的端口4打开审核策略5.整理和收集日志文件信息6开启帐户策略7设定安全记录的访问权限8把敏感文件存放在另外的文件服务器中9.不让系统显示上次登陆的用户名10.禁止建立空连接11.到微软网站下载最新的补丁程序服务器的安全和配置的中级策略
12、1.关闭DirectDraw2.关闭默认共享3.禁止Dump file的产生 4.使用文件加密系统EFS 5.加密 Temp 文件夹6.锁住注册表 7.关机时清除掉页面文件8.禁止从软盘和 CD Rom 启动系统 10.考虑使用IPSec9.考虑使用智能卡来代替密码服务器安全的最后配置策略阶段服务器安全的最后配置策略阶段6.5 WEB服务器安全设计1.对内部和外部应用分别使用单独的服务器 2.使用单独的开发服务器测试和调试应用软件 3.审查网站活动,安全存储日志 4.培训开发者进行可靠的安全编码 6.使用应用软件扫描 5.给操作系统和Web服务器打补丁 6.6网络边界安全设计n6.6.1防火墙
13、和路由器n网络边界防御需要添加一些安全设备来保护进入网络的每个访问。这些安全设备要么阻塞、要么筛选网络流量来限制网络活动。或者仅仅允许一些固定的网络地址在固定的端口上可以通过网管员的网络边界。n这些边界安全设备叫防火墙。防火墙阻止试图对组织内部网络进行扫描,阻止企图闯入网络的活动,防止外部进行拒绝服务攻击,禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。1.防火墙是网络安全的屏障2.防火墙可以强化网络安全策略 3.对网络存取和访问进行监控审计4.防止内部信息的外泄6.6.
14、1防火墙和路由器防火墙和路由器6.6.2使用网络使用网络DMZ图6.4 网络结构图图6.5 DMZ网络结构6.6.3 ACL1.ACL的作用2.ACL的分类 3.ACL的配置 4.ACL配置实例ACL的操作的操作1.ACL的执行过程2.设置ACL的位置图6.6 ACL设置6.6.4扩展ACL的应用1.利用标准ACL控制网络访问2.利用扩展ACL控制网络访问3.基于端口和VLAN的ACL访问控制综合练习六综合练习六1.画图描述画图描述802.1x协议及工作机制。协议及工作机制。2.画图描述基于画图描述基于RADIUS的认证计费。的认证计费。3.简述简述ACL的作用及应用。的作用及应用。实训六实训
15、六 加固操作系统的安全加固操作系统的安全1.加固操作系统的安全(1)实训目的:了解Windows 2000 Server系统弱点和漏洞,掌握加固操作系统安全技术。(2)实训资源:工具和准备工作:安装与配置好的Windows 2000 Server服务器。连接中国教育和科研安全网站http:/,下载Windows 2000 Server中文版SP4和其他安全补丁。(3)实训内容:安装SP4系统服务包和安全补丁,限制用户权限,设置NTFS权限保护文件和目录,删除或禁用不必要的组件和服务,设置日志和审核,文件系统加密。(4)实训步骤:实训结束后写出实训总结报告。2.使用访问控制列表建立防火墙(1)实
16、训目的:了解路由器的访问控制列表配置与使用过程,会运用标准、扩展访问控制列表建立基于路由器的防火墙,保护网络边界。(2)实训资源、工具和准备工作:Catalyst2621路由器2台,Windows2000客户机2台,Windows2000S erver IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条,交叉线(一端568A,另一端568B)一条。网络连接参考和子网地址分配可参考图6.7。(3)实训内容:设置图中各台路由器名称、IP地址、一般用户口令、静态路由,保存配置文件。安装与配置IIS服务器,设置WWW服务器的IP地址。安装和配置客户机,设置客户机的IP地址。分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。(4)实训步骤:配置路由器名称、IP地址、一般用户口令、特权用户口令、静态路由,保存配置文件。安装与配置IIS服务器,设置WWW服务器的IP地址。安装与配置客户机,设置客户机的IP地址。路由器设置扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网Web服务80端口。