《网络工程规划与设计》第六章-2017年11月.ppt

第6章 网络安全设计 【本章要点】 通过本章学习，读者应了解网络威胁与对策，服务器威胁与对策，802.1x+RADIUS的应用，以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制，基于RADIUS的认证计费，防止IP地址盗用的技术，网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法，标准访问列表和扩展访问列表的应用。 6.1网络安全设计的原则 1.网络信息安全的木桶原则 2.网络信息安全的整体性原则 3.安全性评价与平衡原则 4.标准化与一致性原则 5.技术与管理相结合原则 6.统筹规划，分步实施原则 7.等级性原则 8.动态发展原则 9.易操作性原则 6.2网络安全威胁与防范 网络安全历来都是人们讨论的主要话题之一。网络安全不但要求防治网络病毒，而且要提高网络系统抵抗外来非法入侵的能力，还要提高对远程数据传输的必威体育官网网址性，避免在传输途中遭受非法窃取。下面从威胁、对策、缺陷、攻击的角度来分析网络系统安全。 6.2.1网络威协与防范 1.信息收集 2.探查 3.欺骗 4.会话劫持 5.拒绝服务 6.2.2服务器威胁与防范 服务器的主要威胁与对策有以下种。 1. 病毒、蠕虫和特洛伊木马 2.破解密码 3.拒绝服务与分布式拒绝服务 4.任意执行代码 5.未授权访问 6. 足迹 7.应用程序威胁与对策 表6-1应用程序的主要威胁 6.2.3常用网络安全技术 1.身份验证 2.边界安全 3.数据私密性 4.安全监控 5.策略管理 6.2.4安全事件响应小组 1.制定事件响应计划的前期准备 （1）建立事件响应小组和明确小组成员 （2）明确事件响应目标 （3）准备事件响应过程中所需要的工具软件 ①系统及数据的备份和恢复软件。 ②系统镜像软件。 ③文件监控及比较软件。 ④各类日志文件分析软件。 ⑤网络分析及嗅探软件。 ⑥网络扫描工具软件。 ⑦网络追捕软件。 ⑧文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。 ⑨如有可能，还可以准备一些反弹木马软件。 6.3网络安全接入与认证 6.3.1 802.1x协议及工作机制 6.3.2 RADIUS的认证 RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。 基本交互步骤如下： （1） 用户输入用户名和口令； （2） RADIUS客户端根据获取的用户名和口令，向RADIUS服务器发送认证请求包（access-request）。 （3） RADIUS服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。 （4） RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则RADIUS 客户端向radius 服务器发送计费开始请求包（accounting-request），status-type 取值为start； （5） RADIUS服务器返回计费开始响应包（accounting-response）； 6.3.2 RADIUS的认证 （6） RADIUS客户端向RADIUS服务器发送计费停止请求包（accounting-request），status-type 取值为stop； （7） RADIUS服务器返回计费结束响应包（accounting-response）。参见图6.3。 6.3.3 802.1x的认证 802．1x协议认证过程是用户与服务器交互的过程，其认证步骤如下。 （1）用户开机后，通过802．1x客户端软件发起请求，查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。 （2）客户端收到验证设备的响应后，提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证。 （3）如果认证通过，则认证系统的受控逻辑端口打开。 （4）客户端软件发起DHCP请求，经认证设备转发到DHCPServer。 6.3.3 802.1x的认证 （5）DHCPServer为用户分配IP地址。 （6）DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。 （7）当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。 （8）如果用户退出网络，可以通过客户端软件发起退出过程，认证设备检测到该数据包后，会通知AAA服