[精选]华为网络设备的安全性14021.pptx

《[精选]华为网络设备的安全性14021.pptx》由会员分享，可在线阅读，更多相关《[精选]华为网络设备的安全性14021.pptx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为3Com培训中心华为华为华为华为3Com3Com公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播HM-043 HM-043 网络安全特性网络安全特性网络安全特性网络安全特性ISSUE 4.0ISSUE 4.0学习目标学习目标学习目标学习目标l了解安全特性的基本内容了解安全特性的基本内容l明确明确AAA服务的具体内容服务的具体内容l掌握掌握RADIUS协议的基本原理和配置协议的基本原理和配置学习完本课程，您应该能够：学习完本课程，您应该能够：2课程内容课程内容课程内容课程内容第一章第一章 安全特性

2、概述安全特性概述第二章第二章 AAA第三章第三章 RADIUS3网络安全概述网络安全概述网络安全概述网络安全概述l网络安全是Internet必须面对的一个实际问题l网络安全是一个综合性的技术l网络安全具有两层含义：保证内部局域网的安全（不被非法侵入）保护和外部进行数据交换的安全l网络安全技术的完善和更新4网络安全关注的范围网络安全关注的范围网络安全关注的范围网络安全关注的范围l常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范

3、意识5网络安全的必要技术网络安全的必要技术网络安全的必要技术网络安全的必要技术l针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性：可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理6可靠可靠可靠可靠 性和线路安全性和线路安全性和线路安全性和线路安全l可靠性要求主要针对于故障恢复和负载能力主备运行：主接口故障时，备份接口自动接替主用接口的工作负载分担：网络流量增大时，备份链路承担部分主用链路的工作l线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问7身份认证身份认证身份认证身份认证l访问路由器时的身份认证Console口配置Telnet登陆配置SNMP配置Mod

4、em远程配置l对其它路由的身份认证直接相连的邻居路由器逻辑连接的对等体l路由信息的身份认证防止伪造路由信息的侵入8访问控制访问控制访问控制访问控制l对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限l基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略l基于用户的访问控制对于接入服务用户，设定特定的过滤属性9信息隐藏信息隐藏信息隐藏信息隐藏l地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求l应用场合内部局域网访问Internet10数据加密和防伪数据加密和防伪数据加密和防伪数据加密和防伪l数据加密利用公网传输数据不可避免的面临数据窃听的问题传输之前进

5、行数据加密，保证只有与之通信的对端能够解密l数据防伪报文在传输过程中，被截获、修改，重新投放到网络上接受端进行数据识别，丢弃被修改的报文l相关技术数据加密数字签名IPSec11安全管理安全管理安全管理安全管理l保证重要的网络设备处于安全的运行环境，防止人为破坏l保护好访问口令、密码等重要的安全信息l进行安全策略管理，有效利用安全策略l在网络出入口实现报文审计和过滤，提供网络运行的必要信息12QuidwayQuidway路由器的安全技术路由器的安全技术路由器的安全技术路由器的安全技术lAAA（Authentication，Authorization，Accounting）网络安全服务提供一个实现

6、身份认证的主框架提供验证、授权、记帐服务使用RADIUS等协议实现对网络的访问控制13QuidwayQuidway路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）l包过滤技术提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤14QuidwayQuidway路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）l地址转换技术地址转换技术提供内部用户透明访问外部网络的功能有效屏蔽内部网络的地址，禁止外部主机直接访问内部网络实现内部主机的隐藏15QuidwayQuidway路由器的安

7、全技术（续）路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）lIPSec和IKE技术IPSec（IP Security）可以实现数据的加密以及防伪，可以使在不安全的线路上传输加密信息，形成“安全的隧道”。可以为用户在Internet上提供安全的VPN解决方案。IKE（密钥交换协议）为通信双方提供交换密钥等服务，IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥，而是通过一系列交换信息计算密钥。16QuidwayQuidway路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续）路由器的安全技术（续

8、）l隧道技术隧道技术是实现VPN的核心技术二层隧道技术主要有VPDN，主要用来提供拨号接入服务三层隧道技术主要有GRE，主要用来使用户在Internet上构建自己的虚拟专网POPPOPPOPPOP总部办事处客户分公司隧道Internet骨干专线VPNServerPSTN/ISDN二层隧道示意图三层隧道示意图17安全接入安全接入安全接入安全接入InternetInternet内部服务器日志主机通过地址转换映射18组建安全的组建安全的组建安全的组建安全的VPNVPNl出差员工通过当地的ISP接入到Internet，进而接入公司总部l办事处及分支机构通过GRE和IPSec实现与总部间的互联，数据采取

9、加密传输PSTNRADIUS服务器合作伙伴重要客户公司总部Quidway A8010Quidway VPN网关Quidway VPN网关19课程内容课程内容课程内容课程内容第一章第一章 安全特性概述安全特性概述第二章第二章 AAA第三章第三章 RADIUS20AAAAAA概述概述概述概述l验证（Authentication）l授权（Authorization）l计费（Accounting）Quidway Series RouterQuidway Series RouterAAA Server本地实现AAA使用服务器实现AAA21提供提供提供提供AAAAAA支持的服务支持的服务支持的服务支持的服

10、务Quidway Series RouterQuidway Series RouterQuidway Series RouterEXEC远程设备FTP ClientPPP22验证与授权验证与授权验证与授权验证与授权验 证授 权用户名、口令验证PPP的CHAP验证主叫号码认证服务类型回呼号码隧道属性23计费及计费及计费及计费及AAAAAA使用特别提醒使用特别提醒使用特别提醒使用特别提醒l记录用户使用资源 情况l只能使用AAA服务器进行计费l对于进行了验证的用户缺省都要进行计费l如果不希望计费一定钥配置如下命令：aaa accounting-scheme optional 24AAAAAA基本配置

11、命令基本配置命令基本配置命令基本配置命令l配置命令aaa-enable aaa accounting-scheme optional aaa authentication-scheme login default|methods-list method1 method2.aaa authentication-scheme ppp default|methods-list method1 method2.l方法表5种有效组合：radius、local、none、radius local、radius none25本地用户数据库本地用户数据库本地用户数据库本地用户数据库本地用户数据库用户名用户口令

12、授权服务主叫号码回呼号码FTP授权目录相关命令Local-userDisplay aaa user用 户 数 据26AAAAAA配置举例配置举例配置举例配置举例l启动AAAQuidway aaa-enable l配置PPP用户的缺省验证方法表Quidway aaa authentication-scheme login default locall配置不计费时仍然允许用户访问Quidway aaa accounting-scheme optional l将缺省方发表应用到封装了PPP的接口Quidway-Serial0ppp authentication-mode pap scheme def

13、ault 27调试和监控信息调试和监控信息调试和监控信息调试和监控信息l显示在线用户display aaa user l原语调试信息，观察AAA请求与结果debugging radius primitive l事件调试信息，观察AAA过程debugging radius event 28RADIUSRADIUS概述概述概述概述lRADIUS(Remote Authentication Dial-in User Service)是当前流行的安全服务器协议l实 现 AAA（授 权 Authorization、验 证 Authentication和 计 费Accounting）功能29RADIUSR

14、ADIUS实现实现实现实现AAAAAA的流程的流程的流程的流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网Quidway Series RouterAAA Server30RADIUSRADIUS结构及基本原理结构及基本原理结构及基本原理结构及基本原理lRADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议lRADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密lRADIUS包机构灵活，扩展性好各属性类型长度值类型码ID长度验证字31RADIUSRADIUS验证与授权验证与授权验

15、证与授权验证与授权l验证、授权过程如下：路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证：合法用户返回访问接受包（用户授权信息）非法用户返回访问拒绝包路由器接受服务器的响应包：访问接受包允许上网，使用其授权信息对用户进行处理访问拒绝包拒绝用户上网请求32l每次计费过程包括计费请求、计费应答l对一个用户的计费过程有：l计费信息：l计费失败处理RADIUSRADIUS计费计费计费计费计费开始实时计费计费结束会话时长输入字节数输出字节数输入包数输出包数33RADIUSRADIUS用户管理用户管理用户管理用户管理lRADIUS协议为标准协议，遵循RADIUS协议的所有

16、服务器可以互通l用户管理放置在RADIUS服务器端进行，有相应的管理软件l用户可以灵活选用RUDIUS服务器及用户管理软件34RADIUSRADIUS基本配置基本配置基本配置基本配置l配置RADIUS服务器radius server hostname|ip-address authentication-port port-number accouting-port port-number radius shared-key string l配置重传参数radius-server retransmitradius-server timeoutl配置实时计费radius-server realti

17、me-acct-timeout35RADIUSRADIUS配置举例配置举例配置举例配置举例l启用AAAQuidway aaa-enablel配置PPP用户的缺省验证方发表Quidway aaa authentication-scheme login default radius locall配置RADIUS服务器IP地址和端口，使用默认端口号Quidway radius server 129.7.66.68Quidway radius server 129.7.66.66 accouting-port 0Quidway radius server 129.7.66.67 authenticat

18、ion-port 036RADIUSRADIUS配置举例（续）配置举例（续）配置举例（续）配置举例（续）l配置RADIUS服务器密钥、重传次数、超时定时器Quidway radius shared-key this-is-my-secretQuidway radius retry 2Quidway radius timer response-timeout 5l将缺省方发表应用到封装了PPP的接口Quidway-Serial0ppp authentication-mode pap scheme default37RADIUSRADIUS包调试信息包调试信息包调试信息包调试信息l协议报文调试信息

19、开关debugging radius packetl帮助诊断RADIUS故障l观察发送、接受数据包的情况及整个RADIUS包的内容38本章总结本章总结本章总结本章总结l安全特性概述lAAA服务lRADIUS服务器39华为3Com技术有限公司40l9、静夜四无邻，荒居旧业贫。5月-235月-23Monday,May 15,2023l10、雨中黄叶树，灯下白头人。14:04:3614:04:3614:045/15/2023 2:04:36 PMl11、以我独沈久，愧君相见频。5月-2314:04:3614:04May-2315-May-23l12、故人江海别，几度隔山川。14:04:3614:04

20、:3614:04Monday,May 15,2023l13、乍见翻疑梦，相悲各问年。5月-235月-2314:04:3614:04:36May 15,2023l14、他乡生白发，旧国见青山。15 五月 20232:04:36 下午14:04:365月-23l15、比不了得就不比，得不到的就不要。五月 232:04 下午5月-2314:04May 15,2023l16、行动出成果，工作出财富。2023/5/15 14:04:3614:04:3615 May 2023l17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。2:04:36 下午2:04 下午14:04:365月-2

21、3l9、没有失败，只有暂时停止成功！。5月-235月-23Monday,May 15,2023l10、很多事情努力了未必有结果，但是不努力却什么改变也没有。14:04:3614:04:3614:045/15/2023 2:04:36 PMl11、成功就是日复一日那一点点小小努力的积累。5月-2314:04:3614:04May-2315-May-23l12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。14:04:3614:04:3614:04Monday,May 15,2023l13、不知香积寺，数里入云峰。5月-235月-2314:04:3614:04:36May 15,2023l1

22、4、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20232:04:36 下午14:04:365月-23l15、楚塞三湘接，荆门九派通。五月 232:04 下午5月-2314:04May 15,2023l16、少年十五二十时，步行夺得胡马骑。2023/5/15 14:04:3614:04:3615 May 2023l17、空山新雨后，天气晚来秋。2:04:36 下午2:04 下午14:04:365月-23l9、杨柳散和风，青山澹吾虑。5月-235月-23Monday,May 15,2023l10、阅读一切好书如同和过去最杰出的人谈话。14:04:3614:04:3614:045/

23、15/2023 2:04:36 PMl11、越是没有本领的就越加自命不凡。5月-2314:04:3614:04May-2315-May-23l12、越是无能的人，越喜欢挑剔别人的错儿。14:04:3614:04:3614:04Monday,May 15,2023l13、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2314:04:3614:04:36May 15,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20232:04:36 下午14:04:365月-23l15、最具挑战性的挑战莫过于提升自我。五月 232:04 下午5月-2314:04May

24、15,2023l16、业余生活要有意义，不要越轨。2023/5/15 14:04:3614:04:3615 May 2023l17、一个人即使已登上顶峰，也仍要自强不息。2:04:36 下午2:04 下午14:04:365月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉