谈起网络安全,我想大家多多少少也有所了解,所谓的网络安全就是网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。网络安全涉及的范围非常广泛,包括了网络系统的硬件、软件及数据等,下面我们就说一下网络设备上哪些功能能够实现一定的安全。


一、AAA验证:

AAA AuthenticationAuthorization and Accounting(认证、授权和计费)的简

称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,

它是对网络安全的一种管理。它可以用多种协议来实现,在实践中,人们最常使用RADIUS协议来实现AAA。

AAA 可完成认证:验证用户是否可获得访问权;授权:授权用户可使用哪些服务;计费:记录用户使用网络资源的情况等服务。

1. 认证功能

AAA支持以下认证方式:

不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。

本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。

2. 授权功能

AAA支持以下授权方式:

直接授权:对用户非常信任,直接授权通过。

本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。

RADIUS服务包括三个组成部分:

协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。

服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。

客户端:位于拨号访问服务器设备侧,可以遍布整个网络。

AAA及RADIUS/HWTACACS协议配置

RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。

RADIUS服务器通常要维护三个数据库:第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。

RADIUS的基本消息交互流程:RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。

182812709.png

基本交互步骤如下:

(1) 用户输入用户名和口令。

(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。

(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。

(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start。

(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。

(6) 用户开始访问资源。

(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。

(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。

(9) 用户访问资源结束。

AAA验证的配置:

# 配置Telnet用户采用AAA认证方式。

<Quidway> system-view

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme      指明验证模式

# 配置domain。

[Quidway] domain cams                               创建isp域

[Quidway-isp-cams] access-limit enable 10           设置最大连接数

[Quidway-isp-cams] quit

# 配置RADIUS方案。

[Quidway] radius scheme cams                            设置radius方案

[Quidway-radius-cams] accounting optional               审计可选

[Quidway-radius-cams] primary authentication 10.110.91.164 1812 指明验证服务器

[Quidway-radius-cams] key authentication expert         指明域共享密钥

[Quidway-radius-cams] server-type Huawei                指明服务类型

[Quidway-radius-cams] user-name-format with-domain      指明用户名不带域名

[Quidway-radius-cams] quit

# 配置domain和RADIUS的关联。

[Quidway] domain cams                                   关联radius和域

[Quidway-isp-cams] scheme radius-scheme cams

二、ACL(访问控制列表):

为过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据

包不能通过。

一般采用访问控制列表来配置过滤规则,访问控制列表可分为标准访问控制列表和

扩展访问控制列表。

1. 标准访问控制列表

acl acl-number [match-order config | auto ]

rule{ normal |special }{ permit | deny } [source source-addrsource-wildcard |

any ]

2. 扩展访问控制列表

acl acl-number [match-order config | auto ]

rule{ normal |special }{ permit | deny } pro-number [sourcesource-addr

source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination

dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]

[icmp-type icmp-type icmp-code] [logging]

其中“protocol-number”用名字或数字表示的IP 承载的协议类型。数字范围为0

255;名字取值范围为:icmpigmpiptcpudpgreospf

对于“protocol”参数的不同,该命令又有以下形式:

(1) protocol”为ICMP 时的命令格式如下:

rule{ normal |special }{ permit | deny } icmp [source source-addr

source-wildcard | any ] [ destination dest-addr dest-wildcard | any ] [icmp-type

icmp-type icmp-code] [logging]

(2) protocol”为IGMPIPGREOSPF 时的命令格式如下:

rule{ normal |special }{ permit | deny } { ip | ospf | igmp | gre } [source

source-addr source-wildcard | any ] [ destination dest-addr dest-wildcard | any ]

[logging]

(3) protocol”为TCP UDP 时的命令格式如下:

rule{ normal |special }{ permit | deny } { tcp | udp } [source source-addr

source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination

dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]

[logging]

只有TCP UDP 协议需要指定端口范围,支持的操作符及其语法如下:

equalport-number 等于端口号 port-number

greater-thanport-number 大于端口号 port-number

less-thanport-number 小于端口号 port-number

not-equalport-number 不等于端口号 port-number

rangeport-number1

port-number2 介于端口号 port-number1 port-number2 之间

在指定 port-number 时,对于部分常见的端口号,可用相应的助记符来代替其实际


三、NAT地址转换:

网络地址转换(NAT Network AddressTranslation属于接入广域网(WAN)技术,它可以将私有(保留)地址转化为合法IP地址,被广泛应用于Internet的各种类型的接入方式和各种类型的网络。原因是:NAT不仅很好的解决了lP地址不够用的问题,而且还能够有效地避免来自网络外部的***,隐藏并保护网络内部的计算机。


NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和网络地址端口转换NAPT。

静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

网络地址端口转换(Network Address Port Translation,NAPT)是指改变外出数据包源端口并进行端口转换,即端地址转换。采用端口多路复用方式,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的***。因此,目前网络中应用最多的就是端口多路复用方式。


四、vlan划分

VLAN Virtual Local AreaNetwork 即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的IEEE 802.1Q 协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域或称虚拟LAN 即VLAN, 每一个VLAN 都包含一组有着相同需求的计算机工作站与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里即这些工作站不一定属于同一个物理LAN 网段。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中,从而有助于控制流量减少设备投资简化网络管理提高网络的安全性。由于vlan能够隔离广播,从而使不同vlan间不能通信,所以具备了一定的安全性。

五、端口隔离

通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。

六、Ipsec

IPSec (InternetProtocol Security)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。它是由IETF(Internet Engineering Task Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、抗重播、加密以及对数据流分类加密等服务。

IPSec 是网络层的安全机制。通过端对端的网络层包信息的保护的安全性来提供主动的保护以防止专用网络与 Internet 的***。在上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。

Ipsec的安全特性:

1.不可否人性 :"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。

2.抗重播性 :ipsec的接收端在接受到数据包的时候,会检测数据包的数据段的序列号(Sequence Number)从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包。利用该序列号来验证数据包的唯一性并拒绝接受已经过时或者重复发送的数据报文,以防止***者截获破译信息后,再用相同的信息包冒取非法的访问权(即使这种冒取行为发生在数月之后)。

3.数据完整性 : ipsec接收端利用MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等hash算法对来自对方发送的数据包进行验证,防止数据包在传输过程中被人篡改,从而确保数据的完整性和一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。

4.数据可靠性(加密):ipsec发送方在传输前通过DES、3DES、AES对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。

5.数据来源认证 :IPsec在接收端通过pre-shared -key(域共享密钥、证书、kerberos v5等来认证发送IPsec报文的发送端是否合法,从而实现数据来源的认证。

Ipsec的两种安全协议:

1.AH协议(AuthenticationHeader,认证头,IP协议号为51,使用较少)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。

2.ESP协议(EncapsulatedSecurity Payload,封装安全载荷,IP协议号为50,使用较广)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。

Ipsec的两种工作模式:

1.隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

2.传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯 。

tunnel和transport模式下的数据封装形式,data为传输层数据

182856983.png


182900410.png



加密算法与验证算法:

1.验证算法

AH 和ESP 都能够对IP 报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。一般来说IPSec 使用两种验证算法:

MD5:MD5 输入任意长度的消息,产生128bit 的消息摘要。

SHA-1:SHA-1 输入长度小于2 的64 次方比特的消息,产生160bit的消息摘要。SHA-1 的摘要长于MD5,因而是更安全的。

2.加密算法

ESP 能够对IP 报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。

StoneOS 实现了三种加密算法:

DES(DataEncryption Standard):使用56bit 的密钥对每个64bit 的明文块进行加密。

3DES(Triple DES):使用三个56bit 的DES 密钥(共168bit密钥)对明文进行加密。

AES(AdvancedEncryption Standard):StoneOS 实现了128bit、192bit 和256bit密钥长度的AES 算法。

Ipsec的基本配置:

创建加密访问控制列表

acl acl-number

rule { normal | special }{permit | deny } pro-number[source source-addr source-wildcard | any][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard| any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-typeicmp-code][logging]

定义安全提议 ipsecproposal proposal-name

设置安全协议对 IP 报文的封装模式encapsulation-mode { transport | tunnel }

选择安全协议transform{ ah-new | ah-esp-new | esp-new }

选择加密算法与认证算法

Esp协议下 transform{ ah-new | ah-esp-new | esp-new }

AH协议下  transform { ah-new | ah-esp-new | esp-new }

创建安全策略

手工创建安全策略的配置包括:

手工创建安全策略ipsecpolicy policy-name sequence-number manual

配置安全策略引用的访问控制列表 security aclaccess-list-number

指定安全隧道的起点与终点tunnel local ip-address                                                                     tunnel remote ip-address

配置安全策略中引用的安全提议 proposal proposal-name

配置安全策略联盟的 SPI及使用的密钥

SPI的配置

sa inbound { ah | esp } spispi-number

sa outbound { ah | esp } spispi-number

密钥的配置

AH16进制密钥   sa { inbound | outbound } ah hex-key-stringhex-key

AH 字符密钥     sa { inbound | outbound } ah string-keystring-key

ESP16进制密钥  sa { inbound | outbound } esp encryption-hexhex-key

ESP字符密钥    sa { inbound | outbound } esp string-keystring-key

在接口上应用安全策略组  ipsecpolicy policy-name

IKE 创建安全策略联盟的配置包括:

用 IKE 创建安全策略联盟

     ipsec policy policy-name sequence-numberisakmp

配置安全策略引用的访问控制列表

     security acl access-list-number

指定安全隧道的终点

      tunnel remote ip-address

配置安全策略中引用的安全提议

     proposal proposal-name1 [proposal-name2...proposal-name6 ]

配置安全联盟的生存时间(可选)

配置全局时间

    ipsec sa global-duration time-basedseconds

       ipsec sa global-duration traffic-basedkilobytes

配置独立时间

    sa duration { time-based seconds|traffic-based kilobytes }


除此以上之外,mac地址绑定也能够实现一定的安全性。