S000 0006 网络安全概论(中文版 V1.0).ppt

网络安全概论 华为网络技术认证培训中心 网络安全概述 网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义： 保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全 网络安全技术的完善和更新 网络安全关注的范围 常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制 保证内部网络的隐蔽性 有效的防伪手段，重要的数据重点保护 对网络设备、网络拓扑的安全管理 病毒防范 提高安全防范意识 网络安全的必要技术 针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性： 可靠性和线路安全 身份认证 访问控制 信息隐藏 数据加密和防伪 安全管理 可靠 性和线路安全 可靠性要求主要针对于故障恢复和负载能力 主备运行：主接口故障时，备份接口自动接替主用接口的工作 负载分担：网络流量增大时，备份链路承担部分主用链路的工作 线路安全指的是线路本身的安全性 防止非法用户利用线路接口进行访问 身份认证 访问路由器时的身份认证 Console口配置 Telnet登陆配置 SNMP配置 Modem远程配置 对其它路由的身份认证 直接相连的邻居路由器 逻辑连接的对等体 路由信息的身份认证 防止伪造路由信息的侵入 访问控制 对网络设备的访问控制 分级保护 不同级别的用户拥有不同的操作权限 基于五元组的访问控制 根据数据包信息进行数据分类 不同的数据流采用不同的策略 基于用户的访问控制 对于接入服务用户，设定特定的过滤属性 信息隐藏 地址转换 隐藏私网内部地址 仅仅是内部用户可以直接发起建立连接请求 应用场合 内部局域网访问Internet 数据加密和防伪 数据加密 利用公网传输数据不可避免的面临数据窃听的问题 传输之前进行数据加密，保证只有与之通信的对端能够解密 数据防伪 报文在传输过程中，被截获、修改，重新投放到网络上 接受端进行数据识别，丢弃被修改的报文 相关技术 数据加密 数字签名 IPSec 安全管理 保证重要的网络设备处于安全的运行环境，防止人为破坏 保护好访问口令、密码等重要的安全信息 进行安全策略管理，有效利用安全策略 在网络出入口实现报文审计和过滤，提供网络运行的必要信息 Quidway路由器的安全技术 AAA（Authentication，Authorization，Accounting）网络安全服务 提供一个实现身份认证的主框架 提供验证、授权、记帐服务 使用RADIUS等协议实现对网络的访问控制 Quidway路由器的安全技术（续） 包过滤技术 提供访问控制的基本框架 提供基于IP地址等信息的包过滤 提供基于接口的包过滤 提供基于时间段的包过滤 Quidway路由器的安全技术（续） 地址转换技术 地址转换技术提供内部用户透明访问外部网络的功能 有效屏蔽内部网络的地址，禁止外部主机直接访问内部网络 实现内部主机的隐藏 Quidway路由器的安全技术（续） IPSec和IKE技术 IPSec（IP Security）可以实现数据的加密以及防伪，可以使在不安全的线路上传输加密信息，形成“安全的隧道”。可以为用户在Internet上提供安全的VPN解决方案。 IKE（密钥交换协议）为通信双方提供交换密钥等服务，IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接传送密钥，而是通过一系列交换信息计算密钥。 Quidway路由器的安全技术（续） 隧道技术 隧道技术是实现VPN的核心技术 二层隧道技术主要有VPDN，主要用来提供拨号接入服务 三层隧道技术主要有GRE，主要用来使用户在Internet上构建自己的虚拟专网 安全接入Internet 基于接口的包过滤 基于时间段定义过滤规则 通过地址转换灵活访问Internet 外部不能直接访问内部网络 可以通过地址转换向外提供WWW、FTP等服务器 组建安全的VPN 出差员工通过当地的ISP接入到Internet，进而接入公司总部 办事处及分支机构通过GRE和IPSec实现与总部间的互联，数据采取加密传输 * * POP POP POP POP 总部 办事处 客户 分公司 隧道 Internet骨干 专线 VPN Server PSTN/ISDN 二层隧道示意图 三层隧道示意图 内部服务器 日志主机 通过地址 转换映射 PSTN RADIUS服务器 合作伙伴 重要客户 公司总部 Quidway A8010 Quidway VPN网关 Quidway VPN网关