以太网,安全协议.doc

以太网,安全协议 篇一：以太网安全相应技术 以太网安全技术白皮书 以太网安全技术白皮书 摘要 本文详细介绍了Quidway系列以太网交换机所应用的安全技术，包括访问控制、802.1X网络访问控制、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等，并探讨了Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点，给出了在企业网应用中的实际解决方案。 关键词 以太网安全，web认证，802.1X网络访问控制 1 概述 随着以太网应用的日益普及，尤其是在一些大中型企业网的应用，以太网安全成为日益迫切的需求。一方面以太网交换机作为企业内部网络之间通讯的关键设备，有必要在企业网内部提供充分的安全保护功能。另一方面用户只要能接入以太网交换机，就可以访问Internet网上的设备或资源，使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括：访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将对其原理与技术实现作介绍。 2 安全交换机的设计原则 针对以太网存在的各种安全隐患，安全交换机必须具有如下的安全特性： ? 访问控制 ? 用户验证 ? 防地址假冒 ? 入侵检测与防范 ? 安全管理 2.1 访问控制 访问控制分为以下几种情况： 1、对于交换机的访问控制。 对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用户才能对交换机进行配置；一般用户只有查看普通信息的权力。 2、基于IP地址的访问控制。一般情况下，用户（包括网内用户和分支机构、合作伙伴等网外用户）是通过IP地址来区分的，不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制，可以实现对重要资源的保护。 3、基于MAC地址的访问控制。特殊情况下，用户也可以通过MAC地址来区分。通过实现基于MAC地址的访问控制，可以保护特殊用户的权限。 4、基于端口的访问控制。 对于接入用户来说，他们之间的权限也有可能是不一样的。通过对用户接入的端口设置特定的过滤属性，可实现对接入用户的访问控制。 5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门，各个部门的访问权限有可能是不一样的。通过实现基于Vlan的访问控制，可以实现对部门的访问控制。 2.2 用户验证 用户验证是实现用户安全防护的基础功能。对用户进行识别和区分，不仅能保护接入的用户不受网络攻击，而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务，而未经验证的用户则被拒绝。 访问交换机存在多种方式：直接从console口登录进行配置；telnet登录配置；通过SNMP进行配置；通过modem远程配置等等。对于这些访问方式，都需要有相应的用户身份验证。 验证时可以选择采用交换机本身维护的用户数据库，还可以采用RADIUS服务器所维护的用户数 据库对用户进行验证。 远程用户验证主要包括：PPP验证、WEB验证和端口验证。 2.3 防地址假冒 为了有效的防止假冒IP地址和假冒MAC地址，Quidway以太网交换机使用了地址绑定技术严格控制用户的接入。例如，绑定用户接入的端口与MAC地址。 2.4 入侵检测与防范 为了防止网上的大流量攻击，Quidway系列以太网交换机提供了两种基本的攻击检测技术： 1、报文镜像。使用报文镜像，可以将指定类型的报文，例如ICMP报文，拷贝到指定端口，然后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法，可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多种协议报文。 2、报文统计。使用报文统计，可以按时间段、协议类型、IP地址五元组等特性分别进行报文包数和字节数的统计。 Quidway系列以太网交换机通过基于ACL的流量限制，预防并控制网上的大流量攻击。当发现大流量攻击时，可以限制到达被攻击目的地址的报文流量。 2.5 安全管理 内部网络与外部网络之间的每一个数据报文都会通过交换机，在交换机上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。 另一方面，交换机的安全运行牵涉到越来越多的安全策略，为了达到这些安全策略的有效利用，进行安全策略管理是必需的。 3 Quidway系列以太网交换机的安全技术 Quidway系列以太网交换机提供了一个有效的网络安全解决方案，包括用户验证、授权、计费、数据保护等等。Quidway系列以太网交换机所采用的安全技术包括： ? 包过滤技术 ? 用户验证技术 ? 防地址假冒技术 ? 入侵检测与防范技术 ? 安全管理 3.1 包过滤技术 包过滤应用在Quidway系列以太网