计算机网络安全(沈鑫剡)第4章讲课.ppt

计算机网络安全 第四章 第4章 安全网络技术 以太网安全技术； 安全路由； 虚拟网络； 信息流管制； 网络地址转换； 容错网络结构。 　解决网络安全问题的方法主要有三：一是提出解决安全问题的新的机制和算法，如数字签名算法和认证机制。二是增加解决安全问题的新设备，如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力，安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。 4.1 以太网安全技术 以太网接入控制 　访问控制列表； 　安全端口； 　802.1X接入控制过程。 以太网其他安全功能 　防站表溢出攻击功能； 　防DHCP欺骗； 　防ARP欺骗攻击。 以太网接入控制 黑客攻击内部网络的第一步是接入内部网络，而以太网是最常见的直接用于接入用户终端的网络，只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤； 交换机端口是用户终端的物理连接处，防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符，交换机端口具有识别授权用户终端标识符的能力。 以太网接入控制 允许为交换机每一个端口配置访问控制列表，列表中给出允许接入的终端的MAC地址； 配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧，因此对于接入端口，只允许物理连接MAC地址属于列表中MAC地址的终端。 以太网接入控制 安全端口是自动建立访问控制列表的机制； 允许为每一个交换机端口设置MAC地址数N，从端口学习到的前N个MAC地址作为访问控制列表的MAC地址； 不允许转发源地址是N个地址以外的MAC帧。 以太网接入控制 802.1X基于端口认证机制，一旦完成认证过程，端口就处于正常转发状态，这种方式适用于交换机B的认证端口，不适用交换机A的认证端口； 802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合，一旦交换机通过对某个用户的身份认证，将该用户终端的MAC地址记录在访问控制列表的中，这种方式下，访问控制列表的中的MAC地址是动态的，随着用户接入增加，随着用户退出减少。 以太网接入控制 认证数据库表明：允许用户名为用户A，具有口令PASSA的用户接入以太网； 交换机A将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制：EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。 以太网其他安全功能 由于站表容量是有限的，当某个黑客终端大量发送源MAC地址伪造的MAC帧时，很容易使站表溢出； 一旦站表溢出，正常终端的MAC地址无法进入站表，导致正常终端之间传输的MAC帧以广播方式传输。 以太网其他安全功能 　伪造的DHCP服务器为终端配置错误的网络信息，导致终端发送的数据都被转发到冒充默认网关的黑客终端。 以太网其他安全功能 　终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文，在其他终端和路由器的ARP缓冲器中增添一项IP A MAC B，导致其他终端和路由器将目的IP地址为IP A的IP分组，全部封装成以MAC B为目的地址的MAC帧。 4.2 安全路由 路由器和路由项认证； 路由项过滤； 单播反向路径验证。 这些功能一是确保只有授权路由器之间才能传输路由消息，且路由器只处理传输过程中未被篡改的路由消息；二是防止内部网络结构外泄；三是拒绝黑客终端的源IP地址欺骗攻击。 路由器和路由项认证 黑客终端伪造和LAN4直接相连的路由项，并通过路由消息将该路由项组播给路由器R1、R2； 路由器R1将通往LAN4传输路径的下一跳改为黑客终端； 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。 路由器和路由项认证 路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性； 相邻路由器配置共享密钥K，路由消息附带消息认证码（MAC），由于计算MAC需要共享密钥K，因此，一旦接收路由器根据密钥K和路由消息计算MAC的结果和路由消息附带的MAC相同，可以保证发送者具有和自己相同的密钥K（授权路由器），路由消息传输过程中未被篡改。 路由项过滤 路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。 单播反向路径验证 单播反向路径验证的目的是丢弃伪造源IP地址的IP分组； 路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。 4.3 虚拟网络 虚拟局域网； 虚拟路由器； 虚拟专用网络。 这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络，物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网络或物理路由器的一种技术。 虚拟局域网 同一个以太网是一个广播域，以太网