Chapter11网络安全技术.ppt

学习目标 了解网络安全一些基本概念 掌握AAA技术 课程内容 网络安全概述 网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义： 保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全 网络安全技术的完善和更新 网络安全关注的范围 常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制 保证内部网络的隐蔽性 有效的防伪手段，重要的数据重点保护 对网络设备、网络拓扑的安全管理 病毒防范 提高安全防范意识 网络安全的必要技术 针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性： 可靠性和线路安全 身份认证 访问控制 信息隐藏 数据加密和防伪 安全管理 课程内容 AAA概述 AAA定义 验证（Authentication） 授权（Authorization） 计费（Accounting） RADIUS概述 RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 实现AAA（授权Authorization、验证Authentication和计费Accounting）功能 RADIUS结构及基本原理 RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议 RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密 RADIUS包机构灵活，扩展性好，采用UDP发送 RADIUS工作过程(I) RADIUS工作过程(II) RADIUS实现AAA的流程 RADIUS验证与授权 验证、授权过程如下： 路由器将得到的用户信息打包向RADIUS服务器发送 RADIUS服务器对用户进行验证： 合法用户——返回访问接受包（用户授权信息） 非法用户——返回访问拒绝包 路由器接受服务器的响应包： 访问接受包——允许上网，使用其授权信息对用户进行处理 访问拒绝包——拒绝用户上网请求 RADIUS计费 每次计费过程包括计费请求、计费应答 对一个用户的计费过程有： 计费信息： 计费失败处理 802.1X起源 来源：802.1X协议起源于802.11协议，起初主要是为了解决无线局域网用户的接入认证问题 目的：有线局域网通过固定线路形成固定的物理空间；但无线局域网具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于某一网络。802.1x正是基于这一需求而出现的一种认证技术。 作用形式：操作粒度为端口；对于无线局域网接入认证之后建立起来的信道（端口）被独占 802.1X的应用 IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口） LanSwitch的一个物理端口仅连接一个End Station（基于物理端口） 华为VRP平台的802.1X软件子系统对802.1X协议认证方式进行了扩展，支持一个物理端口下多个End Station的应用场合，多个End Station的识别具体到其源MAC地址 EAP验证过程 802.1X的系统组成 IEEE 802.1X的体系结构包括三部分: Supplicant System-用户接入设备 Authenticator System-接入控制单元 Authentication Sever System-认证服务器 传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息） 802.1X认证系统图 EAPOL协议的消息格式 802.1X的EAPOL认证过程 小结 网络安全基本概念 AAA技术 Radius技术 802.1X技术 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * * Chapter 11 网络安全技术 华为网络技术培训中心 学习完本课程，您应该能够： 第一节 网络安全概述 第二节 AAA 第一节 网络安全概述 第二节 AAA AAA服务器 网关 NAS 用户 Quidway Series Router Quidway Series Router AAA Server 本地实现AAA 使用服务器实现AAA