以太网安全相应技术.docx

以太网安全技术白皮书以太网安全技术白皮书摘要本文详细介绍了Quidway系列以太网交换机所应用的安全技术，包括访问控制、802.1X网络访问控制、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等，并探讨了Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点，给出了在企业网应用中的实际解决方案。关键词以太网安全，web认证，802.1X网络访问控制1 概述随着以太网应用的日益普及，尤其是在一些大中型企业网的应用，以太网安全成为日益迫切的需求。一方面以太网交换机作为企业内部网络之间通讯的关键设备，有必要在企业网内部提供充分的安全保护功能。另一方面用户只要能接入以太网交换机，就可以访问Internet网上的设备或资源，使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括：访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将对其原理与技术实现作介绍。2 安全交换机的设计原则针对以太网存在的各种安全隐患，安全交换机必须具有如下的安全特性：?访问控制?用户验证?防地址假冒?入侵检测与防范?安全管理2.1 访问控制访问控制分为以下几种情况：1、对于交换机的访问控制。对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用户才能对交换机进行配置；一般用户只有查看普通信息的权力。2、基于IP地址的访问控制。一般情况下，用户（包括网内用户和分支机构、合作伙伴等网外用户）是通过IP地址来区分的，不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制，可以实现对重要资源的保护。3、基于MAC地址的访问控制。特殊情况下，用户也可以通过MAC地址来区分。通过实现基于MAC地址的访问控制，可以保护特殊用户的权限。4、基于端口的访问控制。对于接入用户来说，他们之间的权限也有可能是不一样的。通过对用户接入的端口设置特定的过滤属性，可实现对接入用户的访问控制。5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门，各个部门的访问权限有可能是不一样的。通过实现基于Vlan的访问控制，可以实现对部门的访问控制。2.2 用户验证用户验证是实现用户安全防护的基础功能。对用户进行识别和区分，不仅能保护接入的用户不受网络攻击，而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务，而未经验证的用户则被拒绝。访问交换机存在多种方式：直接从console口登录进行配置；telnet登录配置；通过SNMP进行配置；通过modem远程配置等等。对于这些访问方式，都需要有相应的用户身份验证。验证时可以选择采用交换机本身维护的用户数据库，还可以采用RADIUS服务器所维护的用户数据库对用户进行验证。远程用户验证主要包括：PPP验证、WEB验证和端口验证。2.3 防地址假冒为了有效的防止假冒IP地址和假冒MAC地址，Quidway以太网交换机使用了地址绑定技术严格控制用户的接入。例如，绑定用户接入的端口与MAC地址。2.4 入侵检测与防范为了防止网上的大流量攻击，Quidway系列以太网交换机提供了两种基本的攻击检测技术：1、报文镜像。使用报文镜像，可以将指定类型的报文，例如ICMP报文，拷贝到指定端口，然后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法，可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多种协议报文。2、报文统计。使用报文统计，可以按时间段、协议类型、IP地址五元组等特性分别进行报文包数和字节数的统计。Quidway系列以太网交换机通过基于ACL的流量限制，预防并控制网上的大流量攻击。当发现大流量攻击时，可以限制到达被攻击目的地址的报文流量。2.5 安全管理内部网络与外部网络之间的每一个数据报文都会通过交换机，在交换机上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。另一方面，交换机的安全运行牵涉到越来越多的安全策略，为了达到这些安全策略的有效利用，进行安全策略管理是必需的。3 Quidway系列以太网交换机的安全技术Quidway系列以太网交换机提供了一个有效的网络安全解决方案，包括用户验证、授权、计费、数据保护等等。Quidway系列以太网交换机所采用的安全技术包括：?包过滤技术?用户验证技术?防地址假冒技术?入侵检测与防范技术?安全管理3.1 包过滤技术包过滤应用在Quidway系列以太网交换机中，为交换机增加了对数据包的过滤功能。在三层交换机中，不仅可以过滤有安全隐患的以太网帧，还可以过滤IP数据包。对到达端口的数据包，如果是可以直接在链路层交换的以太网帧，则先获取以太网帧头信息，包括以太网帧类型、源MAC地址、目的MAC地址，并根据目的