第6章 路由安全管理.docVIP

第6章 路由安全管理 第六章 路由安全管理 １．路由器相关安全特性有两层含义：1.保证内部局域网的安全；2.保护外部进行数据交换的安全。 ２．路由器安全特性：身份认证．访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。 ３．身份认证：主要保证只有合法的用户和经过授权的用户才可以访问、控制路由器。 ４．网络安全身份认证包括访问路由器时的身份认证、Console登录配置、Telnet登录配置、SNMP登录配置、Modem远程配置、对其他路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体等配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。 ５．访问控制：实现功能对网络设备、分级保护不同级别的用户拥有不同的操作权限,基于五元组(IP包头中的源IP地址、目的IP地址、协议号、源端口和目的端)的访问控制,根据数据包信息进行数据分类,不同的数据??采用不同的策略.基于用户的访问控制,对于接入服务器用户,设定特定的过滤,访问控制是路由器提供的一种重要的安全策略,访问控制可以有效地防止一些非法的访问。 ６．信息隐藏：实现功能包括地址转换以隐藏内网的内部地址内部用户可以直接发起建立连接请求来保护内部局域网访问Inretnet。、 ７．数据加密和防伪：利用公网传输数据不可避免的面临数据窃听的问题,传输之前进行数据加密,保证只有与之通信的接收端才能够解密数据,防伪报文在传输过程中,被截获修改,重新投放在网络时,接收端可以进行数据识别、丢弃被修改的报文。 相关技术包括：数据加密技术、数字签名技术、IPSec协议及相关技术。 ８．安全管理：指保证重要的网络设备处于安全的运行环境,防止人为破坏、保护访问口令、密码等重要的安全信息、进行安全策略管理,有效利用安全策略,在网络出入口实现报文审计和过滤,提供网络运行的必要信息。 ９．可靠性：要求主要针对故障恢复、负载能力和主设备运行故障时,备份自动接替工作..负载分担主要指网络流量增大时,备用链路承担部分主要链路的工作。 １０．线路安全：指的是线路本身的安全性,用于防止非法用户利用线路进行访问。 １１．IKE密钥交换协议：用于通信双方协商和建立安全联盟,并交换密钥。定义了通信双方进行身份认证、协商加密算法及生成共享会话密钥的方法。 １２．VPN虚拟私有网：核心技术是隧道技术,思想：将一种类型网络的数据报通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道,三层隧道是建立在网络层的隧道。 １３．VRP通用路由平台：是整个VRP平台的核心 VRP的安全特性：1.基于RADIUS的AAA服务与RADIUS服务器配合实施的AAA服务,可以提供对接入用户的验证、授权和计费安全服务,防止非法访问；2.验证协议；3.包过滤；4.应用层报文过滤ASPF；5.网络层安全IPSec；6.事件日志；7.地址转换；8.相邻路由器验证；9.视图分级保护。 １４．包过滤技术 ①定义：指提供访问控制的基本框架,来提供基于IP地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤。 ②特点：利用IP数据包的特征进行刚问控制。 ③功能：对分片报文过滤。 １５．AAA： ①定义：是认证、授权和计费的简称。一般采用客户／服务器结构,客户端运行于被管理的资源侧,服务器则集中存放用户信息。具有良好的可扩展性,又便于用户信息的集中管理。 ②提供AAA支持的服务：PPP的PAP和CHAP、通过telnet登录到路由器,以及通过各种方式进入到路由器进行配置的操作和FTP。 ③验证：用户名、口令验证，包括PP的PAP和CHAP验证、EXEC用户验证、FTP用户验证和拨号的PPP用户可以进行号码验证。 ④授权：可以使用RADIUS服务器进行。 ⑤验证、授权时客户端的任务是将用户的信息发送到指定的服务器,然后根据服务器的不同的响应进行相应处理。 １６．RADIUS： ①定义：远程认证拨号用户服务。采用客户机/服务器结构。 ②RADIUS服务器的任务是接受客户端发来的用户连接请求,然后验证用户并返回客户端提供服务所需要的配置信息，还可以作为其他AAA服务器的客户端进行代理认证或计费。 ③RADIUS协议合并了认证和授权过程。 ④维护三个数据库：１．数据库Users用户存储用户信息；2.数据库Clients用于存储RADIUS客户端的信息；3.数据库Dicrionary存储的信息用于解释RADIUS协议中的属性和属性值的含义。 ⑤RADIUS服务器基本交互步骤：1.用户输入用户名和口令；2.客户端根据用户名和口令,向服务器发送认证请求包。3.服务器将用户信息与Users数据库信息进行对比分析；4.客户端根据接收到的认证结果接入/拒绝服务；5.服务器返回计费开始响应包；6.客户端向服务器发送计费停止请求包；7.服务器返回计费结束响