网络工程规划与设计》第六章.pptVIP

第6章 网络安全设计; 【本章要点】 通过本章学习，读者应了解网络威胁与对策，服务器威胁与对策，802.1x+RADIUS的应用，以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制，基于RADIUS的认证计费，防止IP地址盗用的技术，网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法，标准访问列表和扩展访问列表的应用。;6.1网络安全设计的原则;6.2网络安全威胁与防范;6.2.1网络威协与防范;服务器的主要威胁与对策有以下种。 1. 病毒、蠕虫和特洛伊木马 2.破解密码 3.拒绝服务与分布式拒绝服务 4.任意执行代码 5.未授权访问 6. 足迹 7.应用程序威胁与对策;;1.身份验证 2.边界安全 3.数据私密性 4.安全监控 5.策略管理;6.2.4安全事件响应小组;6.3.1 802.1x协议及工作机制;;6.3.2 RADIUS的认证;6.3.2 RADIUS的认证;802．1x协议认证过程是用户与服务器交互的过程，其认证步骤如下。 （1）用户开机后，通过802．1x客户端软件发起请求，查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。 （2）客户端收到验证设备的响应后，提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证。 （3）如果认证通过，则认证系统的受控逻辑端口打开。 （4）客户端软件发起DHCP请求，经认证设备转发到DHCPServer。 ;（5）DHCPServer为用户分配IP地址。 （6）DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。 （7）当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。 （8）如果用户退出网络，可以通过客户端软件发起退出过程，认证设备检测到该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息（如物理地址和IP地址），受控逻辑端口关闭；用户进入再认证状态。 （9）验证设备通过定期的检测保证链路的激活。如果用户异常死机，则验证设备在发起多次检测后，自动认为用户已经下线，于是向认证服务器发送终止计费的信息。 ;PPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在用户主机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在用户主机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率很低。 Web＋DHCP采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。;6.3.5802.1x+RADIUS的应用案例;1.系统服务包和安全补丁 2.使用安全系数高的密码 3.做好边界防护 4.关闭没有使用的服务 5.使用数据加密 6.通过备份保护你的数据 7.加密敏感通信 8.不要信任外部网络 9.使用不间断电源支持;1.利用 Win2000 的安全配置工具来配置策略 2．关闭不必要的服务 3．关闭不必要的端口 4．打开审核策略 5. 整理和收集日志文件信息 6．开启帐户策略 7．设定安全记录的访问权限 8．把敏感文件存放在另外的文件服务器中 9. 不让系统显示上次登陆的用户名 10. 禁止建立空连接 11. 到微软网站下载最新的补丁程序 ;1.关闭DirectDraw 2. 关闭默认共享 3. 禁止Dump file的产生 4. 使用文件加密系统EFS 5. 加密 Temp 文件夹 6. 锁住注册表 7. 关机时清除掉页面文件 8. 禁止从软盘和 CD Rom 启动系统 10. 考虑使用IPSec 9. 考虑使用智能卡来代替密码 ;6.5 WEB服务器安全设计;6.6网络边界安全设计;1.防火墙是网络安全的屏障 2.防火墙可以强化网络安全策略 3.对网络存取和访问进行监控审计 4.防止内部信息的外泄;6.6.2使用网络DMZ;;6.6.3 ACL;ACL的操作;6.6.4扩展ACL的应用;综合练习六;实训六 加固操作系统的安全;;;