2011年网络安全技术介绍胶片.pptVIP

网络安全 固网宽带技术支持部 目录 网络安全体系结构 伴随互联网发展重要信息变得非常容易被获取 个人数据 重要企业资源 政府机密 网络攻击变的越来越便利 黑客（crack）技术在全球范围内共享 易用型操作系统和开发环境普及 网络安全体系结构 网络安全体系结构 网络安全体系结构 网络安全管理 网络结构安全，路由的稳定性，各节点设备的安全，设备操作的安全以及网络安全政策实施。 信息安全管理 信息传输的安全，计费/认证信息的安全，信息服务器的安全。 接入安全控制 身份认证，用户隔离，访问控制。 业务安全开展 增对不同的业务采取具体的措施，譬如高速上网业务需要保证用户之间的隔离，专线业务需要保证QoS，虚拟专线业务需要保证QoS和信息安全。 网络安全体系结构 网络安全体系结构 实时的动态检测：包括设备日志、动态防火墙以及专用入侵检测等技术。 有效的攻击响应：包括告警等自动响应以及策略更改、黑名单等手动响应操作。 基本的预防防护：包括用户隔离、身份认证、访问控制、数据加密、动态防火墙等技术。 核心的策略管理：包括网管和策略管理技术。 网络安全体系结构 网络安全体系结构 网络安全体系结构 关键技术：接入/汇聚层设备支持VLAN的划分；VLAN数量应不受4096的限制；支持VLAN ID与IP地址或MAC地址的捆绑；采用2.5层的vlan聚合技术（如代理ARP等），解决vlan浪费IP地址的问题。 能够解决的安全问题：防止用户之间利用二层窃取信息，利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在安全问题发生时便于快速定位。 网络安全体系结构 关键技术：接入报文合法性验证、流分类、流量监管和控制（CAR）、路由转发、队列调度。 能够解决的安全问题：可以防止外部通过流量攻击接入用户，同时也可以对接入用户进行流量限制。 网络安全体系结构 关键技术：PPPoE、WEB Portal认证和EAPoE。 能够解决的安全问题：解决对用户的认证、授权和计费。对于固定用户，可以通过Vlan ID进行认证和授权，但经常需要移动的用户，不能通过vlan ID进行认证和授权，必须有相应的帐号。同时，单纯利用vlan技术不能解决用户按时长计费的要求，只能适用于包月制。 网络安全体系结构 关键技术：包过滤防火墙技术；状态防火墙技术(ASPF)；专用防火墙技术。 能够解决的安全问题：防火墙技术运用在汇聚层设备，主要保护接入用户，包括阻止用户的非授权业务，阻止外部对接入用户的非法访问等；ASPF技术可以保护接入用户和网络设备本身免受恶意攻击，但是ASPF技术的采用会带来设备性能的下降；另外在城域数据中心一般采用专用防火墙。 网络安全体系结构 关键技术：网管技术；设备安全日志。 能够解决的安全问题：对网络攻击提供分析检测手段。 网络安全体系结构 关键技术：LDAP协议；RADIUS+协议；策略服务器技术。 能够解决的安全问题：通过对策略的管理和分配，能够实现全网范围内的网络安全。 网络安全体系结构 关键技术：目前有多种形式的VPN，对于运营商主要是VPDN和VPRN。VPDN技术比较明朗，主要是L2TP，VPRN技术包括GRE和MPLS，目前MPLS被普遍看好。MPLS技术又包括扩展BGP和VR两种方式。 能够解决的安全问题：VPN主要运用在一些安全性较高的组网业务中，例如企业之间可以通过VPN互联；城域网络本身计费、网管等可以通过VPN组成虚拟专网，保证安全性；另外VoIP应用，GPRS应用也都可以通过VPN，保证QoS和安全性。 网络安全体系结构 关键技术：IPSec技术是目前最重要的加密技术。IPSec在两个端点之间通过建立安全联盟（SA）进行数据传输。SA定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec有隧道和传输两种工作方式。 能够解决的安全问题：与VPN技术结合保证用户数据传输的私有性、完整性、真实性和防重放性 网络安全体系结构 关键技术：CA技术是安全认证技术的一种，它基于公开密钥体系，通过安全证书来实现。安全证书由CA中心分发并维护。网络设备对CA中心的支持包含两方面的内容，其一是针对CA中心的管理功能完成与CA中心的交互；其二即是网络设备作为通信实体的认证功能。 能够解决的安全问题：网络设备通过对CA的支持可以实现相互之间的认证，保证路由信息和用户数据信息的安全。 目录 网络安全攻击 报文窃听（Packet Sniffers） IP欺骗（IP Spoofing） 服务拒绝（Denial of Service） 密码攻击（Password Attacks） 中间人攻击(Man-in-the-Middle Attacks) 应用层攻击（Application Layer