计算机网络安全第4章安全 网络 技术.pptVIP

计算机网络安全 第四章 第4章 安全网络技术 以太网安全技术； 安全路由； 虚拟网络； 信息流管制； 网络地址转换； 容错网络结构。 　解决网络安全问题的方法主要有三：一是提出解决安全问题的新的机制和算法，如数字签名算法和认证机制。二是增加解决安全问题的新设备，如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力，安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。 4.1 以太网安全技术 以太网接入控制 　访问控制列表； 　安全端口； 　802.1X接入控制过程。 以太网其他安全功能 　防站表溢出攻击功能； 　防DHCP欺骗； 　防ARP欺骗攻击。 以太网接入控制 黑客攻击内部网络的第一步是接入内部网络，而以太网是最常见的直接用于接入用户终端的网络，只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤； 交换机端口是用户终端的物理连接处，防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符，交换机端口具有识别授权用户终端标识符的能力。 接入安全——端口安全 用户通过交换机的端口连入网络，可以基于端口防止非法用户接入 端口安全 802.1x 端口安全 基于数据包的源地址控制端口接入的安全机制 安全地址 和接口绑定，准许通过的地址 可以基于MAC地址或者MAC和IP地址控制 手工配置 自动学习？ 以太网接入控制 允许为交换机每一个端口配置访问控制列表，列表中给出允许接入的终端的MAC地址； 配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧，因此对于接入端口，只允许物理连接MAC地址属于列表中MAC地址的终端。 以太网接入控制 安全端口是自动建立访问控制列表的机制； 允许为每一个交换机端口设置MAC地址数N，从端口学习到的前N个MAC地址作为访问控制列表的MAC地址； 不允许转发源地址是N个地址以外的MAC帧。 802.1x是用来做什么的？ 以太网接入控制 802.1X基于端口认证机制，一旦完成认证过程，端口就处于正常转发状态，这种方式适用于交换机B的认证端口，不适用交换机A的认证端口； 802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合，一旦交换机通过对某个用户的身份认证，将该用户终端的MAC地址记录在访问控制列表的中，这种方式下，访问控制列表的中的MAC地址是动态的，随着用户接入增加，随着用户退出减少。 以太网接入控制 认证数据库表明：允许用户名为用户A，具有口令PASSA的用户接入以太网； 交换机A将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制：EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。 以太网其他安全功能 由于站表容量是有限的，当某个黑客终端大量发送源MAC地址伪造的MAC帧时，很容易使站表溢出； 一旦站表溢出，正常终端的MAC地址无法进入站表，导致正常终端之间传输的MAC帧以广播方式传输。 DHCP概述 DHCP Dynamic host control protocol，动态分配与管理IP地址 通过架设DHCP服务器，为客户端自动分配IP地址、子网掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。 DHCP工作原理 网络中的威胁 DHCP Server的DOS攻击 通过攻击软件向网络中发出大量的DHCP请求，直到把服务器中的相应地址池中的地址全部耗尽 DHCP Server的冒充 DHCP服务器和客户端之间没有认证机制，可以冒充DHCP服务器，为客户端分配IP地址以及其他网络参数。 以太网其他安全功能 　伪造的DHCP服务器为终端配置错误的网络信息，导致终端发送的数据都被转发到冒充默认网关的黑客终端。 防止DHCP 攻击 交换机所有接口缺省为untrust接口，把连接合法服务器的端口配置为trust。 对 DHCP 报文进行处理。对 客户端请求报文，仅将其转发至信任口。对服务器响应报文，设备仅转发从信任口收到的响应报文，丢弃所有来自非信任口的响应报文。 过滤非法DHCP报文 以太网其他安全功能 　终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文，在其他终端和路由器的ARP缓冲器中增添一项IP A MAC B，导致其他终端和路由器将目的IP地址为IP A的IP分组，全部封装成以MAC B为目的地址的MAC帧。 4.2 安全路由 路由器和路由项认证； 路由项过滤； 单播反向路径验证。 这些功能一是确保只有授权路由器之间才能传输路由消息，且路由器只处理传输过程中未被篡改的路由消息；二是防止内部网络结构外泄；三是拒绝黑客终端的源IP地址欺骗攻击。 路由器和路由项认证 黑客终端伪造和LAN4