H3C网络安全技术

  • 格式:doc
  • 大小:1.47 MB
  • 文档页数:60

H3C网络安全技术与网络部署目次摘要 .................................................................................................................. 错误!未定义书签。

目次 . (1)1 绪论 (3)1.1 研究意义和背景 (3)1.2 目前研究现状 (3)1.2.1 局域网内部安全 (4)1.2.2 远程接入和边界安全 (5)1.2.4 路由安全 (6)1.3 研究内容和拟解决的问题 (7)1.4 结语 (7)2 网络安全概述 (8)2.1 网络安全的基本概念 (8)2.2 网络安全的特征 (9)2.3 网络安全策略 (9)2.3.1 网络物理安全策略 (9)2.3.2 网络访问控制策略 (10)2.3.3 网络信息加密策略 (10)2.3.4 网络安全管理策略 (10)3 局域网安全 (11)3.1 基于H3C系列交换机VLAN的应用 (11)3.2 基于VLAN的PVLAN技术的应用 (13)3.3 利用GVRP协议来管理VLAN (14)3.4 H3C交换机设备之间的端口汇聚 (14)3.5 启用端口镜像对流量进行监控 (15)3.6 构建安全的STP生成树体系 (17)3.7 多层交换体系中部署VRRP (18)3.8 IRF技术的应用 (19)4 边界网络安全 (21)4.1 NAT技术的应用 (22)4.2 ACL技术的应用 (22)4.3 VPN技术的应用 (24)4.3.1 IPsec VPN的应用 (25)4.3.2 IPsec 上的GRE隧道 (26)4.3.3 二层VPN技术L2TP的应用 (26)4.3.4 SSL VPN技术的应用 (27)4.3.5 DVPN技术的应用 (27)4.3.6 VPN技术在MPLS网络中的应用 (28)4.4 H3C SecPath系列防火墙/VPN的部署 (29)4.5 H3C的各类安全模块 (31)4.5.1 H3C SecBlade FW模块 (31)4.5.2 H3C SSL VPN模块 (32)4.5.3 H3C ASM 防病毒模块 (34)4.5.4 H3C NSM 网络监控模块 (35)4.6 H3C的IPS和UTM设备 (35)5 身份认证与访问控制 (38)5.1 AAA安全服务 (38)5.2 EAD安全解决方案 (40)5.3 802.1X身份认证 (41)5.4 设备安全 (42)5.4.1 物理安全 (43)5.4.2 登录方式和用户帐号 (43)5.4.3 SNMP协议的应用 (44)5.4.4 NTP协议的应用 (45)5.4.4 禁用不安全的服务 (45)6 路由安全 (47)6.1 静态路由协议 (47)6.1.1 利用静态路由实现负载分担 (47)6.1.2 利用静态路由实现路由备份 (47)6.2 OSPF路由协议 (48)6.2.1 OSPF身份验证 (48)6.2.2 分层路由 (48)6.2.3 可靠的扩散机制 (49)6.2.4 OSPF LSDB过载保护 (50)6.2.5 DR\BDR的选举和路由器ID的标识 (50)6.3 BGP路由协议 (50)6.3.1 BGP报文保护 (50)6.3.2 BGP对等体组Peer Group (51)6.3.3 BGP负载均衡 (51)6.3 操纵路由选择更新 (52)6.4.1 路由重分发 (52)6.4.2 静态路由和默认路由 (53)6.4.3 路由分发列表和映射表 (54)6.4.4 操纵管理距离 (54)7 网络攻击的趋势和主流的网络攻击 (55)7.1 ARP攻击 (56)7.2 DDOS攻击 (56)7.3 TCP SYN攻击 (57)7.4 口令攻击 (58)7.5 缓冲区溢出攻击 (58)7.6 蠕虫病毒 (58)7.7 Land 攻击 (59)7.8 Vlan攻击 (59)1 绪论1.1 研究意义和背景计算机网络安全已引起世界各国的关注,我国近几年才逐渐开始在高等教育中渗透计算机网络安全方面的基础知识和网络安全技术应用知识。

随着网络高新技术的不断发展,社会经济建设与发展越来越依赖于计算机网络,计算机网络安全对我们生活的重要意义也不可同日而语。

【1】2010年1月,国务院决定加快推进电信网、广播电视网和互联网三网融合,2010年至2012年广电和电信业务双向进入试点,2013年至2015年,全面实现三网融合。

所谓三网融合即推进电信网、广播电视网和互联网三网互联互通、资源共享,为用户提供语音、数据和广播电视等多种服务。

此政策涉及领域广泛,涉及上市公司众多。

这将导致未来几年网络规模以指数形式增长,网络也会变得越来越复杂,承担的任务越来越关键,给运营和管理网络的人们带来新的挑战,很显然这些快速发展的技术引发了新的安全问题。

网络安全对国民经济的威胁、甚至对国家和地区的威胁也日益严重。

【2】因此网络安全扮演的角色也会越来越重要。

与此同时,加快培养网络安全方面的应用型人才、广泛普及网络安全知识和掌握网络安全技术突显重要和迫在眉睫。

H3C设备是目前我国政府,企业,电信,教育行业的主流网络设备生产商,研究旗下路由器,交换机以及安全设备,存储设备的网络安全系统的综合部署对以后系统集成案例有很好的效仿作用。

1.2 目前研究现状目前广泛应用的网络安全模型是机密性、完整性、可用性(CIA,confidentiality,integrity,and availability)3项原则。

这三项原则应指导所有的安全系统。

CIA还为安全实施提供了一个度量工具。

这些准则适用于安全分析的整个阶段——从访问一个用户的Internet历史到Internet上加密数据的安全。

违反这3项原则中的任何一个都会给相关方带来严重后果。

【3】1.2.1 局域网内部安全虽然很多攻击是从外网展开的,但是部分攻击也会源于内网,比如常见的ARP攻击等等,系统的安全性不是取决于最坚固的那一部分,而是取决于最薄弱的环节。

因此内网安全十分重要。

【4】(1)基于ACL的访问控制如今的网络充斥着大量的数据,如果没有任何适当的安全机制,则每个网络都可以完全安全访问其他网络,而无需区分已授权或者未授权。

控制网络中数据流动有很多种方式,其中之一是使用访问控制列表(通常称作ACL,access control list)。

ACL高效、易于配置,在H3C设备中易于部署和实现。

【5】(2)同一个子网内PVLAN的应用PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。

如果将交换机设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。

PVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。

尽管各设备处于不同的PVLAN中,它们可以使用相同的IP子网,从而大大减少了IP地址的损耗,也防止了同一个子网内主机的相互攻击。

【6】(3)网关冗余备份机制VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种网关冗余备份协议。

通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往网关,从而实现了主机与外部网络的通信。

当网关断掉时,本网段内所有主机将断掉与外部的通信。

VRRP 就是为解决上述问题而提出的。

使用VRRP ,可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器。

虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。

如果主路由器不可用,这个虚拟IP 地址就会映射到一个备份路由器的IP 地址(这个备份路由器就成为主路由器)。

【7】GLBP(Gateway Load Banancing Protocol网关负载均衡协议),和VRRP 不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态,这会导致资源一定程度的浪费。

和HRSP不同的是,GLBP可以绑定多个MAC地址到虚拟IP,从而允许客户端选择不同的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP,从而实现一定的冗余和负载均衡。

以上两种协议不仅可以在H3C网络设备使用,也可以在其它厂商的网络设备中使用。

1.2.2 远程接入和边界安全远程接入是直接接入到网络系统内部,而接入控制器也往往处于网络系统的边界部分。

因此边界安全成为应对外部威胁和攻击面对的第一道防线。

【8】(1)网络地址转换(NAT)网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单,随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。

NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在H3C路由器上来实现的。

(2)H3C硬件防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

【9】(3)H3C入侵检测系统(IPS)虽然防火墙可以根据IP地址和服务端口过滤数据包,但它对于利用合法地址和端口而从事的破坏活动则无能为力,防火墙主要在第二到第四层起作用,很少深入到第四层到第七层去检查数据包。

入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。

除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况,来辅助识别入侵和攻击。

【10】(4)远程接入VPN应用虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。

虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。