华为网络安全课件

能够解决的安全问题：通过对策略的管理和分配，能 够实现全网范围内的网络安全。
16
网络安全体系结构
VPN技术

关键技术：目前有多种形式的VPN，对于运营商主要是VPDN 和VPRN。VPDN技术比较明朗，主要是L2TP，VPRN技术包 括GRE和MPLS，目前MPLS被普遍看好。MPLS技术又包括扩
展BGP和VR两种方式。

能够解决的安全问题：VPN主要运用在一些安全性较高的组网 业务中，例如企业之间可以通过VPN互联；城域网络本身计费、 网管等可以通过VPN组成虚拟专网，保证安全性；另外VoIP应 用，GPRS应用也都可以通过VPN，保证QoS和安全性。
17
网络安全体系结构
IPSec技术
关键技术：IPSec技术是目前最重要的加密技术。IPSec 在两个端点之间通过建立安全联盟（SA）进行数据传输。
路由保护 分级分权管理
接入层
汇聚层
骨干层
IDC
10
网络安全体系结构
用户隔离和识别

关键技术：接入/汇聚层设备支持VLAN的划分；VLAN 数量应不受4096的限制；支持VLAN ID与IP地址或MAC 地址的捆绑；采用2.5层的vlan聚合技术（如代理ARP
等），解决vlan浪费IP地址的问题。

网络安全关键技术的应用
VPN/MPLS IPSEC EAPoE认证 CA 安全策略管理
高级
安全策略管理
CA 安全策略管理
增强
二层防火墙 安全日志
Web/PPPoE认证 防火墙技术（增强） ASPF技术 安全日志
简单防火墙 安全日志
专 用 防 火 墙
基本
Vlan技术 分级分权管理
Vlan技术 流控 防火墙技术 web认证 分级分权管理
8
网络安全体系结构
VRP平台安全结构
安全管理
管理层面
•企业接入安全 •专网安全 •安全VPN业务 •丰富的电子商务应用 •防火墙 •内容过滤 •用户认证 •CA认证 •访问控制
安 全 业 务
安 全 技 术
应用层面
•地址转换/隐藏 •数据加密 •入侵检测 •安全日志 •……
基础层面
9
网络安全体系结构

DoS主要包括ping of death、teardrop、UDP flood、
TCP SYN Flood、land攻击、smurf攻击等。
27
网络安全攻击
服务拒绝(Denial of Service)

DDoS（Distributed Denial Of Service）

黑客侵入并控制了很多台电脑，并使它们一起向 主机发动DoS攻击，主机很快陷于瘫痪，这就是分 布式拒绝服务攻击——DDoS（Distributed Denial

能够解决的安全问题：可以防止外部通过流量攻击 接入用户，同时也可以对接入用户进行流量限制。
12
网络安全体系结构
认证技术

关键技术：PPPoE、WEB Portal认证和EAPoE。 能够解决的安全问题：解决对用户的认证、授权和计费。 对于固定用户，可以通过Vlan ID进行认证和授权，但经 常需要移动的用户，不能通过vlan ID进行认证和授权， 必须有相应的帐号。同时，单纯利用vlan技术不能解决

能够解决的安全问题：网络设备通过对CA的支持可以实现
相互之间的认证，保证路由信息和用户数据信息的安全。
19
目录
网络安全体系结构 网络安全攻击 防火墙技术 入侵检测技术
网络安全策略
网络安全案例 参考资料
20
网络安全攻击
网络攻击分类


报文窃听（Packet Sniffers） IP欺骗（IP Spoofing） 服务拒绝（Denial of Service） 密码攻击（Password Attacks） 中间人攻击(Man-in-the-Middle Attacks) 应用层攻击（Application Layer Attacks） 网络侦察（Network Reconnaissance） 信任关系利用（Trust Exploitation） 端口重定向（Port Redirection） 未授权访问（Unauthorized Access） 病毒与特洛伊木马应用（Virus and Trojan Horse Applications）


24
网络安全攻击
IP欺骗(IP Spoofing)

IP欺骗是指网络内部或外部的黑客模仿一台可靠计算机
会话（IP协议头中源IP地址欺骗）

IP欺骗通常会引发其他的攻击－－DoS。 实现与攻击目标双向通讯办法－－更改网络上的路由表。

25
网络安全攻击
IP欺骗(IP Spoofing)

减轻危害的方法：

SA定义了数据保护中使用的协议和算法以及安全联盟的
有效时间等属性。IPSec有隧道和传输两种工作方式。

能够解决的安全问题：与VPN技术结合保证用户数据传 输的私有性、完整性、真实性和防重放性
18
网络安全体系结构
CA技术

关键技术：CA技术是安全认证技术的一种，它基于公开密 钥体系，通过安全证书来实现。安全证书由CA中心分发并 维护。网络设备对CA中心的支持包含两方面的内容，其一 是针对CA中心的管理功能完成与CA中心的交互；其二即是 网络设备作为通信实体的认证功能。
23
网络安全攻击
报文窃听(Packet Sniffers)

减轻危害的方法：

验 证 (Authentication) ： 采 用 一 次 性 密 码 技 术 (one-timepasswords OTPs) 交换型基础设施：用交换机来替代HUB，可以减少危害。 防窃听工具：使用专门检测网络上窃听使用情况的软件 与硬件。 加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技术。
4
网络安全体系结构
访 问 控 制 安 全 检 测 用 户 鉴 权 传 输 安 全
出 存 入 取 控 控 制 制
安 入 主 智 传 口 数 数 侵 全 体 能 输 防 令 字 据 扫 检 特 卡 数 抵 机 证 完 测 描 征 制 书 整 据 赖 鉴 加 别 密
技 术 令 技 加 术 密 攻 击 技 术 口 控 制 表 技 术 安 全 协 议
7
网络安全体系结构
IP网络的安全模型

实时的动态检测：包括设备日志、动态防火墙以及专用 入侵检测等技术。

有效的攻击响应：包括告警等自动响应以及策略更改、 黑名单等手动响应操作。

基本的预防防护：包括用户隔离、身份认证、访问控制、
数据加密、动态防火墙等技术。

核心的策略管理：包括网管和策略管理技术。

访问控制：拒绝任何来自外部网络而其源地址为内部 网络的流量。如果某些外部地址也可靠，此方法无效。

RFC 2827过滤：防止一个网络的用户欺骗其他网络。
26
网络安全攻击
服务拒绝(Denial of Service)

DoS（Deny Of Service）就是攻击者通过使你的网络 设备崩溃或把它压跨（网络资源耗尽）来阻止合法用 户获得网络服务，DOS是最容易实施的攻击行为。
5
网络安全体系结构
可运营IP网络的安全需求

网络安全管理

网络结构安全，路由的稳定性，各节点设备的安全，设备操 作的安全以及网络安全政策实施。 信息传输的安全，计费/认证信息的安全，信息服务器的安全。 身份认证，用户隔离，访问控制。 增对不同的业务采取具体的措施，譬如高速上网业务需要保 证用户之间的隔离，专线业务需要保证QoS，虚拟专线业务 需要保证QoS和信息安全。
32
网络安全攻击
泪滴(teardrop)—DoS
33
网络安全攻击
泪滴(teardrop)—DoS

减轻危害的方法

服务器应用最新的服务包，或者在设置防火
墙时对分片进行重组，而不是转发它们。
34
网络安全攻击
UDP洪水(UDP flood)—DoS

各 种 各 样 的 假 冒 攻 击 利 用 简 单 的 TCP/IP 服 务 ， 如
Of Service）。
28
网络安全攻击
死亡之ping(ping of death)—DoS

一般网络设备对包的最大处理尺寸都有限制，许多操作 系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且
在对包的标题头进行读取之后，要根据该标题头里包含
的信息来为有效载荷（PayLoad）生成缓冲区。
网络安全
固网宽带技术支持部
目录
网络安全体系结构 网络安全攻击 防火墙技术 入侵检测技术
网络安全策略
网络安全案例 参考资料
2
网络安全体系结构
网络安全必要性
Hale Waihona Puke Baidu
伴随互联网发展重要信息变得非常容易被获取

个人数据
重要企业资源
政府机密

网络攻击变的越来越便利


黑客（crack）技术在全球范围内共享
设备本身免受恶意攻击，但是ASPF技术的采用会带来设备 性能的下降；另外在城域数据中心一般采用专用防火墙。
14
网络安全体系结构
安全日志

关键技术：网管技术；设备安全日志。

能够解决的安全问题：对网络攻击提供分析检测手段。
15
网络安全体系结构
策略管理

关键技术：LDAP协议；RADIUS+协议；策略服务器 技术。
21
网络安全攻击
报文窃听(Packet Sniffers)

报文窃听是一种软件应用，该应用利用一种处于 无区别模式的网络适配卡捕获通过某个冲突域的 所有网络分组。

可以轻易通过解码工具（sniffers/netxray等）获得 敏感信息（用户密码等）。
22
网络安全攻击
报文窃听(Packet Sniffers)

用户按时长计费的要求，只能适用于包月制。
13
网络安全体系结构
防火墙/ASPF技术

关键技术：包过滤防火墙技术；状态防火墙技术(ASPF)；专
用防火墙技术。

能够解决的安全问题：防火墙技术运用在汇聚层设备，主要 保护接入用户，包括阻止用户的非授权业务，阻止外部对接
入用户的非法访问等；ASPF技术可以保护接入用户和网络

现在所有的标准TCP/IP都已实现对付超大尺寸的包， 并且大多数防火墙能够自动过滤这些攻击。

对操作系统进行升级和打补丁
31
网络安全攻击
泪滴(teardrop)—DoS

利用那些在TCP/IP堆栈实现中信任IP分片中的IP协议
首部所包含的信息来实现攻击。

IP分片含有指示该分片所包含的是原数据报文的哪一 段信息，某些设备在收到重叠IP分段报文时会崩溃或 严重异常。
6

信息安全管理


接入安全控制


业务安全开展

网络安全体系结构
VRP网络安全模型——P2DR
用户 隔离 身份 认证
访问 控制
数据 加密 ASPF
防护
策略 更改
告警
安全 策略
入侵 检测
黑名单
日志
P2DR（Policy、Protection、Detection、Response）模型是网络安全 管理基本思想，贯穿IP网络的各个层次
关掉不必要的TCP/IP服务 对防火墙进行配置阻断来自Internet的对这些 服务的请求

在路由器或防火墙上进行源地址过滤
36
网络安全攻击

当产生畸形的，声称自己的尺寸超过ICMP上限的包也就
是加载的尺寸超过64K上限时，就会出现内存分配错误，
导致TCP/IP堆栈崩溃，致使接受方宕机。
29
网络安全攻击
死亡之ping(ping of death)—DoS
30
网络安全攻击
死亡之ping(ping of death)—DoS

减轻危害的方法：
能够解决的安全问题：防止用户之间利用二层窃取信息， 利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP 地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在 安全问题发生时便于快速定位。
11
网络安全体系结构
流控技术

关键技术：接入报文合法性验证、流分类、流量监 管和控制（CAR）、路由转发、队列调度。
Chargen和Echo来传送毫无用处的数据。

通过伪造与主机的Chargen服务的一次的UDP连接，回 复地址指向开着Echo服务的一台主机，这样就生成在 两台设备之间的足够多的无用数据流，从而导致带宽不 足的严重问题。
35
网络安全攻击
UDP洪水(UDP flood)—DoS

减轻危害的方法

易用型操作系统和开发环境普及
3
网络安全体系结构
安 全 管 理
环 访 媒 设 审 安 备 反 用 储 内 传 境 问 体 备 计 全 份 户 输 存 容 病 安 安 安 控 检 监 恢 鉴 安 安 审 全 全 全 制 测 控 复 毒 权 全 全 计
重 点
物 理 安 全
网 络 安 全
信 息 安 全
安 全 体 系