以太网技术白皮书

  • 格式:pdf
  • 大小:320.84 KB
  • 文档页数:14
关键词
以太网安全 web认证 802.1X网络访问控制
1 概述
随着以太网应用的日益普及 尤其是在一些大中型企业网的应用 以太网安全成为日益迫切 的需求 一方面以太网交换机作为企业内部网络之间通讯的关键设备 有必要在企业网内部提供 充分的安全保护功能 另一方面用户只要能接入以太网交换机 就可以访问Internet网上的设备或 资源 使WLAN上的安全性问题更显突出 Quidway系列以太网交换机提供了多种网络安全机制包 括 访问控制 用户验证 防地址假冒 入侵检测与防范 安全管理等技术 本文将对其原理与 技术实现作介绍
16 Accounting-Request 17 Accounting-Response
图3 Portal 认证方式的用户上网 计费 下线流程 1 连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址 也可为用户 配置静态IP地址 2 用户游览ISP网站 获取认证网页 同时可游览社区广告 通知等内容 3 用户在认证页面中输入帐号/密码 由WEB客户端技术发给Portal Server 4 Portal Server在收到该数据后 按PortAL协议代用户向NAS发Challenge请求 对用户的标识 方法是用用户的IP地址来标识 5 NAS向Portal Server回Challenge 6 Portal Server向NAS发该用户的认证请求 7 NAS向RADIUS服务器发认证请求 运用RADIUS协议 8 RADIUS服务器向NAS返回认证结果 9 NAS在本地对用户连接进行授权 10 NAS向RADIUS Server发计费 开始 请求 11 RADIUS Server向NAS返回计费响应 12 NAS向Portal Server返回认证结果 13 Portal Server向用户返回上线成功 14 用户发下线请求 15 Portal Server收到消息后向NAS发Req-logout报文 16 NAS向RADIUS Server发计费 结束 请求 17 RADIUS Server返回计费响应 18 NAS向Portal Server发ACK-Logout报文 19 Portal Server向用户返回下线消息
访问交换机存在多种方式 直接从console口登录进行配置 telnet登录配置 通过SNMP进行 配置 通过modem远程配置等等 对于这些访问方式 都需要有相应的用户身份验证 验证时可
以选择采用交换机本身维护的用户数据库 还可以采用RADIUS服务器所维护的用户数据库对用 户进行验证 远程用户验证主要包括 PPP验证 WEB验证和端口验证 2.3 防地址假冒
后通过连接到镜像端口的协议分析仪进行测试记录 使用这种方法 可以有效的检测到TCP UDP ICMP HTTP SMTP RSTP等多种协议报文
2 报文统计 使用报文统计 可以按时间段 协议类型 IP地址五元组等特性分别进行报文 包数和字节数的统计
Quidway系列以太网交换机通过基于ACL的流量限制 预防并控制网上的大流量攻击 当发现 大流量攻击时 可以限制到达被攻击目的地址的报文流量RADIUS Server
NAS LANSWITCH
Portal Server
NAS与Portal Server 之间通过RADIUS协 议交互 NAS充当代 理
PC
图2 Portal 认证方式关键结点通信关系
通过Portal认证方式 用户具体上网 计费 下线全过程如图3所示
user
Portal Server
y IP目的地址 = 2.2.2.2 y IP源地址 = 1.1.1.1 y IP的协议域 = 6 TCP y 目的端口 = 21 FTP
其他的域一般情况下不用考虑 同样 对于二层报文 也可相应地设置各自的过滤规则 二层报文常用到的过滤属性
y 源/目的MAC地址 y 输入/输出端口 y 以太网封装类型 y 以太网帧承载的协议类型 y 报文类型 y Vlan标识符
3.2.2 WEB验证 基于Web的验证是一种应用层的验证方法 与接入的介质没有直接的关系 用户通过DHCP获
得IP地址 然后通过通用浏览器访问指定Web页面 地址 端口及URL 或者由业务接入节点 自动导向运营商的Portal页面 Portal认证方式的用户接入方案如图1所示
结点3
汇聚层设备
结点2
用户 是通过IP地址来区分的 不同的用户具有不同的权限 通过包过滤实现基于IP地址的访问 控制 可以实现对重要资源的保护
3 基于MAC地址的访问控制 特殊情况下 用户也可以通过MAC地址来区分 通过实现基 于MAC地址的访问控制 可以保护特殊用户的权限
4 基于端口的访问控制 对于接入用户来说 他们之间的权限也有可能是不一样的 通过 对用户接入的端口设置特定的过滤属性 可实现对接入用户的访问控制
置过滤规则
y 支持对符合条件的报文或帧做日志 可以记录报文或帧的相关信息 并提供了机制保证
在有大量相同触发日志的情况下不会消耗过多的资源
3.2 用户验证
3.2.1 PPP 验证 PPP是传统窄带拨号网络的接入技术 PPP在NCP过程中 可以采用PAP或CHAP进行口令验
证 然后由业务接入节点分配IP地址 在宽带网络上 引入了对PPP的扩展 PPPoE和PPPoA PPPoE是PPP在以太网上的扩展 PPPoE应用在共享的网络介质上 必须采用CHAP进行口令交 换 以避免明文口令被侦听
2 安全交换机的设计原则
针对以太网存在的各种安全隐患 安全交换机必须具有如下的安全特性 y 访问控制 y 用户验证 y 防地址假冒 y 入侵检测与防范 y 安全管理
2.1 访问控制 访问控制分为以下几种情况 1 对于交换机的访问控制 对交换机的访问权限需要进行口令的分级保护 只有持有相应
口令的特权用户才能对交换机进行配置 一般用户只有查看普通信息的权力 2 基于IP地址的访问控制 一般情况下 用户 包括网内用户和分支机构 合作伙伴等网外
NAS
RADIUS Server
1 用户开机即可获取私网IP
2 WEB方式取得认证页面 3 页面中输入 用户名和密码
4 Req-Challenge(portal协议)
13 上网成功
5 Ack-Challenge(portal协议)
RADIUS协议
6 Req-Auth(portal协议)
7 Access-Request
可以基于这些域及其组合来制定ACL规则 从而完成在第二层的包过滤 Quidway系列以太网交换机的包过滤具有以下特性
y 基于ACL Access-List 访问控制列表 ACL不仅应用在包过滤中 还可以应用在其
他需要进行对数据流进行分类的特性中 比如报文镜像 报文统计与流量限制 Quidway系 列以太网交换机提供的ACL可以
三层IP报文的IP报头及所承载的上层协议 如TCP 报头的每个域包含了可以由交换机进行 处理的信息 包过滤通常用到IP报文的以下属性
y IP的源 目的地址及协议域 y TCP或UDP的源 目的端口 y ICMP码 ICMP的类型域 y TCP的标志域
可 以 由 这 些 域 的 各 式 各 样 的 组 合 形 成 不 同 的 规 则 比 如 要 禁 止 从 主 机 1.1.1.1 到 主 机 2.2.2.2的FTP连接 包过滤可以创建这样的规则用于丢弃相应的报文
Quidway系列以太网交换机提供了一个有效的网络安全解决方案 包括用户验证 授权 计 费 数据保护等等 Quidway系列以太网交换机所采用的安全技术包括
y 包过滤技术 y 用户验证技术 y 防地址假冒技术 y 入侵检测与防范技术 y 安全管理
3.1 包过滤技术 包过滤应用在Quidway系列以太网交换机中 为交换机增加了对数据包的过滤功能 在三层交
以太网安全技术白皮书
华为技术有限公司北京研究所 北京市上地信息产业基地信息中路1号华为大厦 100085
二 二年三月
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术 包括访问控制 802.1X网络 访问控制 基于Portal协议的web认证 防地址假冒 入侵检测与防范 安全管理等 并探讨了 Quidway系列以太网交换机在安全方面的发展方向 结合Quidway系列以太网交换机在安全方面的 功能特点 给出了在企业网应用中的实际解决方案
换机中 不仅可以过滤有安全隐患的以太网帧 还可以过滤IP数据包 对到达端口的数据包 如 果是可以直接在链路层交换的以太网帧 则先获取以太网帧头信息 包括以太网帧类型 源 MAC地址 目的MAC地址 并根据目的MAC地址获得以太网帧的出端口 如果是需要三层转发
的数据包 则先获取包头信息 包括IP层所承载的上层协议的协议号 数据包的源地址 目的地 址 源端口和目的端口等 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者 丢弃
8 Access-Accept 9 设备上对用户连接做设置 10 Accounting-Request
12 Ack-Auth(portal协议)
11 Accounting-Response
14 用户下线 19 下线通知
15 Req-logout(portal协议) 18 Ack-logout(portal协议)
支持ACL的自动排序 可以选择是否针对某一类的ACL进行自动排序 以简化配置
的复杂度 方便对于ACL的配置及维护
支持名称方式的ACL 易于记忆及配置
y 支持基于端口进行过滤 可以设定禁止或允许转发来自或去往某个端口的报文 y 支持基于MAC地址进行过滤 可以设定禁止或允许转发来自或去往某个MAC地址的帧 y 支持基于Vlan进行过滤 可以设定禁止或允许转发来自或去往某个Vlan的报文 y 支持基于应用进行过滤 可以对交换机端口的输入帧前80字节范围内的64字节任意域设
支持标准及扩展的ACL 可以通过标准的ACL只设定一个简单的地址范围 也可以