阔谈设备上哪些功能能够实现网络安全
2013-08-28 18:29
429 查看
谈起网络安全,我想大家多多少少也有所了解,所谓的网络安全就是网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。网络安全涉及的范围非常广泛,包括了网络系统的硬件、软件及数据等,下面我们就说一下网络设备上哪些功能能够实现一定的安全。
一、AAA验证:
AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,
它是对网络安全的一种管理。它可以用多种协议来实现,在实践中,人们最常使用RADIUS协议来实现AAA。
AAA 可完成认证:验证用户是否可获得访问权;授权:授权用户可使用哪些服务;计费:记录用户使用网络资源的情况等服务。
1. 认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。
2. 授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。
RADIUS服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
AAA及RADIUS/HWTACACS协议配置
RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库:第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。
RADIUS的基本消息交互流程:RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。
(9) 用户访问资源结束。
AAA验证的配置:
# 配置Telnet用户采用AAA认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme 指明验证模式
# 配置domain。
[Quidway] domain cams 创建isp域
[Quidway-isp-cams] access-limit enable 10 设置最大连接数
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams 设置radius方案
[Quidway-radius-cams] accounting optional 审计可选
[Quidway-radius-cams] primary authentication 10.110.91.164 1812 指明验证服务器
[Quidway-radius-cams] key authentication expert 指明域共享密钥
[Quidway-radius-cams] server-type Huawei 指明服务类型
[Quidway-radius-cams] user-name-format with-domain 指明用户名不带域名
[Quidway-radius-cams] quit
# 配置domain和RADIUS的关联。
[Quidway] domain cams 关联radius和域
[Quidway-isp-cams] scheme radius-scheme cams
二、ACL(访问控制列表):
为过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据
包不能通过。
一般采用访问控制列表来配置过滤规则,访问控制列表可分为标准访问控制列表和
扩展访问控制列表。
1. 标准访问控制列表
acl acl-number [match-order config | auto ]
rule{ normal |special }{ permit | deny } [source source-addrsource-wildcard |
any ]
2. 扩展访问控制列表
acl acl-number [match-order config | auto ]
rule{ normal |special }{ permit | deny } pro-number [sourcesource-addr
source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination
dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]
[icmp-type icmp-type icmp-code] [logging]
其中“protocol-number”用名字或数字表示的IP 承载的协议类型。数字范围为0~
255;名字取值范围为:icmp、igmp、ip、tcp、udp、gre、ospf。
对于“protocol”参数的不同,该命令又有以下形式:
(1) “protocol”为ICMP 时的命令格式如下:
rule{ normal |special }{ permit | deny } icmp [source source-addr
source-wildcard | any ] [ destination dest-addr dest-wildcard | any ] [icmp-type
icmp-type icmp-code] [logging]
(2) “protocol”为IGMP、IP、GRE、OSPF 时的命令格式如下:
rule{ normal |special }{ permit | deny } { ip | ospf | igmp | gre } [source
source-addr source-wildcard | any ] [ destination dest-addr dest-wildcard | any ]
[logging]
(3) “protocol”为TCP 或UDP 时的命令格式如下:
rule{ normal |special }{ permit | deny } { tcp | udp } [source source-addr
source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination
dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]
[logging]
只有TCP 和UDP 协议需要指定端口范围,支持的操作符及其语法如下:
equalport-number 等于端口号 port-number
greater-thanport-number 大于端口号 port-number
less-thanport-number 小于端口号 port-number
not-equalport-number 不等于端口号 port-number
rangeport-number1
port-number2 介于端口号 port-number1 和port-number2 之间
在指定 port-number 时,对于部分常见的端口号,可用相应的助记符来代替其实际
三、NAT地址转换:
网络地址转换(NAT Network AddressTranslation)属于接入广域网(WAN)技术,它可以将私有(保留)地址转化为合法IP地址,被广泛应用于Internet的各种类型的接入方式和各种类型的网络。原因是:NAT不仅很好的解决了lP地址不够用的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和网络地址端口转换NAPT。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。网络地址端口转换(Network Address Port Translation,NAPT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换。采用端口多路复用方式,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
四、vlan划分
VLAN Virtual Local AreaNetwork 即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的IEEE 802.1Q 协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域或称虚拟LAN 即VLAN, 每一个VLAN 都包含一组有着相同需求的计算机工作站与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里即这些工作站不一定属于同一个物理LAN 网段。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中,从而有助于控制流量减少设备投资简化网络管理提高网络的安全性。由于vlan能够隔离广播,从而使不同vlan间不能通信,所以具备了一定的安全性。五、端口隔离
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。六、Ipsec
IPSec (InternetProtocol Security)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。它是由IETF(Internet Engineering Task Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、抗重播、加密以及对数据流分类加密等服务。IPSec 是网络层的安全机制。通过端对端的网络层包信息的保护的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。Ipsec的安全特性:1.不可否人性 :"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。2.抗重播性 :ipsec的接收端在接受到数据包的时候,会检测数据包的数据段的序列号(Sequence Number)从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包。利用该序列号来验证数据包的唯一性并拒绝接受已经过时或者重复发送的数据报文,以防止攻击者截获破译信息后,再用相同的信息包冒取非法的访问权(即使这种冒取行为发生在数月之后)。3.数据完整性 : ipsec接收端利用MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等hash算法对来自对方发送的数据包进行验证,防止数据包在传输过程中被人篡改,从而确保数据的完整性和一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。4.数据可靠性(加密):ipsec发送方在传输前通过DES、3DES、AES对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。5.数据来源认证 :IPsec在接收端通过pre-shared -key(域共享密钥、证书、kerberos v5等来认证发送IPsec报文的发送端是否合法,从而实现数据来源的认证。Ipsec的两种安全协议:1.AH协议(AuthenticationHeader,认证头,IP协议号为51,使用较少)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。2.ESP协议(EncapsulatedSecurity Payload,封装安全载荷,IP协议号为50,使用较广)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。Ipsec的两种工作模式:1.隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。2.传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯 。tunnel和transport模式下的数据封装形式,data为传输层数据
加密算法与验证算法:1.验证算法AH 和ESP 都能够对IP 报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。一般来说IPSec 使用两种验证算法:MD5:MD5 输入任意长度的消息,产生128bit 的消息摘要。SHA-1:SHA-1 输入长度小于2 的64 次方比特的消息,产生160bit的消息摘要。SHA-1 的摘要长于MD5,因而是更安全的。2.加密算法ESP 能够对IP 报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。StoneOS 实现了三种加密算法:DES(DataEncryption Standard):使用56bit 的密钥对每个64bit 的明文块进行加密。3DES(Triple DES):使用三个56bit 的DES 密钥(共168bit密钥)对明文进行加密。AES(AdvancedEncryption Standard):StoneOS 实现了128bit、192bit 和256bit密钥长度的AES 算法。Ipsec的基本配置:创建加密访问控制列表acl acl-numberrule { normal | special }{permit | deny } pro-number[source source-addr source-wildcard | any][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard| any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-typeicmp-code][logging]定义安全提议 ipsecproposal proposal-name设置安全协议对 IP 报文的封装模式encapsulation-mode { transport | tunnel }选择安全协议transform{ ah-new | ah-esp-new | esp-new }选择加密算法与认证算法Esp协议下 transform{ ah-new | ah-esp-new | esp-new }AH协议下 transform { ah-new | ah-esp-new | esp-new }创建安全策略手工创建安全策略的配置包括:手工创建安全策略ipsecpolicy policy-name sequence-number manual配置安全策略引用的访问控制列表 security aclaccess-list-number指定安全隧道的起点与终点tunnel local ip-address tunnel remote ip-address配置安全策略中引用的安全提议 proposal proposal-name配置安全策略联盟的 SPI及使用的密钥SPI的配置sa inbound { ah | esp } spispi-numbersa outbound { ah | esp } spispi-number密钥的配置AH16进制密钥 sa { inbound | outbound } ah hex-key-stringhex-keyAH 字符密钥 sa { inbound | outbound } ah string-keystring-keyESP16进制密钥 sa { inbound | outbound } esp encryption-hexhex-keyESP字符密钥 sa { inbound | outbound } esp string-keystring-key在接口上应用安全策略组 ipsecpolicy policy-nameIKE 创建安全策略联盟的配置包括:用 IKE 创建安全策略联盟 ipsec policy policy-name sequence-numberisakmp配置安全策略引用的访问控制列表 security acl access-list-number指定安全隧道的终点 tunnel remote ip-address配置安全策略中引用的安全提议 proposal proposal-name1 [proposal-name2...proposal-name6 ]配置安全联盟的生存时间(可选)配置全局时间 ipsec sa global-duration time-basedseconds ipsec sa global-duration traffic-basedkilobytes配置独立时间 sa duration { time-based seconds|traffic-based kilobytes }
除此以上之外,mac地址绑定也能够实现一定的安全性。
本文出自 “夜风” 博客,请务必保留此出处http://jiangkun08.blog.51cto.com/6266992/1284511
一、AAA验证:
AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,
它是对网络安全的一种管理。它可以用多种协议来实现,在实践中,人们最常使用RADIUS协议来实现AAA。
AAA 可完成认证:验证用户是否可获得访问权;授权:授权用户可使用哪些服务;计费:记录用户使用网络资源的情况等服务。
1. 认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。
2. 授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。
RADIUS服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
AAA及RADIUS/HWTACACS协议配置
RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库:第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。
RADIUS的基本消息交互流程:RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。
(9) 用户访问资源结束。
AAA验证的配置:
# 配置Telnet用户采用AAA认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme 指明验证模式
# 配置domain。
[Quidway] domain cams 创建isp域
[Quidway-isp-cams] access-limit enable 10 设置最大连接数
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams 设置radius方案
[Quidway-radius-cams] accounting optional 审计可选
[Quidway-radius-cams] primary authentication 10.110.91.164 1812 指明验证服务器
[Quidway-radius-cams] key authentication expert 指明域共享密钥
[Quidway-radius-cams] server-type Huawei 指明服务类型
[Quidway-radius-cams] user-name-format with-domain 指明用户名不带域名
[Quidway-radius-cams] quit
# 配置domain和RADIUS的关联。
[Quidway] domain cams 关联radius和域
[Quidway-isp-cams] scheme radius-scheme cams
二、ACL(访问控制列表):
为过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据
包不能通过。
一般采用访问控制列表来配置过滤规则,访问控制列表可分为标准访问控制列表和
扩展访问控制列表。
1. 标准访问控制列表
acl acl-number [match-order config | auto ]
rule{ normal |special }{ permit | deny } [source source-addrsource-wildcard |
any ]
2. 扩展访问控制列表
acl acl-number [match-order config | auto ]
rule{ normal |special }{ permit | deny } pro-number [sourcesource-addr
source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination
dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]
[icmp-type icmp-type icmp-code] [logging]
其中“protocol-number”用名字或数字表示的IP 承载的协议类型。数字范围为0~
255;名字取值范围为:icmp、igmp、ip、tcp、udp、gre、ospf。
对于“protocol”参数的不同,该命令又有以下形式:
(1) “protocol”为ICMP 时的命令格式如下:
rule{ normal |special }{ permit | deny } icmp [source source-addr
source-wildcard | any ] [ destination dest-addr dest-wildcard | any ] [icmp-type
icmp-type icmp-code] [logging]
(2) “protocol”为IGMP、IP、GRE、OSPF 时的命令格式如下:
rule{ normal |special }{ permit | deny } { ip | ospf | igmp | gre } [source
source-addr source-wildcard | any ] [ destination dest-addr dest-wildcard | any ]
[logging]
(3) “protocol”为TCP 或UDP 时的命令格式如下:
rule{ normal |special }{ permit | deny } { tcp | udp } [source source-addr
source-wildcard | any ] [source-port operator port1 [ port2] ] [ destination
dest-addr dest- wildcard | any ] [destination-port operator port1 [port2 ] ]
[logging]
只有TCP 和UDP 协议需要指定端口范围,支持的操作符及其语法如下:
equalport-number 等于端口号 port-number
greater-thanport-number 大于端口号 port-number
less-thanport-number 小于端口号 port-number
not-equalport-number 不等于端口号 port-number
rangeport-number1
port-number2 介于端口号 port-number1 和port-number2 之间
在指定 port-number 时,对于部分常见的端口号,可用相应的助记符来代替其实际
三、NAT地址转换:
网络地址转换(NAT Network AddressTranslation)属于接入广域网(WAN)技术,它可以将私有(保留)地址转化为合法IP地址,被广泛应用于Internet的各种类型的接入方式和各种类型的网络。原因是:NAT不仅很好的解决了lP地址不够用的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和网络地址端口转换NAPT。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。网络地址端口转换(Network Address Port Translation,NAPT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换。采用端口多路复用方式,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
四、vlan划分
VLAN Virtual Local AreaNetwork 即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的IEEE 802.1Q 协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域或称虚拟LAN 即VLAN, 每一个VLAN 都包含一组有着相同需求的计算机工作站与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里即这些工作站不一定属于同一个物理LAN 网段。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中,从而有助于控制流量减少设备投资简化网络管理提高网络的安全性。由于vlan能够隔离广播,从而使不同vlan间不能通信,所以具备了一定的安全性。五、端口隔离
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。六、Ipsec
IPSec (InternetProtocol Security)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。它是由IETF(Internet Engineering Task Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、抗重播、加密以及对数据流分类加密等服务。IPSec 是网络层的安全机制。通过端对端的网络层包信息的保护的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。Ipsec的安全特性:1.不可否人性 :"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。2.抗重播性 :ipsec的接收端在接受到数据包的时候,会检测数据包的数据段的序列号(Sequence Number)从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包。利用该序列号来验证数据包的唯一性并拒绝接受已经过时或者重复发送的数据报文,以防止攻击者截获破译信息后,再用相同的信息包冒取非法的访问权(即使这种冒取行为发生在数月之后)。3.数据完整性 : ipsec接收端利用MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等hash算法对来自对方发送的数据包进行验证,防止数据包在传输过程中被人篡改,从而确保数据的完整性和一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。4.数据可靠性(加密):ipsec发送方在传输前通过DES、3DES、AES对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。5.数据来源认证 :IPsec在接收端通过pre-shared -key(域共享密钥、证书、kerberos v5等来认证发送IPsec报文的发送端是否合法,从而实现数据来源的认证。Ipsec的两种安全协议:1.AH协议(AuthenticationHeader,认证头,IP协议号为51,使用较少)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。2.ESP协议(EncapsulatedSecurity Payload,封装安全载荷,IP协议号为50,使用较广)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。Ipsec的两种工作模式:1.隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。2.传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯 。tunnel和transport模式下的数据封装形式,data为传输层数据
加密算法与验证算法:1.验证算法AH 和ESP 都能够对IP 报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。一般来说IPSec 使用两种验证算法:MD5:MD5 输入任意长度的消息,产生128bit 的消息摘要。SHA-1:SHA-1 输入长度小于2 的64 次方比特的消息,产生160bit的消息摘要。SHA-1 的摘要长于MD5,因而是更安全的。2.加密算法ESP 能够对IP 报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。StoneOS 实现了三种加密算法:DES(DataEncryption Standard):使用56bit 的密钥对每个64bit 的明文块进行加密。3DES(Triple DES):使用三个56bit 的DES 密钥(共168bit密钥)对明文进行加密。AES(AdvancedEncryption Standard):StoneOS 实现了128bit、192bit 和256bit密钥长度的AES 算法。Ipsec的基本配置:创建加密访问控制列表acl acl-numberrule { normal | special }{permit | deny } pro-number[source source-addr source-wildcard | any][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard| any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-typeicmp-code][logging]定义安全提议 ipsecproposal proposal-name设置安全协议对 IP 报文的封装模式encapsulation-mode { transport | tunnel }选择安全协议transform{ ah-new | ah-esp-new | esp-new }选择加密算法与认证算法Esp协议下 transform{ ah-new | ah-esp-new | esp-new }AH协议下 transform { ah-new | ah-esp-new | esp-new }创建安全策略手工创建安全策略的配置包括:手工创建安全策略ipsecpolicy policy-name sequence-number manual配置安全策略引用的访问控制列表 security aclaccess-list-number指定安全隧道的起点与终点tunnel local ip-address tunnel remote ip-address配置安全策略中引用的安全提议 proposal proposal-name配置安全策略联盟的 SPI及使用的密钥SPI的配置sa inbound { ah | esp } spispi-numbersa outbound { ah | esp } spispi-number密钥的配置AH16进制密钥 sa { inbound | outbound } ah hex-key-stringhex-keyAH 字符密钥 sa { inbound | outbound } ah string-keystring-keyESP16进制密钥 sa { inbound | outbound } esp encryption-hexhex-keyESP字符密钥 sa { inbound | outbound } esp string-keystring-key在接口上应用安全策略组 ipsecpolicy policy-nameIKE 创建安全策略联盟的配置包括:用 IKE 创建安全策略联盟 ipsec policy policy-name sequence-numberisakmp配置安全策略引用的访问控制列表 security acl access-list-number指定安全隧道的终点 tunnel remote ip-address配置安全策略中引用的安全提议 proposal proposal-name1 [proposal-name2...proposal-name6 ]配置安全联盟的生存时间(可选)配置全局时间 ipsec sa global-duration time-basedseconds ipsec sa global-duration traffic-basedkilobytes配置独立时间 sa duration { time-based seconds|traffic-based kilobytes }
除此以上之外,mac地址绑定也能够实现一定的安全性。
本文出自 “夜风” 博客,请务必保留此出处http://jiangkun08.blog.51cto.com/6266992/1284511
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- struts拦截器+注解实现网络安全要求中的日志审计功能
- zabbix通过自动发现功能实现自动识别网络设备接口
- zabbix通过自动发现功能实现自动识别网络设备接口
- 推荐下载资料:网络与操作系统设备安全功能和配置系列规范
- 宁盾动态密码认证实现企业交换机、路由器等网络设备安全管理方案
- Win10触控板手势操作能够实现哪些常见的功能
- 深入学习:如何实现不同Android设备之间相同应用程序的网络服务发现功能
- 深入学习:如何实现不同Android设备之间相同应用程序的网络服务发现功能
- 网络安全设备Bypass功能分析
- [置顶] 使用struts拦截器+注解实现网络安全要求中的日志审计功能
- 云服务器能够实现哪些有别于传统物理服务器的功能
- 网络安全设备Bypass功能介绍及分析
- [转]网络安全设备Bypass功能介绍及分析 - [网络编程]
- 网络安全设备Bypass功能
- Windows Forms 实现安全的多线程详解(附带程序代码示例) (摘自网络)
- S3c2410-linux实现网络视频监控功能
- 保障网络安全,iOS应用年底前必须启用ATS安全功能
- Android 实现能够暂停的录音功能
- Android开发本地及网络Mp3音乐播放器(十五)网络音乐及歌词下载功能实现
- 【蛙蛙王子】如何在CRM里提供客户的高度个性化的服务?都有哪些功能要实现个性化?