路由 消息
发送路由器

接收路由器
路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性； 相邻路由器配置共享密钥K，路由消息附带消息认证码（MAC），由于计算 MAC需要共享密钥K，因此，一旦接收路由器根据密钥K和路由消息计算MAC 的结果和路由消息附带的MAC相同，可以保证发送者具有和自己相同的密 钥K（授权路由器），路由消息传输过程中未被篡改。
址记录在访问控制列 表中。
请求接入（EAP 响应（身份） ） 挑战接入（EAP 请求（CHAP） ）
EAP 响应（CHAP） 请求接入（EAP 响应（CHAP） ） EAP 成功 允许接入
用户A向认证服务器 证明自己身份：用户 名为用户A，具有口 令PASSA。

认证数据库表明：允许用户名为用户A，具有口令PASSA的用户接入以太网； 交换机A将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制： EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问 控制列表的中。 计算机网络安全
交换机 A
信任端口
交换机 B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC C IP C F0/7 MAC A IP A F0/7 MAC B IP B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC A IP A F0/4 MAC B IP B F0/7 MAC C IP C
ARP 报文
ARP欺骗攻击过程
终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文，在其他终端和路 由器的ARP缓冲器中增添一项<IP A MAC B>，导致其他终端和路由器将目的IP地址 为IP A的IP分组，全部封装成以MAC B为目的地址的MAC帧。 计算机网络安全
安全网络技术
4.2 安全路由
交换机 A
终端 A
将连接授权 DHCP服务器的端口 ③ ① 和互连交换机的端口设置为信 ① 任端口，其他端口为非信任端 以太网 口，只允许转发从信任端口接 ② 收到的DHCP ① 响应报文。
④ ⑤ 伪造的 DHCP 服务器 ①：终端 A 发送的发现报文 ②：伪造的 DHCP 服务器发送的应答报文 ③：DHCP 服务器发送的应答报文 ④：终端 A 发送的请求报文 ⑤：伪造的 DHCP 服务器发送的确认报文

由于站表容量是有限的，当某个黑客终端大量发送源MAC地址伪造 的MAC帧时，很容易使站表溢出； 一旦站表溢出，正常终端的MAC地址无法进入站表，导致正常终端 之间传输的MAC帧以广播方式传输。
计算机网络安全
安全网络技术
以太网其他安全功能
伪造的 DHCP 服务器
DHCP 服务器
DHCP 服务器

单播反向路径验证的目的是丢弃伪造源IP地址的IP分组； 路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确 定源IP地址是否伪造。
计算机网络安全
安全网络技术
4.3 虚拟网络
虚拟局域网； 虚拟路由器； 虚拟专用网络。 这里的虚拟是指逻辑上等同于独立局域网、 独立路由器或者专用网络，物理上且和其 他虚拟局域网、虚拟路由器或者虚拟专用 网络共享同一物理网络或物理路由器的一 种技术。
计算机网络安全
安全网络技术
路由项过滤
路由消息中不包含 被过滤器屏蔽掉的 两个内部网络。
192.168.1.0/24
224.0.0.9 R1 193.7.1.0/24 1
R2 路由表 目的网络 距离 下一跳 193.7.1.0/24 2 R1
192.168.0.0/22 过滤 192.168.2.0/24 R1 R2 R1 路由表 目的网络 距离 下一跳 192.168.1.0/24 1 直接 192.168.2.0/24 1 直接 193.7.1.0/24 1 直接 Internet
193.1.1.7
黑客终端 193.1.1.7
193.1.1.5
193.1.1.0/24 终端 A 193.1.1.5 R1
193.1.1.5 2
1 3 193.1.3.0/24 服务器 R3 R3 路由表 目的网络 距离 输出端口 193.1.1.0/24 2 1 193.1.2.0/24 2 2 193.1.3.0/24 1 3

计算机网络安全
安全网络技术
虚拟局域网
VLAN 1 VLAN 2 VLAN 3
同一物理以太网

三个功能上完全独立的以太网


同一个以太网是一个广播域，以太网内广播是不可避免 的，但广播一是浪费带宽，二是产生安全问题； 同一以太网两个终端之间通信不需要经过路由器，而路 由器具有比交换机更强的信息传输控制能力； 一些黑客攻击手段，如伪造DHCP服务器，ARP欺骗攻 击等，都是针对同一以太网的终端的。
计算机网络安全
安全网络技术
以太网接入控制
访问控制列表 00-46-78-11-22-33
用户 A EAP 请求（身份） EAP 响应（身份） EAP 请求 （CHAP） 认证服务器 认证数据库 用户名 认证机制 口令 用户 A EAP-CHAP PASSA 用户 B EAP-CHAP PASSB 交换机 A 用户 A终端的MAC地 （认证者）
计算机网络安全
安全网络技术
以太网接入控制
访问控制列表 00-46-78-11-22-33


00-46-78-11-22-33 终端 A
00-46-78-37-22-73 终端 B
访问控制列表
允许为交换机每一个端 口配置访问控制列表， 列表中给出允许接入的 终端的MAC地址； 配置访问控制列表的端 口只允许转发源MAC 地址属于列表中MAC 地址的MAC帧，因此 对于接入端口，只允许 物理连接MAC地址属 于列表中MAC地址的 终端。
非信任端口
交换机 B
信任端口
终端 A 终端 B
伪造的DHCP服务器为终端配置错误的网络信息，导致终端 发送的数据都被转发到冒充默认网关的黑客终端。
计算机网络安全
安全网络技术
以太网其他安全功能
终端 C MAC C IP C DHCP 服务器
ARP Cache ARP Cache IPA MAC B •解决方法基于终端配置通过 IPA MAC B 终端 C DHCP 服务器获得；
路由器和路由项认证； 路由项过滤； 单播反向路径验证。 这些功能一是确保只有授权路由器之间才能传输 路由消息，且路由器只处理传输过程中未被篡改 的路由消息；二是防止内部网络结构外泄；三是 拒绝黑客终端的源IP地址欺骗攻击。

计算机网络安全
安全网络技术
路由器和路由项认证
路由器 R1 正确路由表 子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3 下一跳 直接 直接 IP R IP R
黑客终端伪造和LAN4直接相连的路由项，并通过路由消息将该路由项组 播给路由器R1、R2； 路由器R1将通往LAN4传输路径的下一跳改为黑客终端； 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。
计算机网络安全
安全网络技术
路由器和路由项认证
K HMAC -MD5 相等，处理路由 消息 不相等， 丢弃路由 消息 路由 消息 HMAC -MD5 K HMAC (P) Y 路由 消息 HMAC (P) Y
终端 A 终端 B MAC A MAC B IP A IP B
•交换机侦听通过信任端口接收 到的DHCP响应报文，并将响应报 文中作为终端标识符的MAC地址 和DHCP分配给终端的IP地址记录 在DHCP配置表中； 以太网 •一旦交换机接收到ARP报文，根 IP A 据ARP报文中给出的IP地址和 MAC MAC B 地址对匹配DHCP配置表，如果找 到匹配项，继续转发ARP报文， 终端 A ARP报文。 终端 B 否则，丢弃
计算机网络安全
第四章
© 2006工程兵工程学院 计算机教研室
安全网络技术
第4章 安全网络技术


以太网安全技术； 安全路由； 虚拟网络； 信息流管制； 网络地址转换； 容错网络结构。 解决网络安全问题的方法主要有三：一是提出解决安全问 题的新的机制和算法，如数字签名算法和认证机制。二是 增加解决安全问题的新设备，如防火墙和入侵防御系统。 三是在传统网络设备和网络设计方法中增加抵御黑客攻击 的手段和能力，安全网络技术就是在传统网络设备和网络 设计方法中增加的用于抵御黑客攻击和保障网络适用性的 技术。
计算机网络安全
安全网络技术
4.1 以太网安全技术





以太网接入控制 访问控制列表； 安全端口； 802.1X接入控制过程。 以太网其他安全功能 防站表溢出攻击功能； 防DHCP欺骗； 防ARP欺骗攻击。
计算机网络安全
安全网络技术
以太网接入控制


黑客攻击内部网络的第一步是接入内部网络， 而以太网是最常见的直接用于接入用户终端 的网络，只允许授权用户终端接入以太网是 抵御黑客攻击的关键步骤； 交换机端口是用户终端的物理连接处，防止 黑客终端接入以太网的关键技术是授权用户 终端具有难以伪造的标识符，交换机端口具 有识别授权用户终端标识符的能力。
计算机网络安全
安全网络技术
虚拟局域网
S7 服务器 B 1 2 4 S1 1 2 3 S2 1 S5 2 S3 2 1 1
Si
终端 D
2 4 S6 3 S4 1 2 1 2
服务器 A
路由表 目的网络 距离 IP 接口 192.1.2.0/24 1 VLAN 2 192.1.3.0/24 1 VLAN 3 192.1.3.254 192.1.3.0/24
193.7.1.0/24