访问控制：拒绝任何来自外部网络而其源地址为内部 网络的流量。如果某些外部地址也可靠，此方法无效。

RFC 2827过滤：防止一个网络的用户欺骗其他网络。
26
网络安全攻击
服务拒绝(Denial of Service)

DoS（Deny Of Service）就是攻击者通过使你的网络 设备崩溃或把它压跨（网络资源耗尽）来阻止合法用 户获得网络服务，DOS是最容易实施的攻击行为。


24
网络安全攻击
IP欺骗(IP Spoofing)

IP 欺骗是指网络内部或外部的黑客模仿一台可靠计算机
会话（IP协议头中源IP地址欺骗）

IP欺骗通常会引发其他的攻击－－DoS。 实现与攻击目标双向通讯办法－－更改网络上的路由表。

25
网络安全攻击
IP欺骗(IP Spoofing)

减轻危害的方法：
网络安全关键技术的应用
VPN/MPLS IPSEC EAPoE认证 CA 安全策略管理
高级
安全策略管理
CA 安全策略管理
增强
二层防火墙 安全日志
Web/PPPoE认证 防火墙技术（增强） ASPF技术 安全日志
简单防火墙 安全日志
专 用 防 火 墙
基本
Vlan技术 分级分权管理
Vlan技术 流控 防火墙技术 web认证 分级分权管理

当产生畸形的，声称自己的尺寸超过ICMP上限的包也就
是加载的尺寸超过64K上限时，就会出现内存分配错误，
导致TCP/IP堆栈崩溃，致使接受方宕机。
29
网络安全攻击
死亡之ping(ping of death)—DoS
30
网络安全攻击
死亡之ping(ping of death)—DoS

减轻危害的方法：7网络安全体系结构IP网络的安全模型

实时的动态检测：包括设备日志、动态防火墙以及专用 入侵检测等技术。

有效的攻击响应：包括告警等自动响应以及策略更改、 黑名单等手动响应操作。

基本的预防防护：包括用户隔离、身份认证、访问控制、
数据加密、动态防火墙等技术。

核心的策略管理：包括网管和策略管理技术。

能够解决的安全问题：网络设备通过对CA的支持可以实现
相互之间的认证，保证路由信息和用户数据信息的安全。
19
目录
网络安全体系结构 网络安全攻击 防火墙技术 入侵检测技术
网络安全策略
网络安全案例 参考资料
20
网络安全攻击
网络攻击分类


报文窃听（Packet Sniffers） IP欺骗（IP Spoofing） 服务拒绝（Denial of Service） 密码攻击（Password Attacks） 中间人攻击(Man-in-the-Middle Attacks) 应用层攻击（Application Layer Attacks） 网络侦察（Network Reconnaissance） 信任关系利用（Trust Exploitation） 端口重定向（Port Redirection） 未授权访问（Unauthorized Access） 病毒与特洛伊木马应用（Virus and Trojan Horse Applications）

关掉不必要的TCP/IP服务 对防火墙进行配置阻断来自Internet的对这些 服务的请求
路由保护 分级分权管理
接入层
汇聚层
骨干层
IDC
10
网络安全体系结构
用户隔离和识别

关键技术：接入/汇聚层设备支持 VLAN的划分；VLAN 数量应不受4096的限制；支持VLAN ID与IP地址或MAC 地址的捆绑；采用 2.5 层的 vlan 聚合技术（如代理 ARP
等），解决vlan浪费IP地址的问题。
21
网络安全攻击
报文窃听(Packet Sniffers)

报文窃听是一种软件应用，该应用利用一种处于 无区别模式的网络适配卡捕获通过某个冲突域的 所有网络分组。

可以轻易通过解码工具（ sniffers/netxray 等）获得 敏感信息（用户密码等）。
22
网络安全攻击
报文窃听(Packet Sniffers)
设备本身免受恶意攻击，但是ASPF 技术的采用会带来设备 性能的下降；另外在城域数据中心一般采用专用防火墙。
14
网络安全体系结构
安全日志

关键技术：网管技术；设备安全日志。

能够解决的安全问题：对网络攻击提供分析检测手段。
15
网络安全体系结构
策略管理

关键技术：LDAP协议；RADIUS+协议；策略服务器 技术。
Chargen和Echo来传送毫无用处的数据。

通过伪造与主机的 Chargen 服务的一次的 UDP 连接，回 复地址指向开着 Echo 服务的一台主机，这样就生成在 两台设备之间的足够多的无用数据流，从而导致带宽不 足的严重问题。
35
网络安全攻击
UDP洪水(UDP flood)—DoS

减轻危害的方法

SA定义了数据保护中使用的协议和算法以及安全联盟的
有效时间等属性。IPSec有隧道和传输两种工作方式。

能够解决的安全问题：与VPN技术结合保证用户数据传 输的私有性、完整性、真实性和防重放性
18
网络安全体系结构
CA技术

关键技术：CA技术是安全认证技术的一种，它基于公开密 钥体系，通过安全证书来实现。安全证书由CA中心分发并 维护。网络设备对CA中心的支持包含两方面的内容，其一 是针对CA中心的管理功能完成与CA中心的交互；其二即是 网络设备作为通信实体的认证功能。

能够解决的安全问题：可以防止外部通过流量攻击 接入用户，同时也可以对接入用户进行流量限制。
12
网络安全体系结构
认证技术

关键技术：PPPoE、WEB Portal认证和EAPoE。 能够解决的安全问题：解决对用户的认证、授权和计费。 对于固定用户，可以通过Vlan ID进行认证和授权，但经 常需要移动的用户，不能通过vlan ID进行认证和授权， 必须有相应的帐号。同时，单纯利用 vlan技术不能解决
Of Service）。
28
网络安全攻击
死亡之ping(ping of death)—DoS

一般网络设备对包的最大处理尺寸都有限制，许多操作 系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且
在对包的标题头进行读取之后，要根据该标题头里包含
的信息来为有效载荷（PayLoad）生成缓冲区。
32
网络安全攻击
泪滴(teardrop)—DoS
33
网络安全攻击
泪滴(teardrop)—DoS

减轻危害的方法

服务器应用最新的服务包，或者在设置防火
墙时对分片进行重组，而不是转发它们。
34
网络安全攻击
UDP洪水(UDP flood)—DoS

各 种 各 样 的 假 冒 攻 击 利 用 简 单 的 TCP/IP 服 务 ， 如
5
网络安全体系结构
可运营IP网络的安全需求

网络安全管理

网络结构安全，路由的稳定性，各节点设备的安全，设备操 作的安全以及网络安全政策实施。 信息传输的安全，计费/认证信息的安全，信息服务器的安全。 身份认证，用户隔离，访问控制。 增对不同的业务采取具体的措施，譬如高速上网业务需要保 证用户之间的隔离，专线业务需要保证 QoS，虚拟专线业务 需要保证QoS和信息安全。

用户按时长计费的要求，只能适用于包月制。
13
网络安全体系结构
防火墙/ASPF技术

关键技术：包过滤防火墙技术；状态防火墙技术(ASPF)；专
用防火墙技术。

能够解决的安全问题：防火墙技术运用在汇聚层设备，主要 保护接入用户，包括阻止用户的非授权业务，阻止外部对接
入用户的非法访问等； ASPF 技术可以保护接入用户和网络
展BGP和VR两种方式。

能够解决的安全问题：VPN主要运用在一些安全性较高的组网 业务中，例如企业之间可以通过VPN互联；城域网络本身计费、 网管等可以通过VPN组成虚拟专网，保证安全性；另外VoIP应 用，GPRS应用也都可以通过VPN，保证QoS和安全性。
17
网络安全体系结构
IPSec技术
关键技术：IPSec 技术是目前最重要的加密技术。IPSec 在两个端点之间通过建立安全联盟（SA）进行数据传输。

能够解决的安全问题：通过对策略的管理和分配，能 够实现全网范围内的网络安全。
16
网络安全体系结构
VPN技术

关键技术：目前有多种形式的 VPN，对于运营商主要是 VPDN 和 VPRN 。 VPDN 技术比较明朗，主要是 L2TP ， VPRN 技术包 括GRE和MPLS，目前MPLS被普遍看好。MPLS技术又包括扩

能够解决的安全问题：防止用户之间利用二层窃取信息， 利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP 地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在 安全问题发生时便于快速定位。
11
网络安全体系结构
流控技术

关键技术：接入报文合法性验证、流分类、流量监 管和控制（CAR）、路由转发、队列调度。
6

信息安全管理


接入安全控制


业务安全开展

网络安全体系结构
VRP网络安全模型——P2DR