当前位置:文档之家› 华为网络安全课件

华为网络安全课件


关掉不必要的TCP/IP服务 对防火墙进行配置阻断来自Internet的对这些 服务的请求

在路由器或防火墙上进行源地址过滤
36
网络安全攻击

能够解决的安全问题:网络设备通过对CA的支持可以实现
相互之间的认证,保证路由信息和用户数据信息的安全。
19
目录
网络安全体系结构 网络安全攻击 防火墙技术 入侵检测技术
网络安全策略
网络安全案例 参考资料
20
网络安全攻击
网络攻击分类


报文窃听(Packet Sniffers) IP欺骗(IP Spoofing) 服务拒绝(Denial of Service) 密码攻击(Password Attacks) 中间人攻击(Man-in-the-Middle Attacks) 应用层攻击(Application Layer Attacks) 网络侦察(Network Reconnaissance) 信任关系利用(Trust Exploitation) 端口重定向(Port Redirection) 未授权访问(Unauthorized Access) 病毒与特洛伊木马应用(Virus and Trojan Horse Applications)
网络安全关键技术的应用
VPN/MPLS IPSEC EAPoE认证 CA 安全策略管理
高级
安全策略管理
CA 安全策略管理
增强
二层防火墙 安全日志
Web/PPPoE认证 防火墙技术(增强) ASPF技术 安全日志
简单防火墙 安全日志
专 用 防 火 墙
基本
Vlan技术 分级分权管理
Vlan技术 流控 防火墙技术 web认证 分级分权管理


24
网络安全攻击
IP欺骗(IP Spoofing)

IP欺骗是指网络内部或外部的黑客模仿一台可靠计算机
会话(IP协议头中源IP地址欺骗)

IP欺骗通常会引发其他的攻击--DoS。 实现与攻击目标双向通讯办法--更改网络上的路由表。

25
网络安全攻击
IP欺骗(IP Spoofing)

减轻危害的方法:
7
网络安全体系结构
IP网络的安全模型

实时的动态检测:包括设备日志、动态防火墙以及专用 入侵检测等技术。

有效的攻击响应:包括告警等自动响应以及策略更改、 黑名单等手动响应操作。

基本的预防防护:包括用户隔离、身份认证、访问控制、
数据加密、动态防火墙等技术。

核心的策略管理:包括网管和策略管理技术。

SA定义了数据保护中使用的协议和算法以及安全联盟的
有效时间等属性。IPSec有隧道和传输两种工作方式。

能够解决的安全问题:与VPN技术结合保证用户数据传 输的私有性、完整性、真实性和防重放性
18
网络安全体系结构
CA技术

关键技术:CA技术是安全认证技术的一种,它基于公开密 钥体系,通过安全证书来实现。安全证书由CA中心分发并 维护。网络设备对CA中心的支持包含两方面的内容,其一 是针对CA中心的管理功能完成与CA中心的交互;其二即是 网络设备作为通信实体的认证功能。
21
网络安全攻击
报文窃听(Packet Sniffers)

报文窃听是一种软件应用,该应用利用一种处于 无区别模式的网络适配卡捕获通过某个冲突域的 所有网络分组。

可以轻易通过解码工具(sniffers/netxray等)获得 敏感信息(用户密码等)。
22
网络安全攻击
报文窃听(Packet Sniffers)
易用型操作系统和开发环境普及
3
网络安全体系结构
安 全 管 理
环 访 媒 设 审 安 备 反 用 储 内 传 境 问 体 备 计 全 份 户 输 存 容 病 安 安 安 控 检 监 恢 鉴 安 安 审 全 全 全 制 测 控 复 毒 权 全 全 计
重 点
物 理 安 全
网 络 安 全
信 息 安 全
安 全 体 系

当产生畸形的,声称自己的尺寸超过ICMP上限的包也就
是加载的尺寸超过64K上限时,就会出现内存分配错误,
导致TCP/IP堆栈崩溃,致使接受方宕机。
29
网络安全攻击
死亡之ping(ping of death)—DoS
30
网络安全攻击
死亡之ping(ping of death)—DoS

减轻危害的方法:
32
网络安全攻击
泪滴(teardrop)—DoS
33
网络安全攻击
泪滴(teardrop)—DoS

减轻危害的方法

服务器应用最新的服务包,或者在设置防火
墙时对分片进行重组,而不是转发它们。
34
网络安全攻击
UDP洪水(UDP flood)—DoS

各 种 各 样 的 假 冒 攻 击 利 用 简 单 的 TCP/IP 服 务 , 如
展BGP和VR两种方式。

能够解决的安全问题:VPN主要运用在一些安全性较高的组网 业务中,例如企业之间可以通过VPN互联;城域网络本身计费、 网管等可以通过VPN组成虚拟专网,保证安全性;另外VoIP应 用,GPRS应用也都可以通过VPN,保证QoS和安全性。
17
网络安全体系结构
IPSec技术
关键技术:IPSec技术是目前最重要的加密技术。IPSec 在两个端点之间通过建立安全联盟(SA)进行数据传输。
设备本身免受恶意攻击,但是ASPF技术的采用会带来设备 性能的下降;另外在城域数据中心一般采用专用防火墙。
14
网络安全体系结构
安全日志

关键技术:网管技术;设备安全日志。

ቤተ መጻሕፍቲ ባይዱ
能够解决的安全问题:对网络攻击提供分析检测手段。
15
网络安全体系结构
策略管理

关键技术:LDAP协议;RADIUS+协议;策略服务器 技术。
能够解决的安全问题:防止用户之间利用二层窃取信息, 利用vlan技术直接将用户从二层完全隔离;Vlan ID与IP 地址和MAC地址的捆绑,防止用户进行IP地址欺骗,在 安全问题发生时便于快速定位。
11
网络安全体系结构
流控技术

关键技术:接入报文合法性验证、流分类、流量监 管和控制(CAR)、路由转发、队列调度。
Of Service)。
28
网络安全攻击
死亡之ping(ping of death)—DoS

一般网络设备对包的最大处理尺寸都有限制,许多操作 系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且
在对包的标题头进行读取之后,要根据该标题头里包含
的信息来为有效载荷(PayLoad)生成缓冲区。
Chargen和Echo来传送毫无用处的数据。

通过伪造与主机的Chargen服务的一次的UDP连接,回 复地址指向开着Echo服务的一台主机,这样就生成在 两台设备之间的足够多的无用数据流,从而导致带宽不 足的严重问题。
35
网络安全攻击
UDP洪水(UDP flood)—DoS

减轻危害的方法

6

信息安全管理


接入安全控制


业务安全开展

网络安全体系结构
VRP网络安全模型——P2DR
用户 隔离 身份 认证
访问 控制
数据 加密 ASPF
防护
策略 更改
告警
安全 策略
入侵 检测
黑名单
日志
P2DR(Policy、Protection、Detection、Response)模型是网络安全 管理基本思想,贯穿IP网络的各个层次

能够解决的安全问题:可以防止外部通过流量攻击 接入用户,同时也可以对接入用户进行流量限制。
12
网络安全体系结构
认证技术

关键技术:PPPoE、WEB Portal认证和EAPoE。 能够解决的安全问题:解决对用户的认证、授权和计费。 对于固定用户,可以通过Vlan ID进行认证和授权,但经 常需要移动的用户,不能通过vlan ID进行认证和授权, 必须有相应的帐号。同时,单纯利用vlan技术不能解决
路由保护 分级分权管理
接入层
汇聚层
骨干层
IDC
10
网络安全体系结构
用户隔离和识别

关键技术:接入/汇聚层设备支持VLAN的划分;VLAN 数量应不受4096的限制;支持VLAN ID与IP地址或MAC 地址的捆绑;采用2.5层的vlan聚合技术(如代理ARP
等),解决vlan浪费IP地址的问题。


用户按时长计费的要求,只能适用于包月制。
13
网络安全体系结构
防火墙/ASPF技术

关键技术:包过滤防火墙技术;状态防火墙技术(ASPF);专
用防火墙技术。

能够解决的安全问题:防火墙技术运用在汇聚层设备,主要 保护接入用户,包括阻止用户的非授权业务,阻止外部对接
入用户的非法访问等;ASPF技术可以保护接入用户和网络

访问控制:拒绝任何来自外部网络而其源地址为内部 网络的流量。如果某些外部地址也可靠,此方法无效。

RFC 2827过滤:防止一个网络的用户欺骗其他网络。
26
网络安全攻击
服务拒绝(Denial of Service)

DoS(Deny Of Service)就是攻击者通过使你的网络 设备崩溃或把它压跨(网络资源耗尽)来阻止合法用 户获得网络服务,DOS是最容易实施的攻击行为。
相关主题