能够解决的安全问题：通过对策略的管理和分配，能 够实现全网范围内的网络安全。
16
网络安全体系结构
VPN技术

关键技术：目前有多种形式的 VPN，对于运营商主要是 VPDN 和 VPRN 。 VPDN 技术比较明朗，主要是 L2TP ， VPRN 技术包 括GRE和MPLS，目前MPLS被普遍看好。MPLS技术又包括扩
32
网络安全攻击
泪滴(teardrop)—DoS
33
网络安全攻击
泪滴(teardrop)—DoS

减轻危害的方法

服务器应用最新的服务包，或者在设置防火
墙时对分片进行重组，而不是转发它们。
34
网络安全攻击
UDP洪水(UDP flood)—DoS

各 种 各 样 的 假 冒 攻 击 利 用 简 单 的 TCP/IP 服 务 ， 如

DoS 主要包括 ping of death 、 teardrop 、 UDP flood 、
TCP SYN Flood、land攻击、smurf攻击等。
27
网络安全攻击
服务拒绝(Denial of Service)

DDoS（Distributed Denial Of Service）

黑客侵入并控制了很多台电脑，并使它们一起向 主机发动DoS攻击，主机很快陷于瘫痪，这就是分 布式拒绝服务攻击 ——DDoS （ Distributed Denial
4
网络安全体系结构
访 问 控 制 安 全 检 测 用 户 鉴 权 传 输 安 全
出 存 入 取 控 控 制 制
安 入 数 主 口 智 数 传 侵 全 体 令 字 能 输 防 据 扫 检 特 机 证 卡 抵 完 数 测 描 征 制 书 赖 整 据 鉴 加 别 密
密 技 术 令 技 术 加 击 技 术 口 控 制 表 技 术 攻 安 全 协 议

用户按时长计费的要求，只能适用于包月制。
13
网络安全体系结构
防火墙/ASPF技术

关键技术：包过滤防火墙技术；状态防火墙技术(ASPF)；专
用防火墙技术。

能够解决的安全问题：防火墙技术运用在汇聚层设备，主要 保护接入用户，包括阻止用户的非授权业务，阻止外部对接
入用户的非法访问等； ASPF 技术可以保护接入用户和网络
路由保护 分级分权管理
接入层
汇聚层
骨干层
IDC
10
网络安全体系结构
用户隔离和识别

关键技术：接入/汇聚层设备支持 VLAN的划分；VLAN 数量应不受4096的限制；支持VLAN ID与IP地址或MAC 地址的捆绑；采用 2.5 层的 vlan 聚合技术（如代理 ARP
等），解决vlan浪费IP地址的问题。
6

信息安全管理


接入安全控制


业务安全开展

网络安全体系结构
VRP网络安全模型——P2DR
用户 隔离 身份 认证
访问 控制
数据 加密
防护
ASPF
策略 更改
告警安全 策略来自入侵 检测黑名单
日志
P2DR（Policy、Protection、Detection、Response）模型是网络安全 管理基本思想，贯穿IP网络的各个层次


24
网络安全攻击
IP欺骗(IP Spoofing)

IP 欺骗是指网络内部或外部的黑客模仿一台可靠计算机
会话（IP协议头中源IP地址欺骗）

IP欺骗通常会引发其他的攻击－－DoS。 实现与攻击目标双向通讯办法－－更改网络上的路由表。

25
网络安全攻击
IP欺骗(IP Spoofing)

减轻危害的方法：
21
网络安全攻击
报文窃听(Packet Sniffers)

报文窃听是一种软件应用，该应用利用一种处于 无区别模式的网络适配卡捕获通过某个冲突域的 所有网络分组。

可以轻易通过解码工具（ sniffers/netxray 等）获得 敏感信息（用户密码等）。
22
网络安全攻击
报文窃听(Packet Sniffers)
7
网络安全体系结构
IP网络的安全模型

实时的动态检测：包括设备日志、动态防火墙以及专用 入侵检测等技术。

有效的攻击响应：包括告警等自动响应以及策略更改、 黑名单等手动响应操作。

基本的预防防护：包括用户隔离、身份认证、访问控制、
数据加密、动态防火墙等技术。

核心的策略管理：包括网管和策略管理技术。
Of Service）。
28
网络安全攻击
死亡之ping(ping of death)—DoS

一般网络设备对包的最大处理尺寸都有限制，许多操作 系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且
在对包的标题头进行读取之后，要根据该标题头里包含
的信息来为有效载荷（PayLoad）生成缓冲区。
8
网络安全体系结构
VRP平台安全结构
安全管理
管理层面
•企业接入安全 •专网安全 •安全VPN业务 •丰富的电子商务应用 •防火墙 •内容过滤 •用户认证 •CA认证 •访问控制
安 全 业 务
安 全 技 术
应用层面
•地址转换/隐藏 •数据加密 •入侵检测 •安全日志 •……
基础层面
9
网络安全体系结构

关掉不必要的TCP/IP服务 对防火墙进行配置阻断来自Internet的对这些 服务的请求

能够解决的安全问题：防止用户之间利用二层窃取信息， 利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP 地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在 安全问题发生时便于快速定位。
11
网络安全体系结构
流控技术

关键技术：接入报文合法性验证、流分类、流量监 管和控制（CAR）、路由转发、队列调度。

现在所有的标准 TCP/IP都已实现对付超大尺寸的包， 并且大多数防火墙能够自动过滤这些攻击。

对操作系统进行升级和打补丁
31
网络安全攻击
泪滴(teardrop)—DoS

利用那些在 TCP/IP 堆栈实现中信任 IP 分片中的 IP 协议
首部所包含的信息来实现攻击。

IP 分片含有指示该分片所包含的是原数据报文的哪一 段信息，某些设备在收到重叠 IP 分段报文时会崩溃或 严重异常。

SA定义了数据保护中使用的协议和算法以及安全联盟的
有效时间等属性。IPSec有隧道和传输两种工作方式。

能够解决的安全问题：与VPN技术结合保证用户数据传 输的私有性、完整性、真实性和防重放性
18
网络安全体系结构
CA技术

关键技术：CA技术是安全认证技术的一种，它基于公开密 钥体系，通过安全证书来实现。安全证书由CA中心分发并 维护。网络设备对CA中心的支持包含两方面的内容，其一 是针对CA中心的管理功能完成与CA中心的交互；其二即是 网络设备作为通信实体的认证功能。
Chargen和Echo来传送毫无用处的数据。

通过伪造与主机的 Chargen 服务的一次的 UDP 连接，回 复地址指向开着 Echo 服务的一台主机，这样就生成在 两台设备之间的足够多的无用数据流，从而导致带宽不 足的严重问题。
35
网络安全攻击
UDP洪水(UDP flood)—DoS

减轻危害的方法
设备本身免受恶意攻击，但是ASPF 技术的采用会带来设备 性能的下降；另外在城域数据中心一般采用专用防火墙。
14
网络安全体系结构
安全日志

关键技术：网管技术；设备安全日志。

能够解决的安全问题：对网络攻击提供分析检测手段。
15
网络安全体系结构
策略管理

关键技术：LDAP协议；RADIUS+协议；策略服务器 技术。
网络安全
固网宽带技术支持部
目录
网络安全体系结构 网络安全攻击 防火墙技术 入侵检测技术
网络安全策略
网络安全案例 参考资料
2
网络安全体系结构
网络安全必要性

伴随互联网发展重要信息变得非常容易被获取

个人数据
重要企业资源
政府机密

网络攻击变的越来越便利


黑客（crack）技术在全球范围内共享
23
网络安全攻击
报文窃听(Packet Sniffers)

减轻危害的方法：

验 证 (Authentication) ： 采 用 一 次 性 密 码 技 术 (one-timepasswords OTPs) 交换型基础设施：用交换机来替代HUB，可以减少危害。 防窃听工具：使用专门检测网络上窃听使用情况的软件 与硬件。 加密：采用 IP Security (IPSec) 、 Secure Shell (SSH) 、 Secure Sockets Layer (SSL)等技术。
5
网络安全体系结构
可运营IP网络的安全需求

网络安全管理

网络结构安全，路由的稳定性，各节点设备的安全，设备操 作的安全以及网络安全政策实施。 信息传输的安全，计费/认证信息的安全，信息服务器的安全。 身份认证，用户隔离，访问控制。 增对不同的业务采取具体的措施，譬如高速上网业务需要保 证用户之间的隔离，专线业务需要保证 QoS，虚拟专线业务 需要保证QoS和信息安全。
易用型操作系统和开发环境普及
3
网络安全体系结构