HM-043 网络安全特性ISSUE 5.1日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 了解安全特性的基本内容n 明确AAA服务的具体内容n 掌握RADIUS协议的基本原理和配置课程目标学习完本课程，您应该能够：n 安全特性概述n AAAn RADIUS目录www.h3c.com4网络安全概述l 网络安全是Internet必须面对的现实问题l 网络安全是一门综合性的技术l 网络安全具有两层含义：保证内部局域网的安全（不被非法侵入）保护内网和外部进行数据交换的安全l 随着网络安全技术的完善和更新，网络安全将是一个永恒的话题。www.h3c.com5网络安全关注的范围l 常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识www.h3c.com6网络安全的必要技术l 针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性：可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理www.h3c.com7可靠性和线路安全l 可靠性要求主要针对故障恢复和负载能力主备运行：主接口故障时，备份接口自动接替主用接口的工作负载分担：网络流量增大时，备份链路承担部分主用链路的工作l 线路安全指的是线路本身的安全性防止非法用户利用线路接口进行访问www.h3c.com8身份认证l 访问路由器时的身份认证 Console口配置 Telnet登陆配置 SNMP配置 Modem远程配置 l 对其它路由器的身份认证 直接相连的邻居路由器 逻辑连接的对等体 l 路由信息的身份认证 防止伪造路由信息的侵入www.h3c.com9访问控制l 对网络设备的访问控制分级保护不同级别的用户拥有不同的操作权限l 基于五元组的访问控制根据数据包信息进行数据分类不同的数据流采用不同的策略l 基于用户的访问控制对于接入服务用户，设定特定的过滤属性www.h3c.com10信息隐藏l 地址转换隐藏私网内部地址仅仅是内部用户可以直接发起建立连接请求l 应用场合内部局域网访问Internetwww.h3c.com11数据加密和防伪l 数据加密 利用公网传输数据不可避免地面临数据窃听的问题 传输之前进行数据加密，保证只有与之通信的对端 能够解密 l 数据防伪 报文在传输过程中，有可能被攻击者截获、篡改并 重新投放到网络上 接收端需要进行数据完整性鉴别，丢弃被篡改的数 据报文 l 相关技术 数据加密 数字签名 IPSecwww.h3c.com12安全管理l 保证重要的网络设备处于安全的运行环境， 防止人为破坏l 保护好访问口令、密码等重要的安全信息l 进行安全策略管理，有效利用安全策略l 在网络出入口实现报文审计和过滤，提供网 络运行的必要信息www.h3c.com13H3C路由器的安全技术l AAA（Authentication，Authorization，Accounting）网络安全服务提供一个实现身份认证的主框架提供验证、授权、计费服务使用RADIUS等协议实现对网络的访问控制www.h3c.com14H3C路由器的安全技术（续）l 包过滤技术 提供访问控制的基本框架提供基于IP地址等信息的包过滤提供基于接口的包过滤提供基于时间段的包过滤www.h3c.com15H3C路由器的安全技术（续）l 地址转换技术 地址转换技术提供内部用户透明访问外部网络的 功能有效屏蔽内部网络的地址，禁止外部主机直接访 问内部网络实现内部主机的隐藏www.h3c.com16H3C路由器的安全技术（续）l IPSec和IKE技术 IPSec（IP Security）可以实现数据的加密以及 防伪，可以在不安全的线路上传输加密信息，形 成“安全的隧道”。可以为Internet上的数据传输 提供安全的VPN解决方案。 IKE（密钥交换协议）为通信双方提供交换密钥 等服务，IKE定义了通信双方进行身份认证、协 商加密算法以及生成共享的会话密钥的方法。并 且保证永远不在不安全的网络上直接传送密钥， 而是通过一系列交换信息计算密钥。www.h3c.com17H3C路由器的安全技术（续）l隧道技术 隧道技术是实现VPN的核心技术 二层隧道技术主要有VPDN，主要用来提供拨号接入服务 三层隧道技术主要有GRE和IPSec，主要用来使用户在 Internet上构建对等的虚拟专网二层隧道示意图三层隧道示意图www.h3c.com18安全接入Internetl基于接口的包过滤 l基于时间段定义过滤规则 l通过地址转换灵活访问Internet l外部不能直接访问内部网络 l通过地址转换向外提供WWW、FTP等服务器www.h3c.com19组建安全的VPNl出差员工通过当地的ISP接入到Internet，进而接 入公司总部 l办事处及分支机构通过GRE和IPSec实现与总部 私网的互联，所有的数据报文被加密传送。n 安全特性概述n AAAn RADIUS目录www.h3c.com21AAA概述l验证（Authentication）l授权（Authorization）l计费（Accounting）RADIUS Server本地实现AAA使用RADIUS服务器实现AAAH3C 路由器H3C 路由器www.h3c.com22提供AAA支持的服务H3C 路由器Telnet客户端拨入设备FTP 客户端PPPH3C 路由器H3C 路由器www.h3c.com23验证与授权验 证授 权用户名、口令验证PPP的CHAP验证主叫号码认证服务类型回呼号码隧道属性www.h3c.com24计费及AAA使用特别提醒l 记录用户使用资源情况l 只能使用AAA服务器进行计费l 对于通过验证的用户缺省都要进行计费l 如果不希望计费一定要配置如下命令：（ISP域视图）accounting optional www.h3c.com25AAA基本配置命令l 配置命令 domain isp-name | default disable | enable isp-name accounting-scheme optional scheme radius-scheme radius-scheme- name local | hwtacacs-scheme hwtacacs- scheme-name local | local | none l 方法表 5种有效组合：radius、local、none、radius local、hwtacacs-schemewww.h3c.com26本地用户数据库本地用户数据库用户名用户口令授权服务主叫号码回呼号码FTP授权目录local-user display users用 户 数 据相关命令www.h3c.com27本地AAA配置举例l 配置test域为默认域 H3C domain default enable test l 配置不计费时仍然允许test域用户访问（ISP 域视图） H3C-isp-test accounting optional l 配置特定接口拨入的PPP用户的缺省验证方法 H3C-Serial0/0ppp authentication-mode pap scheme domain testwww.h3c.com28调试和监控信息l 显示在线用户 display usersn 安全特性概述n AAAn RADIUS目录www.h3c.com30RADIUS概述l RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协 议l 实现AAA（授权Authorization、验证 Authentication和计费Accounting）功能www.h3c.com31RADIUS实现AAA的流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网RADIUS ServerH3C 路由器www.h3c.com32RADIUS结构及基本原理l RADIUS协议采用客户机/服务器（ Client/Server）结构，使用UDP协议作为传 输协议 l RADIUS使用MD5加密算法对数据包进行数 字签名，以及对口令进行加密 l RADIUS报文结构灵活，扩展性强各属性类型长度值类型码ID长度验证字www.h3c.com33RADIUS验证与授权l 验证、授权过程如下： 路由器将得到的用户信息打包向RADIUS服务器 发送 RADIUS服务器对用户进行验证： 合法用户返回访问接受报文（用户授权信息） 非法用户返回访问拒绝报文 路由器接受服务器的响应报文： 访问接受报文允许上网，使用其授权信息对用户 进行处理 访问拒绝报文拒绝用户上网请求www.h3c.com34l 每次计费过程包括计费请求、计费应答 l 对一个用户的计费过程有：l 计费信息：l 计费失败处理RADIUS计费计费开始实时计费计费结束会话时长输入字节数输出字节数输入包数输出包数www.h3c.com35RADIUS用户管理l RADIUS协议为标准协议，遵循RADIUS协 议的所有服务器可以互通l 用户管理放置在RADIUS服务器端进行，有 相应的管理软件l 用户可以灵活选用RADIUS服务器及用户管 理软件www.h3c.com36RADIUS基本配置l 创建RADIUS方案并进入其视图 radius scheme radius-scheme-name l 配置主从RADIUS认证/授权的IP地址和端口号（ RADIUS视图） primary authentication ip-address port-number secondary authentication ip-address port-number l 配置主从RADIUS计费的IP地址和端口号 （ RADIUS视图） primary accounting ip-address port-number secondary accounting ip-address port-number l 在ISP域中应用RADIUS策略（ISP域视图） scheme radius-scheme radius-scheme-name www.h3c.com37RADIUS配置举例l 启用基于RADIUS的AAA认证计费机制 H3C radius scheme test l 配置RADIUS服务器IP地址和端口 （ RADIUS视图 ） H3C-radius-test primary authentication 1.1.1.1 1812 H3C-radius-test primary accounting 1.1.1.1 1813 l 创建一个ISP域并在该域中应用RADIUS策略 H3C domain isp_test H3C-isp-isp_testscheme radius-scheme test l 配置特定接口拨入的PPP用户的缺省验证方法表 H3C-Serial0/0ppp authentication-mode pap scheme domain testwww.h3c.com38RADIUS配置举例（续）l 配置RADIUS服务器密钥、重传次数、超时 定时器 H3C-radius-test key authentication 123 H3C-radius-