第6章 网络安全设计【本章要点】通过本章学习，读者应了解网络威胁与对 策，服务器威胁与对策，802.1x+RADIUS的 应用，以及几种认证方式比较和DMZ的概念 。基本掌握802.1x协议及工作机制，基于 RADIUS的认证计费，防止IP地址盗用的技术 ，网络防病毒技术。基本掌握路由器+防火 墙保护网络边界的方法，标准访问列表和扩 展访问列表的应用。6.1网络安全设计的原则1.网络信息安全的木桶原则 2.网络信息安全的整体性原则 3.安全性评价与平衡原则 4.标准化与一致性原则 5.技术与管理相结合原则 6.统筹规划，分步实施原则 7.等级性原则 8.动态发展原则 9.易操作性原则6.2网络安全威胁与防范网络安全历来都是人们讨论的主要话题之 一。网络安全不但要求防治网络病毒，而且要 提高网络系统抵抗外来非法入侵的能力，还要 提高对远程数据传输的保密性，避免在传输途 中遭受非法窃取。下面从威胁、对策、缺陷、 攻击的角度来分析网络系统安全。6.2.1网络威协与防范1.信息收集 2.探查 3.欺骗 4.会话劫持 5.拒绝服务服务器的主要威胁与对策有以下种。1. 病毒、蠕虫和特洛伊木马2.破解密码3.拒绝服务与分布式拒绝服务4.任意执行代码5.未授权访问6. 足迹7.应用程序威胁与对策6.2.2服务器威胁与防范表6-1应用程序的主要威胁根据应用程序缺陷划分的威胁类别列表 类别威胁输入验证缓冲区溢出，跨站点脚本编写，SQL 注入，标准化身份验证网络窃听，强力攻击，词典攻击，重放 cookie，盗窃凭据授权提高特权，泄漏机密数据，篡改数据，引诱攻击配置管理未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据， 缺乏个人可记账性，越权进程和服务账户 敏感数据访问存储器中的敏感数据；窃听网络；篡改数据会话管理会话劫持；会话重放；中间人加密技术密钥生成或密钥管理差；脆弱的或者自定义的加密术参数操作查询字符串操作；窗体字段操作；cookie 操作；HTTP 标头操作异常管理信息泄漏；拒绝服务1.身份验证 2.边界安全 3.数据私密性 4.安全监控 5.策略管理6.2.3常用网络安全技术6.2.4安全事件响应小组1.制定事件响应计划的前期准备 （1）建立事件响应小组和明确小组成员 （2）明确事件响应目标 （3）准备事件响应过程中所需要的工具软件 系统及数据的备份和恢复软件。 系统镜像软件。 文件监控及比较软件。 各类日志文件分析软件。 网络分析及嗅探软件。 网络扫描工具软件。 网络追捕软件。 文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。 如有可能，还可以准备一些反弹木马软件。6.3.1 802.1x协议及工作机制6.3网络安全接入与认证图6.1 802.1x协 议的核心内容图6.2 802.1x协议的体系结构6.3.2 RADIUS的认证RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信 息。 基本交互步骤如下： （1） 用户输入用户名和口令； （2） RADIUS客户端根据获取的用户名和口令，向RADIUS服务器发送 认证请求包（access-request）。 （3） RADIUS服务器将该用户信息与users 数据库信息进行对比分析， 如果认证成功，则将用户的权限信息以认证响应包（access-accept ）发送给radius 客户端；如果认证失败，则返回access-reject 响应 包。 （4） RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以 接入用户，则RADIUS 客户端向radius 服务器发送计费开始请求包（ accounting-request），status-type 取值为start； （5） RADIUS服务器返回计费开始响应包（accounting-response）；6.3.2 RADIUS的认证（6） RADIUS客户端向RADIUS服务器发送计费停止请求包（accounting- request），status-type 取值为stop； （7） RADIUS服务器返回计费结束响应包（accounting-response）。参见 图6.3。 图6.3 RADIUS服 务器返回计费结 束响应包8021x协议认证过程是用户与服务器交互的过程，其认证步骤如下。 （1）用户开机后，通过8021x客户端软件发起请求，查询网络上能 处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包， 就会向客户端发送响应包，并要求用户提供合法的身份标识，如用 户名及其密码。 （2）客户端收到验证设备的响应后，提供身份标识给验证设备。由于 此时客户端还未经过验证，因此认证流只能从验证设备的未受控的 逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器， 进行认证。 （3）如果认证通过，则认证系统的受控逻辑端口打开。 （4）客户端软件发起DHCP请求，经认证设备转发到DHCPServer。 6.3.3 802.1x的认证（5）DHCPServer为用户分配IP地址。 （6）DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信 息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限 。 （7）当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开 始对用户计费。 （8）如果用户退出网络，可以通过客户端软件发起退出过程，认证设备检测到 该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息（如物理 地址和IP地址），受控逻辑端口关闭；用户进入再认证状态。 （9）验证设备通过定期的检测保证链路的激活。如果用户异常死机，则验证设 备在发起多次检测后，自动认为用户已经下线，于是向认证服务器发送终止 计费的信息。6.3.3 802.1x的认证nPPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第 一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器 。因此，也就决定了在用户主机和服务器之间，不能有路由器或三层 交换机。另外，由于PPPoE点对点的本质，在用户主机和服务器之间 ，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的 开展。除此之外，PPP协议需要再次封装到以太网中，所以效率很低。nWebDHCP采用旁路方式网络架构时，不能对用户进行类似带宽管理 。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种 方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外 的手段来控制。除此之外，用户连接性差，易用性不够好。6.3.4 认证方式比较6.3.5802.1x+RADIUS的应用案例锐捷802.1x的安全接入交换机和RADIUS认证计费系统， 具有以下应用特点。（1）一次同时认证用户名、IP、MAC。在802.1x认证时，客户 端同时提交用户名、IP、MAC，一次认证即同时完成用户名 、IP、MAC三者的认证。（2）分布式认证方式，防止出现单一故障点。（3）认证流和业务流实现分离，实现高效的认证，防止出现用 户无法认证的情况。（4）灵活扩展计费功能。1.系统服务包和安全补丁 2.使用安全系数高的密码 3.做好边界防护 4.关闭没有使用的服务 5.使用数据加密 6.通过备份保护你的数据 7.加密敏感通信 8.不要信任外部网络 9.使用不间断电源支持6.4 操作系统安全设计1.利用 Win2000 的安全配置工具来配置策略2关闭不必要的服务3关闭不必要的端口4打开审核策略5. 整理和收集日志文件信息6开启帐户策略7设定安全记录的访问权限8把敏感文件存放在另外的文件服务器中9. 不让系统显示上次登陆的用户名10. 禁止建立空连接11. 到微软网站下载最新的补丁程序服务器的安全和配置的中级策略 1.关闭DirectDraw 2. 关闭默认共享 3. 禁止Dump file的产生 4. 使用文件加密系统EFS 5. 加密 Temp 文件夹 6. 锁住注册表 7. 关机时清除掉页面文件 8. 禁止从软盘和 CD Rom 启动系统 10. 考虑使用IPSec 9. 考虑使用智能卡来代替密码服务器安全的最后配置策略阶段6.5 WEB服务器安全设计1.对内部和外部应用分别使用单独的服务器 2.使用单独的开发服务器测试和调试应用软件 3.审查网站活动，安全存储日志 4.培训开发者进行可靠的安全编码 6.使用应用软件扫描 5.给操作系统和Web服务器打补丁 6.6网络边界安全设计n6.6.1防火墙和路由器n网络边界防御需要添加一些安全设备来保护进入网络的每个 访问。这些安全设备要么阻塞、要么筛选网络流量来限制网 络活动。或者仅仅允许一些固定的网络地址在固定的端口上 可以通过网管员的网络边界。n这些边界安全设备叫防火墙。防火墙阻止试图对组织内部网 络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝 服务攻击，禁止一定范围内黑客利用Internet来探测用户内 部网络的行为。阻塞和筛选规则由网管员所在机构的安全策 略来决定。防火墙也可以用来保护在Intranet中的资源不会 受到攻击。1.防火墙是网络安全的屏障 2.防火墙可以强化网络安全策略 3.对网络存取和访问进行监控审计 4.防止内部信息的外泄6.6.1防火墙和路由器6.6.2使用网络DMZ图6.4 网络结构图图6.5 DMZ网络结构6.6.3 ACL1.ACL的作用 2.ACL的分类 3.ACL的配置 4.ACL配置实例ACL的操作1.ACL的执行过程 2.设置ACL的位置图6.6 ACL设置6.6.4扩展ACL的应用1.利用标准ACL控制网络访问 2.利用扩展ACL控制网络访问 3.基于端口和VLAN的ACL访问控制综合练习六1.画图描述802.1x协议及工作机制。2.画图描述基于RADIUS的认证计费。3.简述ACL的作用及应用。实训六 加固操作系统的安全1.加固操作系统的安全 （1）实训目的：了解Windows 2000 Server系统弱点和漏 洞，掌握加固操作系统安全技术。 （2）实训资源：工具和准备工作：安装与配置好的 Windows 2000 Server服务器。连接中国教育和科研安 全网站http:/www.ccert.edu.cn，下载Windows 2000 Server中文版SP4和其他安全补丁。 （3）实训内容：安装SP4系统服务包和安全补丁，限制用 户权限，设置NTFS权限保护文件和目录，删除或禁用不 必要的组件和服务，设置日志和审核，文件系统加密。 （4）实训步骤：实训结束后写出实训总结报告。 2.使用访问控制列表建立防火墙（1）实训目的：了解路由器的访问控制列表配置与使用过 程，会运用标准、扩展访问控制列表建立基于路由器的 防火墙，保护网络边界。（2）实训资源、工具和准备工作：Catalyst2621路由器2 台，Windows2000客户机2台，Windows2000S erver IIS服务器2台，集线器或交换机2台。制作好的UTP网络 连接（双端均有RJ-45头）平行线若干条，交叉线（一端 568A，另一端568B）一条。网络连接参考和子网地址分 配可参考图6.7。（3）实训内容：设置图中各台路由器名称、IP地址 、一般用户口令、静态路由，保存配置文件。安 装与配置IIS服务器，设置WWW服务器的IP地址 。安装和配置客户机，设置客户机的IP地址。分 别对两台路由器设置扩展访问控制列表，调试网 络，使子网1的客户机只能访问子网2的Web服务 80端口，使子网2的客户机只能访问子网1的Web 服务80端口。（4）实训步骤：配置路由器名称、IP地址、一般用户口令、特 权用户口令、静态路由，保存配置文件。安装与配置IIS服务器，设置WWW服务器的IP 地址。安装与配置客户机，设置客户机的IP地址。路由器设置扩展访问控制列表，调试网络。使 子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户