沈鑫剡编著(网络安全)教材配套课件第9章_第1页
沈鑫剡编著(网络安全)教材配套课件第9章_第2页
沈鑫剡编著(网络安全)教材配套课件第9章_第3页
沈鑫剡编著(网络安全)教材配套课件第9章_第4页
沈鑫剡编著(网络安全)教材配套课件第9章_第5页
已阅读5页,还剩47页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络安全第九章第9章互连网安全技术本章主要内容互连网安全技术概述;安全路由;流量管制;NAT;VRRP。

9.1互连网安全技术概述本讲主要内容路由器和互连网结构;互连网安全技术范畴和功能。一、路由器和互连网结构1.互连网结构一、路由器和互连网结构1.互连网结构多个不同类型的网络通过路由器连接在一起,路由器采用数据报交换方式,通过路由项指出通往每一个网络的传输路径,路由表是路由项的集合。连接在不同传输网络上的两个主机之间的传输路径分为两个层次,一是传输网络建立的连接在同一传输网络上的两个结点之间的传输路径。二是IP传输路径,由源和目的主机、路由器和传输网络组成。一、路由器和互连网结构2.路由器作用路由器的作用主要有三个,一是通过多个连接不同类型的传输网络的接口实现不同类型传输网络的互连,二是建立用于指明通往互连网中每一个网络的传输路径的路由项,三是实现IP分组的转发过程。一、路由器和互连网结构黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由器的攻击行为。3.针对路由器的攻击路由项欺骗攻击;拒绝服务攻击。二、互连网安全技术范畴和功能1.互连网安全技术范畴互连网安全技术可以分为三类,第一类是有着专门用途的安全技术,如防火墙、入侵检测系统和虚拟专用网(VPN)等。第二类是有着一般用途的安全技术,如防路由项欺骗、NAT、流量管制等。第三类是用于提高互连网可靠性、容错性的技术,如虚拟路由器冗余协议(VRRP)等。二、互连网安全技术范畴和功能只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。2.互连网安全技术功能安全路由;流量管制;NAT;VRRP。9.2安全路由本讲主要内容防路由项欺骗攻击机制;路由项过滤;单播反向路径验证;策略路由。一、防路由项欺骗攻击机制1.路由项欺骗攻击过程一、防路由项欺骗攻击机制1.路由项欺骗攻击过程黑客终端发送一项LAN4与其直接相连的路由项;路由器R1将通往LAN4传输路径上的下一跳改为黑客终端;路由器R1将目的网络是LAN4的IP分组转发给黑客终端。一、防路由项欺骗攻击机制2.路由项源端鉴别和完整性检测路由器接收到路由消息后,必须确认是合法路由器发送的,且路由消息包含的路由项没有被篡改后,才对路由消息进行处理,并根据处理结果修改路由表。一、防路由项欺骗攻击机制2.路由项源端鉴别和完整性检测

某个路由器组播路由消息时,该路由器根据路由消息和密钥K计算散列消息鉴别码(HMAC),并将HMAC附在路由消息后面一起组播给其他相邻路由器。一、防路由项欺骗攻击机制2.路由项源端鉴别和完整性检测

其他相邻路由器接收到该路由消息后,首先根据路由消息和密钥K计算HMAC,然后将计算结果和附在路由消息后面的HMAC比较,如果相同,表明发送者和接收者具有相同密钥,且路由消息在传输过程中没有被篡改。二、路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。三个网络,其中两个是内部网络。过滤器中的目的网络包含两个内部网络。路由消息中不包含被过滤器屏蔽掉的两个内部网络。三、单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地址的IP分组;路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。193.1.1.5193.1.1.7193.1.1.5四、策略路由策略路由允许为符合特定条件的IP分组选择特殊的传输路径,这种特殊的传输路径往往不是根据路由协议产生的通往该IP分组目的地的传输路径。策略路由项分为两部分,一部分是IP分组分类条件,它由IP首部和TCP首部字段值组成,和这些字段值相同的IP分组作为符合分类条件的IP分组。另一部分是下一跳地址。9.3流量管制本讲主要内容拒绝服务攻击和流量管制;信息流分类;管制算法;流量管制抑止拒绝服务攻击机制。一、拒绝服务攻击和流量管制SYN泛洪攻击过程一、拒绝服务攻击和流量管制分布式拒绝服务(DDoS)攻击过程一、拒绝服务攻击和流量管制拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文,因此,只要能够限制某类报文的流量,就能够抑制拒绝服务攻击。二、信息流分类信息流分类是要从IP分组流中分离出属于特定应用的一组IP分组,如需要分离出建立TCP连接过程中的第一个请求报文,需要从IP分组流中分离出具有如下特征的IP分组:IP首部协议字段值:6(TCP);TCP首部控制标志位:SYN=1,ACK=0。三、管制算法漏斗管制算法保证信息流恒速输出;突发性信息流存储在分组输出队列,队列稳定器以指定速率输出分组;如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链路空闲。漏斗漏斗管制算法实现过程三、管制算法令牌生成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丢弃后续令牌,每一个令牌对应K字节,令牌桶容量为U令牌;如果分组输出队列头的分组的字节数>(P-1)×K,则只当令牌桶中包含的令牌数≥P时,才允许输出该分组,并从令牌桶中取走P个令牌,如果令牌桶中令牌数<P,停止输出,直到令牌桶中令牌数≥P;平均输出速率=V×K/s(单位字节),突发性数据长度=U×K(单位字节)。四、流量管制抑止拒绝服务攻击机制校园网物理结构图四、流量管制抑止拒绝服务攻击机制校园网逻辑结构图四、流量管制抑止拒绝服务攻击机制抑制SYN泛洪攻击的流量管制器分类标准(1)目的IP地址=IPA或IPB(2)IP首部协议字段值=6(TCP)(3)TCP首部控制标志位:SYN=1,ACK=0速率限制:平均传输速率=64kbps,突发性数据长度=8000B四、流量管制抑止拒绝服务攻击机制抑制DDoS攻击流量管制器分类标准(1)目的IP地址=IPA或IPB(2)IP首部协议字段值=1(ICMP)(3)ICMP类型字段值:8(ECHO请求)或0(ECHO响应)速率限制:平均传输速率=64kbps,突发性数据长度=8000B9.4NAT本讲主要内容NAT概述;动态PAT和静态PAT;动态NAT和静态NAT;NAT的弱安全性。一、NAT概述NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP地址内部本地地址至内部全球地址的转换、目的IP地址外部本地地址至外部全球地址的转换,对从外部网络转发到内部网络的IP分组实现源IP地址外部全球地址至外部本地地址的转换、目的IP地址内部全球地址至内部本地地址的转换的技术。一、NAT概述三组私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共网络使用的全球地址空间中不允许包含属于这三组IP地址的地址空间一、NAT概述局域网接入Internet过程NAT应用一一、NAT概述内部网络和外部网络互连NAT应用二一、NAT概述内部网络之间相互通信NAT应用三二、动态PAT和静态PAT内部网络终端发送的IP分组,进入Internet时,以边缘路由器连接Internet端口的全球IP地址为源IP地址,为了正确鉴别源终端,用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时通过地址转换表建立绑定,会话结束时取消绑定;端口地址转换技术只能用于IP分组净荷是运输层报文的情况。二、动态PAT和静态PAT允许Internet中的终端发起访问内部网络中的服务器的过程,需要静态配置服务器本地地址与局域网内唯一端口号之间的映射三、动态NAT和静态NAT动态地址转换以会话为单位,会话开始时在全球IP地址池中分配一个未使用的IP地址,并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定和关联;IP分组进入Internet时,用全球IP地址取代本地地址。IP分组进入内部网络时,用本地地址取代全球IP地址;动态NAT不需改动源端口号,因此,原则可用于IP分组净荷不是运输层报文的情况。三、动态NAT和静态NAT端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前,内部网络终端对外部网络是透明的。而且,建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网络终端发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,但不允许外部网络终端发起和内部网络终端之间的会话;静态NAT将建立本地地址和全球IP地址的固定关联,这样,允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。四、NAT的弱安全性除了静态NAT和静态PAT外,在内部网络终端发起某个会话前,外部网络终端是无法访问到内部网络终端的,因此,也无法发起对内部网络终端的攻击,这是NAT被作为网络安全机制的主要原因。9.5VRRP本讲主要内容容错网络结构;VRRP工作原理;VRRP应用实例。一、容错网络结构每一个以太网内部通过链路冗余和生成树协议保证在发生单条链路故障的情况下仍然保持连接在同一以太网上的终端之间的连通性。同时,路由器R1和R2分别有接口连接到两个以太网,保证在其中一个路由器发生故障的情况下仍然保持连接在不同以太网上的终端之间的连通性。二、VRRP工作原理多个有接口连接在同一个网络上的VRRP路由器构成一个虚拟路由器,这些VRRP路由器中只有一个VRRP路由器是主路由器,其他路由器为备份路由器,每一个虚拟路由器分配唯一的8位二进制数的虚拟路由器标识符,对虚拟路由器配置多虚拟IP地址,虚拟IP地址与MAC地址00-00-5E-00-01-{VRID}绑定。二、VRRP工作原理分别在路由器R1和R2创建VRID为2的虚拟路由器分别为路由器R1和R2的接口1分配IP地址为路由器R1和R2的接口1分配优先级为VRID为2的虚拟路由器分配虚拟IP地址该IP地址成为连接在网络上的终端的默认网关地址虚拟路由器根据VRID=2生成虚拟MAC地址00-00-5E-00-01-02

二、VRRP工作原理二、VRRP工作原理每一个VRRP路由器启动后,处于初始化状态,如果该VRRP路由器是IP地址拥有者,立即成为主路由器,发送图VRRP报文,然后,周期性地发送VRRP报文

主路由器接收到VRRP报文,如果发送VRRP报文的路由器的优先级更高,主路由器立即转换为备份路由器,停止发送VRRP报文备份路由器接收到VRRP报文,如果备份路由器的优先级更高,且备份路由器允许抢占方式,转换为主路由器,发送VRRP报文

二、VRRP工作原理主路由器功能必须对请求解析虚拟IP地址的ARP请求报文做出响应;必须对封装在以虚拟MAC地址为目的MAC地址的MAC帧中的IP分组进行转发操作;在成为主路由器时,立即发送将所有虚拟IP地址绑定到虚拟MAC地址的ARP报文,使得网络内的所有终端将默认网关地址与虚拟MAC地址绑定在一起。备份路由器功能不对请求解析虚拟IP地址的ARP请求报文做出响应;丢弃接收到的以虚拟MAC地址为目的地址的MAC帧;丢弃接收到的以虚拟IP地址为目的地址的IP分组。二、VRRP工作原理如果终端在ARP缓存中找不到与默认网关地址绑定的MAC地址,会发送一个请求解析该默认网关地址的ARP请求报文,该ARP请求报文在终端所连接的网络中广播,连接在该网络上的所有VRRP路由器都接收到该ARP请求报文,但只有主路由器对该ARP请求报文做出响应,并在ARP响应报文中将虚拟MAC地址与默认网关地址绑定在一起。

二、VRRP工作原理当路由器R2成为主路由器时,立即发送一个VRRP报文,该VRRP报文最终被封装成

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论