计算机网络安全课件(沈鑫剡)第4章

1、计算机网络安全,第四章,第4章 安全网络技术,以太网安全技术； 安全路由； 虚拟网络； 信息流管制； 网络地址转换； 容错网络结构。 解决网络安全问题的方法主要有三：一是提出解决安全问题的新的机制和算法，如数字签名算法和认证机制。二是增加解决安全问题的新设备，如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力，安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。,4.1 以太网安全技术,以太网接入控制 访问控制列表； 安全端口； 802.1X接入控制过程。 以太网其他安全功能 防站表溢出攻击功能； 防DHCP欺骗； 防

2、ARP欺骗攻击。,以太网接入控制,黑客攻击内部网络的第一步是接入内部网络，而以太网是最常见的直接用于接入用户终端的网络，只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤； 交换机端口是用户终端的物理连接处，防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符，交换机端口具有识别授权用户终端标识符的能力。,允许为交换机每一个端口配置访问控制列表，列表中给出允许接入的终端的MAC地址； 配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧，因此对于接入端口，只允许物理连接MAC地址属于列表中MAC地址的终端。,以太网接入控制,访问控制列表,安全端口是自动建立

3、访问控制列表的机制； 允许为每一个交换机端口设置MAC地址数N，从端口学习到的前N个MAC地址作为访问控制列表的MAC地址； 不允许转发源地址是N个地址以外的MAC帧。,以太网接入控制,安全端口,802.1X基于端口认证机制，一旦完成认证过程，端口就处于正常转发状态，这种方式适用于交换机B的认证端口，不适用交换机A的认证端口； 802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合，一旦交换机通过对某个用户的身份认证，将该用户终端的MAC地址记录在访问控制列表的中，这种方式下，访问控制列表的中的MAC地址是动态的，随着用户接入增加，随着用户退出减少。,以太网接入控制,实现802.1X

4、接入控制过程的网络结构,认证数据库表明：允许用户名为用户A，具有口令PASSA的用户接入以太网； 交换机A将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制：EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。,以太网接入控制,用户A向认证服务器证明自己身份：用户名为用户A，具有口令PASSA。,用户A终端的MAC地址记录在访问控制列表中。,以太网其他安全功能,由于站表容量是有限的，当某个黑客终端大量发送源MAC地址伪造的MAC帧时，很容易使站表溢出； 一旦站表溢出，正常终端的MAC地址无法进入站表，导致正常终端之间传输的MAC帧以广播方式传输

5、。,站表溢出攻击,解决方法 限制交换机从每 一个端口学习到 的地址数。,伪造的DHCP服务器为终端配置错误的网络信息，导致终端发送的数据都被转发到冒充默认网关的黑客终端。,以太网其他安全功能,将连接授权DHCP服务器的端口和互连交换机的端口设置为信任端口，其他端口为非信任端口，只允许转发从信任端口接收到的DHCP响应报文。,终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文，在其他终端和路由器的ARP缓冲器中增添一项，导致其他终端和路由器将目的IP地址为IP A的IP分组，全部封装成以MAC B为目的地址的MAC帧。,以太网其他安全功能,ARP欺骗攻击过程,解决方法基于终端配置通

6、过DHCP服务器获得； 交换机侦听通过信任端口接收到的DHCP响应报文，并将响应报文中作为终端标识符的MAC地址和DHCP分配给终端的IP地址记录在DHCP配置表中； 一旦交换机接收到ARP报文，根据ARP报文中给出的IP地址和MAC地址对匹配DHCP配置表，如果找到匹配项，继续转发ARP报文，否则，丢弃ARP报文。,4.2 安全路由,路由器和路由项认证； 路由项过滤； 单播反向路径验证。 这些功能一是确保只有授权路由器之间才能传输路由消息，且路由器只处理传输过程中未被篡改的路由消息；二是防止内部网络结构外泄；三是拒绝黑客终端的源IP地址欺骗攻击。,路由器和路由项认证,黑客终端伪造和LAN4直

7、接相连的路由项，并通过路由消息将该路由项组播给路由器R1、R2； 路由器R1将通往LAN4传输路径的下一跳改为黑客终端； 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。,黑客终端伪造路由项过程,路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性； 相邻路由器配置共享密钥K，路由消息附带消息认证码（MAC），由于计算MAC需要共享密钥K，因此，一旦接收路由器根据密钥K和路由消息计算MAC的结果和路由消息附带的MAC相同，可以保证发送者具有和自己相同的密钥K（授权路由器），路由消息传输过程中未被篡改。,发送路由器,接收路由器,路由器和路由项认证,路由项过滤,

8、路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。,三个网络，其中两个是内部网络。,过滤器中的目的网络包含两个内部网络。,路由消息中不包含被过滤器屏蔽掉的两个内部网络。,单播反向路径验证,单播反向路径验证的目的是丢弃伪造源IP地址的IP分组； 路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。,4.3 虚拟网络,虚拟局域网； 虚拟路由器； 虚拟专用网络。 这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络，物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网

9、络或物理路由器的一种技术。,虚拟局域网,同一个以太网是一个广播域，以太网内广播是不可避免的，但广播一是浪费带宽，二是产生安全问题； 同一以太网两个终端之间通信不需要经过路由器，而路由器具有比交换机更强的信息传输控制能力； 一些黑客攻击手段，如伪造DHCP服务器，ARP欺骗攻击等，都是针对同一以太网的终端的。,同一物理以太网,三个功能上完全独立的以太网,一般用户终端和服务器不在同一个VLAN，用户终端访问服务器必须经过路由器，可以用路由器的信息传输控制功能对用户终端访问服务器过程进行控制； 配置网络设备的终端A和网络设备内嵌的Web服务器处于同一个VLAN，且和其他VLAN没有任何逻辑联系，是一

10、个孤立的网络，避免其他网络终端配置网络设备。,虚拟局域网,物理网络,由物理网络划分成的三个虚拟局域网,虚拟路由器,基于安全的原因，有些单位要求连接内部网络资源的办公网络和用于访问外部网络资源的网络相互独立； 但办公终端和用于访问外部网络资源的终端不是一成不变的，需要经常调整，当然，这种调整最好不要改变网络的物理结构。虚拟路由器就用于实现将单一物理网络划分为多个独立的逻辑网络的功能。,物理网络,两个独立的互连网,将一个物理互连网划分为两个独立的互连网； 一个物理路由器成为两个独立的逻辑路由器，路由器的每一个接口可以成为逻辑路由器的接口； 每一个逻辑路由器具有路由器全部功能：连接不同的网络、运行路

11、由协议、建立路由表、转发IP分组； 在本例中，进入接口的IP分组根据封装该IP分组的MAC帧的VLAN ID确定用于转发该IP分组的逻辑路由器； 任何逻辑路由器只在它所连接的VLAN间转发IP分组。,虚拟路由器,物理网络,办公 网络,访问 外部 资源 网络,虚拟专用网络,两个VPN A（或两个VPN B）是物理上分隔的属于同一内部网络的两个子网，分配内部IP地址（本地IP地址），只在内部网络终端之间交换数据； 这两个子网通过公共传输网络实现互连，但又需要使用本地IP地址、具有内部网络传输数据的安全性； 要求PE1和PE2之间为每一个内部网络（VPN A或VPN B）提供类似专用通路的传输路径。

12、,为建立CE1和CE3之间、CE2和CE4之间独立的传输通路，PE1、PE2都需要分解为两个独立虚拟路由器，同时需要单独建立两对虚拟路由器之间的传输路径，以此对应VPN A和VPN B； 但两对虚拟路由器共享一对LSP，因此，经过LSP传输的MPLS帧结构必须携带VPN标识符，以此确定接收和发送MPLS帧的虚拟路由器。,虚拟专用网络,4.4 信息流管制,信息流分类； 管制算法； 信息流管制抑制拒绝服务攻击机制。 信息流管制的目的是限制特定信息流的流量，特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列，这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。,信

13、息流分类,分类终端A用浏览器访问Web服务器的信息流的标准： 源IP地址192.1.1.1&目的IP地址192.1.3.5； 源端口号*目的端口号80； 协议字段值6（TCP）。,终端A 192.1.1.1/24,Web服务器 192.1.3.5/24,管制算法,漏斗管制算法保证信息流恒速输出； 突发性信息流存储在分组输出队列，队列稳定器以指定速率输出分组； 如果分组输出队列溢出，丢弃后续分组，如果分组输出队列空，输出链路空闲。,漏斗,漏斗管制算法实现过程,管制算法,令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丢弃后续令牌，每一个令牌对应K字节，令牌桶容量为U令牌； 如果分组输出队

14、列头的分组的字节数（P1）K，则只当令牌桶中包含的令牌数P时，才允许输出该分组，并从令牌桶中取走P个令牌，如果令牌桶中令牌数P，停止输出，直到令牌桶中令牌数P； 平均输出速率V K/s（单位字节），突发性数据长度U K （单位字节）。,信息流管制抑制拒绝服务攻击机制,为了抑制SYN泛洪攻击，在S7、S8、 S9连接VLAN 1、VLAN 2、VLAN 3 端口设置流量管制器： 目的IP地址192.1.7.0/24； 协议字段值6（TCP） TCP首部控制标志位值：SYN=1.ACK=0； 速率限制：平均传输速率64kbps，突发性数据长度8000B。,为了抑制DDOS攻击，在S7、S8、S9连

15、接VLAN 1、VLAN 2、VLAN 3端口设置流量管制器： 目的IP地址192.1.7.0/24； 协议字段值1（ICMP） ICMP类型字段值8或0； 速率限制：平均传输速率64kbps，突发性数据长度8000B。,4.5 网络地址转换,端口地址转换； 动态NAT； 静态NAT； NAT弱安全性。 内部网络分配本地地址的终端发送给外部网络的IP分组，在进入外部网络时，源地址需变换成全球IP地址，同样，外部网络终端发送给内部网络终端的IP分组，在进入内部网络时，目的IP地址需变换成本地地址，这个过程称为网络地址转换（NAT）。内部网络的本地地址对外部网络是透明的。由于外部网络终端看不到内部

16、网络分配了本地地址的终端，无法发起对内部网络终端的攻击，因此，NAT具有一定的增强内部网络终端安全性的功能。,端口地址转换,内部网络终端发送的IP分组，进入Internet时，以边缘路由器连接Internet端口的全球IP地址为源IP地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。 内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位，会话开始时通过地址转换表建立绑定，会话结束时取消绑定； 端口地址转换技术只能用于IP分组净荷是运输层报文的情况。,动态NAT,动态地址转换以会话为单位，会话开始时在全球IP地址池中分配一个未使用的IP地址，并在地址转换表中

17、将全球IP地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定和关联； IP分组进入Internet时，用全球IP地址取代本地地址。IP分组进入内部网络时，用本地地址取代全球IP地址； 动态NAT不需改动源端口号，因此，原则可用于IP分组净荷不是运输层报文的情况。,静态NAT,端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前，内部网络终端对外部网络是透明的。而且，建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，但不允许外部网络终端发起和内

18、部网络终端之间的会话； 静态NAT将建立本地地址和全球IP地址的固定关联，这样，允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。,NAT的弱安全性,NAT弱安全性体现在外部网络终端对内部网络的透明性，在建立本地地址和全球IP地址之间绑定之前，外部网络终端无法用全球IP地址和内部网络终端进行通信； 一旦建立本地地址和全球IP地址之间的绑定，外部网络终端可以通过全球IP地址或者端口号确定内部网络终端，并因此实现和内部网络终端之间的通信，黑客可以通过截获的IP分组获得和某个内部网络终端绑定的全球IP地址或端口号。,4.6 容错网络结构,核心层容错结构； 网状容错结构； 生成树协议； 冗余链路。 容错网络是指在发生链路或结点故障的情况下，仍然能够保持网络连通性的网络结构，容错网络的原旨是提高网络的可靠性，但黑客攻击的目标就是瘫痪某段链路或某个结点，因此，高可靠性的容错网络结构也具有较高的安全性。,核心层容错结构,核心层容错是用两个以太网互连这些路由器，因此，只要有一个以太网保持连通性，就可保证这些路由器之间的通