PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。
园区网络在功能和性能日益提升的同时,安全问题也逐渐突出。
常见的安全威胁有非法接入网络、非法访问资源、网络窃听、MAC地址欺骗等。安全防范措施包括安全架构、端口接入控制、访问控制和安全连接。
网络安全概念:
两层含义:
1.保证内部局域网的安全
2.保证内网和外网数据交换的安全
关注的内容:
1.保护网络设备、物理线路不会轻易遭受攻击
2.有效识别合法和非法用户
3.访问控制、病毒防范等
目标:
明确要保护什么、明确可能的网络安全威胁、明确可采取的安全防护措施
需要保护的资源:
1.网络设备:路由器、交换机
2.运行信息:路由表、MAC地址表
3.带宽资源:带宽、速率
4.网络终端:服务器、用户主机
5.网络数据:IP包
6.用户信息:用户ID、密码等
园区网常见安全威胁:
网络安全整体架构:
AAA(Authentication, Authorization and Accounting,验证、授权和计费)是对网络安全的一种管理
(华三的网管软件 IMC软件的UMA组件提供3A功能)
两个常用协议RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)较常用。
和TACACS+(Terminal Access Controller Access Control System Plus,终端访问控制器控制系统协议+)
端口接入控制:接入认证
端口接入控制技术包括802.1X、MAC地址认证和端口安全等基于端口的安全技术
802.1X协议要求主机端安装802.1X客户端软件
MAC地址认证以主机MAC地址作为用户名进行认证,无需特殊软件
端口安全是在802.1X和MAC认证基础之上的灵活扩展应用
端口接入控制(接入认证) 认证的对象:用户(人)
访问控制:限制 合法用户 能访问的资源(下发ACL 实现)
EAD 终端接入控制:安全扫描终端PC,发现PC上 是否存在安全漏洞。
EAD可以实现ACL的下发
Portal认证(网页认证),接入认证的一种。
H3C的安全体系下面,显示端口接入控制(接入认证)----------->>EAD 安全检测-------->>下发ACL
安全连接:
1.针对远程连接攻击,可采用SSH协议进行防范
2.SSH通过加密和认证机制,实现安全的远程访问和文件传输等业务
其他安全防范措施:
1.防火墙是一种高级访问控制设备,根据相应的安全策略控制进出网络的访问行为
2.IPS(Intrusion Protection System,入侵防御系统)主要对网络进行监控,尽可能发现各种攻击行为并进行防御
3.VPN(Virtual Private Network,虚拟专用网)实现在公用网络上构建私人专用网络