网络安全配置

魏克weike@ccert.edu.cn

提纲

• 网络安全结构–信息安全国际标准及组织

• 美国可信计算机安全评价标准（TCSEC）• 欧洲的安全评价标准（ITSCE）• 国际通用准则（CC）• 安全标准回顾

–安全技术发展趋势• 新概念新技术• 三大网络安全基础设施• 安全服务

提纲

–网络安全结构• 标准结构模型；• 网络安全架构实例 ；

• 网络设备的安全–路由器的安全技术–交换机的安全技术–无线局域网接入器的安全技术

• 小结

学习目标

•了解安全技术发展趋势

•学习网络安全结构

•学习路由器安全技术

•学习交换机安全技术

•学习无线局域网安全技术

信息安全国际标准及组织

•美国可信计算机安全评价标准（TCSEC）

•欧洲的安全评价标准（ITSCE）

•国际通用准则（CC）

•加拿大的评价标准（CTCPEC）

•美国联邦准则（FC）

信息安全国际标准及组织

•国际安全评价标准的发展及联系1993年

加拿大可信计算机产品评价准则

1991年欧洲信息技术安全性评价准则

1993年美国联邦政府评价准则

1985美国国防部可信计算机评价准则

1996年国际通用准则

1999年CC成为

国际标准

安全技术发展趋势

• 产品融合–防火墙、紧急响应系统、风险评估系统等各种产品之

间相互融合，取长补短，成为一个完整的网络安全体系，这种兼有两种或者几种功能的产品正在逐渐走向成熟。

• 人工智能、行为学、对策理论在网络安全领域的应用–传统：侧重于防护，被动

三大网络安全基础设施

• 网络的三大安全防线–防火墙–入侵检测系统–防病毒产品(网络\单机)

安全服务

• 安全服务–安全服务在整个的安全体系中占有重要地位

• 安全咨询• 安全风险评估• 安全培训• 技术支持、系统维护等。

网络安全结构—明确目标

• 明确需要保护的资源–网络资源：指路由器、交换机、集线器、布线系统、

和机房等。–服务器资源：Web服务器、邮件服务器、文件传输服

务器等.–信息存储资源：存储资源上的信息是黑客最感兴趣的.–终端用户资源：通常指普通用户用的电脑及其外设。

网络安全结构—安全服务

• 安全系统所提供的服务分成5种：–认证：身份认证：如RADIUS认证协议 , Kerberos认证

协议 。–访问控制：如路由器的访问控制列表 。–数据的保密性(加密)：对称式加密 ：DES，3DES；

非对称式加密 ：RSA 。–数据的完整性：HASH(哈希)运算 。–不可否认性(抗抵赖性)：数字签名 。

网络结构模型

互联网 互联网DMZ

生产系统 内部网

限制区域

管理系统

安全区域受控区域受控区域不受控区域

不受控区域

受控区域

限制区域 安全区域

网络结构模型

互联网

不受控区域

不受控区域

受控区域

限制区域 安全区域

不受控区域：这部分区域不受您的机构控制。来自不受控区域的访问可以通过多种渠道。

Internet

网络结构模型

互联网DMZ

受控区域

不受控区域

受控区域

限制区域 安全区域

受控区域：存在于不受控区域与限制区域之间。又称为非军事区（DMZ）

DMZ中通常包括Internet可以直接连接的主机和多个防火墙，它可以被认为是一个内

部和外部网络的缓冲区。这种设计使您在不同的层面上来控制网络

上的信息交换（如Internet和DMZ之间，DMZ和内部网络之间等等）

InternetDMZ

网络结构模型

生产系统

限制区域

不受控区域

受控区域

限制区域 安全区域

限制区域：只有被授权的人员才能访问，与Internet没有

直接连接。

生产区域=限制区域：这个区域包含这只有少数被授权人才能访问

的网络服务。它可以与DMZ和Intranet通过防火墙连接。

网络结构模型

管理系统

安全区域

不受控区域

受控区域

限制区域 安全区域

安全区域：只有极少数被高度信任的人员才能够访问。

管理网络=安全区域运行只为少数被授权员工

提供的业务。

网络结构模型

内部网

受控区域

不受控区域

受控区域

限制区域 安全区域

Intranet=受控区域：与DMZ类似，这里包含着受控

的，但能够连接到Internet的业务和计

算机。

网络结构范例

互联网 互联网DMZ

生产系统 内部网

限制区域

管理系统 安全区域受控区域

受控区域不受控区域

负载均衡

反向代理

WWW

反向代理

WWW

MAIL

反向代理

认证授权

管理服务器

网络结构中的安全组件

互联网 互联网DMZ

生产系统 内部网

限制区域

管理系统 安全区域受控区域

受控区域不受控区域

入侵检测

入侵检测

防病毒

认证授权

网络管理服务器

防火墙 防火墙 防火墙

路由器 防病毒网关 日志系统

事件管理服务器

事件库

日志库

入侵检测

防病毒

漏洞扫描

漏洞扫描

SSL

日志系统

VPN

准入控制系统

v

v

vvvv

v

v

v

v

vv v

v

v

v

v

vvvv

v

v

v v

vv v

v

v

v vv

全体用户集 已登陆用户集

v 健康状态用户

v 非健康状态用户

传统的校园网环境

• 实现准入控制的校园网环境

v

v

vvvv

v

v

v

v

vv v

v

v

v v

vv

v

v

v

v

vv v

v

v vv

全体用户集已登陆用户集

v 健康状态用户

v 非健康状态用户

准

入

控

制

进入不同的子网

• CCERT准入控制系统结构

NAS

802.1xVLAN

2

3

6

NAS

隔离VLAN

信任代理（安全客户端）

病毒库更新服务信任代理

其他服务代理…

（可扩展）

补丁更新服务信任代理

状态信息编码

状态信息EA

POL

封装

标准的802.1x

客户端

控制端口

隔离

恢复

正常访问

策略认证服务器

分离状态信息

1x身份认证 安全状态验证

端口控制状态控制

控制反馈

其他控制

1

4

5 5

7

安全服务服务器

补丁更新服务器

其他服务器…（可扩展）

病毒库更新服务器

6

NAS

802.1xVLAN

2

3

6

NAS

隔离VLAN

信任代理（安全客户端）

病毒库更新服务信任代理

其他服务代理…

（可扩展）

补丁更新服务信任代理

状态信息编码

状态信息EA

POL

封装

标准的802.1x

客户端

信任代理（安全客户端）

病毒库更新服务信任代理

其他服务代理…

（可扩展）

补丁更新服务信任代理

状态信息编码

状态信息EA

POL

封装

标准的802.1x

客户端

控制端口

隔离

恢复

正常访问

控制端口

隔离

恢复

正常访问

策略认证服务器

分离状态信息

1x身份认证 安全状态验证

端口控制状态控制

控制反馈

其他控制

分离状态信息

1x身份认证 安全状态验证

端口控制状态控制

控制反馈

其他控制

1

4

5 5

7

安全服务服务器

补丁更新服务器

其他服务器…（可扩展）

病毒库更新服务器

安全服务服务器

补丁更新服务器

其他服务器…（可扩展）

病毒库更新服务器

补丁更新服务器

其他服务器…（可扩展）

病毒库更新服务器

6

网络设备安全

魏克weike@ccert.edu.cn

主要网络设备

• 路由器–主要功能

• IP数据包的转发、路由的计算和更新• ICMP消息的处理、网络管理

–其他功能• 数据包过虑、网络地址转换• VPN

主要网络设备

• 交换机

–主要功能• 分隔冲突域、提供端口的冗余备份、端口的链路

汇聚、虚拟局域网、组播技术

–其他功能• 三层交换功能、结合管理软件的用户认证功能、

网络服务质量 (Quality of Service，简称QoS) 功能、MAC地址和IP地址过滤功能

主要网络设备

• 无线局域网接入器（无线网桥）–在 安 全 方 面 一 般 支 持 64-bit 或 128-bit WEP(Wired Equivalent Protocol，有线等效保密)加密

–提 供 MAC 地 址 过 滤 和 SSID(Service Set Identifier，服务识别码)隐藏功能。

网络设备面临的安全威胁（一）

• 1、人为设置错误（重要的方面）–密码设置

• 缺省密码而不更改甚至不设密码等

–访问控制• 不对远程管理等进行适当的控制，web、telnet管理

–网络设备的配置错误

网络设备面临的安全威胁（二）

• 2、网络设备上运行的软件存在漏洞–补丁，备份

• 3、泄漏路由设备位置和网络拓扑–SNMP、tracert

网络设备面临的安全威胁（三）

• 4、拒绝服务攻击的目标–局域网出口的路由器

• 5、攻击者的攻击跳板–以网络设备为跳板

• 6、交换机端口监听– 在使用交换机的网络中使用一些工具也可以

捕获交换机环境下的敏感数据。

路由器的安全技术

• 路由器安全功能

可靠性 端口和线路备份

身份认证 配置路由器（用户/口令）、对端路由器、路由信息

访问控制 基于IP、时间、用户等

信息隐藏 NAT等

数据加密 报文加密、VPN、密钥交换

攻击探测和防范 提供攻击检测、进行必要的安全配置、包过滤技术

安全管理 报文审计

路由器口令安全

• 口令类型

• 口令加密服务• CertRTA(config)#service password-encryption

• 口令长度、形式–合适的长度，数字、字母、符号相混合

端口登录口令 特权用户口令进入

查看部分信息 管理、配置、查看

路由器口令安全

• 端口登录口令—给相应的端口加上口令–Consle(控制台端口)

–Aux(辅助端口)

–Ethernet口• 配置实例

–CcertRTA(config)#line vty 0 4–CcertRTA(config-line)#login–CcertRTA(config-line)#exec-timeout 2 30–CcertRTA(config-line)#password abc111–CcertRTA(config-line)#exit

–CcertRTA(config)#line con 0–CcertRTA(config-line)#exec-timeout 2 30–CcertRTA(config-line)#password abc333–CcertRTA(config-line)#exit

路由器口令安全

• 更高的安全性– 更好的登录口令处理方法是将这些口令保存

在TACACS+或RADIUS认证服务器上，在路由器上配置使用认证服务器对用户和密码进行认证，这种认证的安全性更高。

路由器口令安全

• 特权用户口令–enable password命令

–enable secret命令 更好• 配置实例

–CcertRTA#conf term

–CcertRTA (config)#enable secret cba123

路由器口令安全

• 修改SNMP协议默认密码字–默认密码字是安全隐患

• 配置实例–CcertRTA #conf term–CcertRTA(config)#snmp-server community xxxx RO–CcertRTA (config)#snmp-server community yyyyy RW

路由器网络服务的安全

• 禁止那些不必要的网络服务–防止软件的漏洞、配置错误等

• 1、禁止HTTP服务–CcertRTA(Config)# no ip http server

如必须使用HTTP服务来管理路由器，建议配合访问控制列表和AAA认证来做

路由器网络服务的安全

• 2、禁止CDP协议–(Cisco Discovery Protocol)

• 配置实例

–CcertRTA(Config)#no cdp run

–或，禁止某端口的

–CcertRTA(Config)# interface Serial 0

–CcertRTA(Config-if)# no cdp enable

路由器网络服务的安全

• 3、禁止其他的TCP、UDP Small服务–CcertRTA(Config)# no service tcp-small-servers–CcertRTA(Config)# no service udp-samll-servers

–4、禁止Finger服务–CcertRTA(Config)# no ip finger–CcertRTA(Config)# no service finger

• 5、禁止BOOTP服务–CcertRTA(Config)# no ip bootp server

路由器网络服务的安全

• 6、禁止从网络启动和自动从网络下载初始配置文件–CcertRTA(Config)# no boot network

–CcertRTA(Config)# no servic config

• 7、禁止IP Source Routing

–CcertRTA(Config)# no ip source-route

路由器网络服务的安全

• 8、禁止 ARP-Proxy服务，路由器默认是开启的–CcertRTA(Config)# no ip proxy-arp

–CcertRTA(Config-if)# no ip proxy-arp

• 9、禁止IP Directed Broadcast

–CcertRTA(Config)# no ip directed-broadcast

• 10、禁止IP Classless

– CcertRTA (Config)# no ip classless

• 11、禁止ICMP协议的IP Unreachables，Redirects，Mask Replies

–CcertRAT（Config-if)# no ip unreacheables

–CcertRAT（Config-if)# no ip redirects

–CcertRAT（Config-if)# no ip mask-reply

• 12、禁止SNMP协议服务–CcertRAT（Config)# no snmp-server community public Ro

–CcertRAT（Config)# no snmp-server community admin RW

–CcertRAT（Config)# no snmp-server enable traps

–CcertRAT（Config)# no snmp-server system-shutdown

–CcertRAT（Config)# no snmp-server trap-anth

–CcertRAT（Config)# no snmp-server

–CcertRAT（Config)# end

• 13、如果没必要则禁止WINS和DNS服务– CcertRAT（Config)# no ip domain-lookup

• 14、禁止不使用的端口– CcertRAT（Config)# interface Serial 1

– CcertRAT（Config-if)# shutdown

路由协议安全

• 1、启用OSPF路由协议的认证CcertRAT（Config)# router ospf 100 CcertRAT（Config-router)# network 192.168.100.0 0.0.0.255 area 100

! 启用MD5认证。 是明文密码认证。CcertRAT（Config-router)# area 100 authentication message-digest CcertRAT（Config)# exit CcertRAT（Config)# interface eth0/1

！启用MD5密钥Key为routerospfkey。启用认证密钥，但会是明文传输。CcertRAT（Config-if)# ip ospf message-digest-key 1 md5 routerospfkey

路由协议安全

• 2、启用RIP协议的认证。– CcertRAT（Config)# config terminal

! 启用设置密钥链CcertRAT（Config)# key chain mykeychainnameCcertRAT（Config-keychain)# key 1 ！设置密钥字串CcertRAT（Config-leychain-key)# key-string MyFirstKeyStringCcertRAT（Config-keyschain)# key 2 CcertRAT（Config-keychain-key)# key-string MySecondKeyString！启用RIP-V2 CcertRAT（Config)# router rip CcertRAT（Config-router)# version 2 CcertRAT（Config-router)# network 192.168.100.0 CcertRAT（Config)# interface eth0/1 ! 采用MD5模式认证，并选择已配置的密钥链CcertRAT（Config-if)# ip rip authentication mode md5 CcertRAT（Config-if)# ip rip anthentication key-chain mykeychainname

路由协议安全

• 3、启用passive-interface命令接收和转发路由信息。– 建议对于不需要路由的端口，启用passive-interface。– 在RIP协议是只是禁止转发路由信息，并没有禁止接收。– 在OSPF协议中是禁止转发和接收路由信息。– 例，禁止端口0/3转发路由信息

CcertRTAConfig)# router Rip CcertRTAConfig-router)# passive-interface eth0/3

– 例，在OSPF中，禁止端口0/3接收和转发路由信息CcertRTAConfig)# router ospf 100 CcertRTAConfig-router)# passive-interface eth0/3

路由协议安全

• 4、启用访问列表，过滤垃圾和恶意路由信息,控制网络的垃圾信息流。–例：–CcertRTAConfig)# access-list 10 deny 192.168.1.0

0.0.0.255 CcertRTAConfig)# access-list 10 permit any ! 禁止路由器接收更新192.168.1.0网络的路由信息CcertRTAConfig)# router ospf 100 CcertRTAConfig-router)# distribute-list 10 in ！禁止路由器转发传播192.168.1.0网络的路由信息CcertRTAConfig)# router ospf 100 CcertRTAConfig-router)# distribute-list 10 out

• 5、启用IP Unicast Reverse-Path Verification。– 它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。– 但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。– 例：

CcertRTA# config t ! 启用CEF CcertRTAConfig)# ip cef！启用Unicast Reverse-Path Verification CcertRTAConfig)# interface eth0/1 CcertRTAConfig)# ip verify unicast reverse-path

配置路由器保护网络安全实例

• 配置Cisco路由器防止分布式拒绝服务攻击–http://www.stcore.com/html/2006/0427/114869.

html• 配置Cisco路由器防止蠕虫病毒

–http://www.stcore.com/html/2006/0308/114176.html

交换机的安全技术

• 通用的原则–密码安全原则

• 密码形式，各级密码，默认密码

–最小服务原则• 关闭所有不需要的服务----SNMP、HTTP等

–补丁原则• 及时地补丁更新

–访问控制原则• 通过ACL，过滤需要房屋设别的用户，IP

交换机的安全技术

• 广播风暴控制技术–VLAN广播风暴抑制比–端口广播风暴抑制比

• 以下例子在f0/17下把组播风暴级别限制在70.5%Switch# configure terminal

• Switch(config)# interface fastethernet0/17• Switch(config-if)# storm-control multicast level 70.5• Switch(config-if)# end

交换机的安全技术

• MAC地址控制技术– 设置最多可学习到的MAC地址数– 设置系统MAC地址老化时间– 设置MAC地址表的老化时间

• 配置案例：在f0/12上最大mac地址数目为5的端口安全，违规动作为默认。– switch#config t

Enter configuration commands, one per line. End with CNTL/Z.switch(config)#int f0/12switch(config-if)#swi mode accswitch(config-if)#swi port-secswitch(config-if)#swi port-sec max 5switch(config-if)#end

–http://www.stcore.com/html/2006/0425/114815.html

交换机的安全技术

• ACL（访问控制列表）技术– 基本访问控制列表：根据三层源IP制定规则，对数据包进行相

应的分析处理。– 高级访问控制列表：根据源IP、目的IP、使用的TCP或UDP端口

号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。

– 二层访问控制列表：根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理

– 用户自定义访问控制列表：根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配，对数据报文作出相应的处理。正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。

交换机的安全技术

• 流量及端口限速控制技术–基于ACL的流量限制–配置端口流量阈值

• ARP技术–动态ARP老化定时器

• (config-if)#arp timeout <0-2147483>–静态ARP

无线局域网接入器的安全技术

• WLAN的主要威胁– 传输数据窃听：可能导致机密数据泄漏、曝光未保护的用户凭

据、身份被盗用等。– 中间人攻击：中途截获或修改传输数据 。– 信息欺骗 ：现有网络访问允许恶意用户使用在网络外同样有效

的方法来发送表面上似乎来自合法用户的数据（例如，哄骗的电子邮件消息）。人们（包括系统管理员）一般都倾向于相信这是来自网内的用户，而不愿相信它来自公司网络以外。

– 免费下载 ：做为免费的上网站点– 拒绝服务 (DoS)：无线电级信号干扰可通过简单的技术（如微波

炉）发出。复杂的攻击多是针对低层无线协议本身；不很复杂的攻击则通过向 WLAN 发送大量的随机数据而使网络堵塞。

无线局域网接入器的安全技术

• 有两类易发生的威胁值得注意：– 偶然威胁 ： 某些 WLAN 功能可使无意间的攻击变得更加严重。

例如，合法访问者可能在启动便携式计算机时无意间连接了您的网络，然后自动连接到公司 WLAN。现在，访问者的便携式计算机是病毒侵入网络的潜在入口点。这种威胁只是不安全WLAN 中存在的问题。

– 未授权 WLAN 接入点：即使公司并未正式部署 WLAN 或已有足够的安全措施，但您仍将受到员工在网络中安装未授权WLAN的威胁。低端无线 AP 和 WLAN 卡很便宜即可买到。

无线局域网接入器的安全技术

• 安全措施–隐藏SSID–MAC地址过滤–WEP加密（ Wired Equivalent Privacy ）–WPA和 WPA2 （ Wi-Fi protected access ）–EAP+802.1x

EAP+802.1x方案

• EAP– EAP 是IETF 标准，它可用于多种基于密码、公钥许可证或其他

凭据的不同身份验证方法

• 802.1X：– 是基于 IEEE 标准的网络认证访问框架，可以选择它管理负责保

护网络畅通的密钥。– 802.1X 依赖于 RADIUS（远程身份验证拨入用户服务）网络身

份验证和授权服务来验证网络客户端的凭据。– 802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话，

并生成保护客户端与网络访问硬件畅通的密钥。

EAP+802.1x方案

客户机 AP RADIUSSERVER

WEPWPAWPA2

EAPEAPRADIUS802.1x

加密无线传输

EAP、基于 802.1X 的身份验证

• 802.1X 和 EAP 来提供基于密码或基于证书的身份验证

小结

• 制定恰当的安全策略• 规划适用网络安全架构• 注重访问控制安全

–对于关键的网络设备，如路由器、核心交换机、防火墙等设备，要保证其访问控制安全。

• 遵循最通用的安全准则–密码原则–最小权限–最小服务开放–修改缺省配置

结束语

感谢各位老师交流指导！