计算机网络安全课件(沈鑫剡)第4章PPT格式课件下载.ppt

1、n容错网络结构。容错网络结构。解决网络安全问题的方法主要有三：一是提出解决安全问解决网络安全问题的方法主要有三：一是提出解决安全问题的新的机制和算法，如数字签名算法和认证机制。二是增题的新的机制和算法，如数字签名算法和认证机制。二是增加解决安全问题的新设备，如防火墙和入侵防御系统。三是加解决安全问题的新设备，如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力，安全网络技术就是在传统网络设备和网络设计方法和能力，安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。中增加

2、的用于抵御黑客攻击和保障网络适用性的技术。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.1 以太网安全技术以太网安全技术n以太网接入控制以太网接入控制访问控制列表；访问控制列表；安全端口；802.1X接入控制过程。接入控制过程。n以太网其他安全功能以太网其他安全功能防站表溢出攻击功能；防站表溢出攻击功能；防防DHCP欺骗；欺骗；防防ARP欺骗攻击。欺骗攻击。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全以太网接入控制以太网接入控制n黑客攻击内部网络的第一步是接入内部网络，黑客

3、攻击内部网络的第一步是接入内部网络，而以太网是最常见的直接用于接入用户终端而以太网是最常见的直接用于接入用户终端的网络，只允许授权用户终端接入以太网是的网络，只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤；抵御黑客攻击的关键步骤；n交换机端口是用户终端的物理连接处，防止交换机端口是用户终端的物理连接处，防止黑客终端接入以太网的关键技术是授权用户黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符，交换机端口具终端具有难以伪造的标识符，交换机端口具有识别授权用户终端标识符的能力。有识别授权用户终端标识符的能力。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网

4、络安全计算机网络安全计算机网络安全n允许为交换机每一个端允许为交换机每一个端口配置访问控制列表，口配置访问控制列表，列表中给出允许接入的列表中给出允许接入的终端的终端的MAC地址；地址；n配置访问控制列表的端配置访问控制列表的端口只允许转发源口只允许转发源MAC地址属于列表中地址属于列表中MAC地址的地址的MAC帧，因此帧，因此对于接入端口，只允许对于接入端口，只允许物理连接物理连接MAC地址属地址属于列表中于列表中MAC地址的地址的终端。终端。以太网接入控制以太网接入控制访问控制列表访问控制列表安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网

5、络安全n安全端口是自动建立访安全端口是自动建立访问控制列表的机制；问控制列表的机制；n允许为每一个交换机端允许为每一个交换机端口设置口设置MACMAC地址数地址数N N，从，从端口学习到的前端口学习到的前N N个个MACMAC地址作为访问控制列表地址作为访问控制列表的的MACMAC地址；n不允许转发源地址是不允许转发源地址是N N个个地址以外的地址以外的MACMAC帧。帧。以太网接入控制以太网接入控制安全端口安全端口安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n802.1X基于端口认证机制，一旦完成认证过程，端口就处于正常转发状基于端

6、口认证机制，一旦完成认证过程，端口就处于正常转发状态，这种方式适用于交换机态，这种方式适用于交换机B的认证端口，不适用交换机的认证端口，不适用交换机A的认证端口；的认证端口；n802.1X基于基于MAC地址认证机制是认证和访问控制列表的有机结合，一旦地址认证机制是认证和访问控制列表的有机结合，一旦交换机通过对某个用户的身份认证，将该用户终端的交换机通过对某个用户的身份认证，将该用户终端的MAC地址记录在访地址记录在访问控制列表的中，这种方式下，访问控制列表的中的问控制列表的中，这种方式下，访问控制列表的中的MAC地址是动态的，地址是动态的，随着用户接入增加，随着用户退出减少。随着用户接入增加，

7、随着用户退出减少。以太网接入控制以太网接入控制实现802.1X接入控制接入控制过程的程的网网络结构构安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n认证数据库表明：允许用户名为用户认证数据库表明：允许用户名为用户A，具有口令，具有口令PASSA的用户接入以太网；的用户接入以太网；n交换机交换机A将端口将端口7设置为认证端口，意味着必须根据认证数据库指定的认证机制：设置为认证端口，意味着必须根据认证数据库指定的认证机制：EAP-CHAP完成用户身份认证的用户终端的完成用户身份认证的用户终端的MAC地址才能记录在端口地址才能记录在端口7的访

8、问的访问控制列表的中。控制列表的中。以太网接入控制以太网接入控制用用户A向向认证服服务器器证明自己身份：用明自己身份：用户名名为用用户A，具有口，具有口令令PASSA。用用户A终端的端的MAC地地址址记录在在访问控制列控制列表中。表中。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全以太网其他安全功能以太网其他安全功能n由于站表容量是有限的，当某个黑客终端大量发送源由于站表容量是有限的，当某个黑客终端大量发送源MAC地址伪造地址伪造的的MAC帧时，很容易使站表溢出；帧时，很容易使站表溢出；n一旦站表溢出，正常终端的一旦站表溢出，正常终端的

9、MAC地址无法进入站表，导致正常终端地址无法进入站表，导致正常终端之间传输的之间传输的MAC帧以广播方式传输。帧以广播方式传输。站表溢出攻站表溢出攻击解决方法解决方法限制交换机从每限制交换机从每一个端口学习到一个端口学习到的地址数。的地址数。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全伪造的伪造的DHCPDHCP服务器为终端配置错误的网络信息，导致终端服务器为终端配置错误的网络信息，导致终端发送的数据都被转发到冒充默认网关的黑客终端。发送的数据都被转发到冒充默认网关的黑客终端。以太网其他安全功能以太网其他安全功能信任端口信任端口非信任

10、端口非信任端口将将连接授接授权DHCP服服务器的端口器的端口和互和互连交交换机的端口机的端口设置置为信任信任端口，其他端口端口，其他端口为非信任端口，非信任端口，只允只允许转发从信任端口接收到的从信任端口接收到的DHCP响响应报文。文。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全终端终端B B通过发送将终端通过发送将终端A A的的IPIP地址和自己地址和自己MACMAC地址绑定的地址绑定的ARPARP报文，在其他终端和路由报文，在其他终端和路由器的器的ARPARP缓冲器中增添一项缓冲器中增添一项，导致其他终端和路由器将目的，导致其他终

11、端和路由器将目的IPIP地址为地址为IP AIP A的的IPIP分组，全部封装成以分组，全部封装成以MAC BMAC B为目的地址的为目的地址的MACMAC帧。以太网其他安全功能以太网其他安全功能ARP欺欺骗攻攻击过程程信任端口信任端口解决方法基于终端配置通过解决方法基于终端配置通过DHCPDHCP服务器获得；服务器获得；交换机侦听通过信任端口接收交换机侦听通过信任端口接收到的到的DHCPDHCP响应报文，并将响应报响应报文，并将响应报文中作为终端标识符的文中作为终端标识符的MACMAC地址地址和和DHCPDHCP分配给终端的分配给终端的IPIP地址记录地址记录在在DHCPDHCP配置表中；配

12、置表中；一旦交换机接收到一旦交换机接收到ARPARP报文，根报文，根据据ARPARP报文中给出的报文中给出的IPIP地址和地址和MACMAC地址对匹配地址对匹配DHCPDHCP配置表，如果找配置表，如果找到匹配项，继续转发到匹配项，继续转发ARPARP报文，报文，否则，丢弃否则，丢弃ARPARP报文。报文。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全4.2 安全路由安全路由n路由器和路由项认证；路由器和路由项认证；n路由项过滤；路由项过滤；n单播反向路径验证。单播反向路径验证。这些功能一是确保只有授权路由器之间才能传输这些功能一是确保

13、只有授权路由器之间才能传输路由消息，且路由器只处理传输过程中未被篡改路由消息，且路由器只处理传输过程中未被篡改的路由消息；二是防止内部网络结构外泄；三是的路由消息；三是拒绝黑客终端的源拒绝黑客终端的源IPIP地址欺骗攻击。地址欺骗攻击。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全路由器和路由项认证路由器和路由项认证n黑客终端伪造和黑客终端伪造和LAN4LAN4直接相连的路由项，并通过路由消息将该路由项组直接相连的路由项，并通过路由消息将该路由项组播给路由器播给路由器R1R1、R2R2；n路由器路由器R1R1将通往将通往LAN4LAN4

14、传输路径的下一跳改为黑客终端；传输路径的下一跳改为黑客终端；n所有所有LAN1LAN1中终端发送给中终端发送给LAN4LAN4中终端的中终端的IPIP分组都被错误地转发给黑客终端。分组都被错误地转发给黑客终端。LAN4 1黑客黑客终端端伪造路由造路由项过程程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全n路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性；路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性；n相邻路由器配置共享密钥相邻路由器配置共享密钥K K，路由消息附带消息认证码（，路由消息附带消息认证码（MA

15、CMAC），由于计算），由于计算MACMAC需要共享密钥需要共享密钥K K，因此，一旦接收路由器根据密钥，因此，一旦接收路由器根据密钥K K和路由消息计算和路由消息计算MACMAC的结果和路由消息附带的的结果和路由消息附带的MACMAC相同，可以保证发送者具有和自己相同的密相同，可以保证发送者具有和自己相同的密钥钥K K（授权路由器），路由消息传输过程中未被篡改。（授权路由器），路由消息传输过程中未被篡改。发送路由器送路由器接收路由器接收路由器路由器和路由项认证路由器和路由项认证安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全路由项过滤路

16、由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。器的透明性。三个网络，其三个网络，其中两个是内部中两个是内部网络。网络。过滤器中的目过滤器中的目的网络包含两的网络包含两个内部网络。个内部网络。路由消息中不包含路由消息中不包含被过滤器屏蔽掉的被过滤器屏蔽掉的两个内部网络。两个内部网络。安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全单播反向路径验证单播反