以太网安全技术白皮书
以太网安全技术白皮书
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术,包括访问控制、802.1X网络访问控制、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等,并探讨了Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点,给出了在企业网应用中的实际解决方案。
关键词
以太网安全,web认证,802.1X网络访问控制
1 概述
随着以太网应用的日益普及,尤其是在一些大中型企业网的应用,以太网安全成为日益迫切的需求。一方面以太网交换机作为企业内部网络之间通讯的关键设备,有必要在企业网内部提供充分的安全保护功能。另一方面用户只要能接入以太网交换机,就可以访问Internet网上的设备或资源,使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括:访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术,包括访问控制、802.1X网络访问控制、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等,并探讨了Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点,给出了在企业网应用中的实际解决方案。
关键词
以太网安全,web认证,802.1X网络访问控制
1 概述
随着以太网应用的日益普及,尤其是在一些大中型企业网的应用,以太网安全成为日益迫切的需求。一方面以太网交换机作为企业内部网络之间通讯的关键设备,有必要在企业网内部提供充分的安全保护功能。另一方面用户只要能接入以太网交换机,就可以访问Internet网上的设备或资源,使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括:访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将
对其原理与技术实现作介绍。
2 安全交换机的设计原则
针对以太网存在的各种安全隐患,安全交换机必须具有如下的安全特性:
・ 访问控制
・ 用户验证
・ 防地址假冒
・ 入侵检测与防范
・ 安全管理
2.1 访问控制
访问控制分为以下几种情况:
1、对于交换机的访问控制。 对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用户才能对交换机进行配置;一般用户只有查看普通信息的权力。
2、基于IP地址的访问控制。一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外用户)是通过IP地址来区分的,不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制,可以实现对重要资源的保护。
2 安全交换机的设计原则
针对以太网存在的各种安全隐患,安全交换机必须具有如下的安全特性:
・ 访问控制
・ 用户验证
・ 防地址假冒
・ 入侵检测与防范
・ 安全管理
2.1 访问控制
访问控制分为以下几种情况:
1、对于交换机的访问控制。 对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用户才能对交换机进行配置;一般用户只有查看普通信息的权力。
2、基于IP地址的访问控制。一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外用户)是通过IP地址来区分的,不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制,可以实现对重要资源的保护。
3、基于MAC地址的访问控制。特殊情况下,用户也可以通过MAC地址来区分。通过实现基于MAC地址的访问控制,可以保护特殊用户的权限。
4、基于端口的访问控制。 对于接入用户来说,他们之间的权限也有可能是不一样的。通过对用户接入的端口设置特定的过滤属性,可实现对接入用户的访问控制。
5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门,各个部门的访问权限有可能是不一样的。通过实现基于Vlan的访问控制,可以实现对部门的访问控制。
2.2 用户验证
用户验证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受网络攻击,而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务,而未经验证的用户则被拒绝。
访问交换机存在多种方式:直接从console口登录进行配置;telnet登录配置;通过SNMP进行配置;通过modem远程配置等等。对于这些访问方式,都需要有相应的用户身份验证。 验证时可以选择采用交换机本身维护的用户数据库,还可以采用RADIUS服务器所维护的用户数据库对用户进行验证。 远程用户验证主要包括:PPP验证、WEB验证和端口验证。
2.3 防地址假冒
4、基于端口的访问控制。 对于接入用户来说,他们之间的权限也有可能是不一样的。通过对用户接入的端口设置特定的过滤属性,可实现对接入用户的访问控制。
5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门,各个部门的访问权限有可能是不一样的。通过实现基于Vlan的访问控制,可以实现对部门的访问控制。
2.2 用户验证
用户验证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受网络攻击,而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务,而未经验证的用户则被拒绝。
访问交换机存在多种方式:直接从console口登录进行配置;telnet登录配置;通过SNMP进行配置;通过modem远程配置等等。对于这些访问方式,都需要有相应的用户身份验证。 验证时可以选择采用交换机本身维护的用户数据库,还可以采用RADIUS服务器所维护的用户数据库对用户进行验证。 远程用户验证主要包括:PPP验证、WEB验证和端口验证。
2.3 防地址假冒
为了有效的防止假冒IP地址和假冒MAC地址,Quidway以太网交换机使用了地址绑定技术严格控制用户的接入。例如,绑定用户接入的端口与MAC地址。
2.4 入侵检测与防范
为了防止网上的大流量攻击,Quidway系列以太网交换机提供了两种基本的攻击检测技术:
1、报文镜像。使用报文镜像,可以将指定类型的报文,例如ICMP报文,拷贝到指定端口,然后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法,可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多种协议报文。
2、报文统计。使用报文统计,可以按时间段、协议类型、IP地址五元组等特性分别进行报文包数和字节数的统计。
Quidway系列以太网交换机通过基于ACL的流量限制,预防并控制网上的大流量攻击。当发现大流量攻击时,可以限制到达被攻击目的地址的报文流量。
2.5 安全管理
内部网络与外部网络之间的每一个数据报文都会通过交换机,在交换机上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。
另一方面,交换机的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利
2.4 入侵检测与防范
为了防止网上的大流量攻击,Quidway系列以太网交换机提供了两种基本的攻击检测技术:
1、报文镜像。使用报文镜像,可以将指定类型的报文,例如ICMP报文,拷贝到指定端口,然后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法,可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多种协议报文。
2、报文统计。使用报文统计,可以按时间段、协议类型、IP地址五元组等特性分别进行报文包数和字节数的统计。
Quidway系列以太网交换机通过基于ACL的流量限制,预防并控制网上的大流量攻击。当发现大流量攻击时,可以限制到达被攻击目的地址的报文流量。
2.5 安全管理
内部网络与外部网络之间的每一个数据报文都会通过交换机,在交换机上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。
另一方面,交换机的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利
用,进行安全策略管理是必需的。
3 Quidway系列以太网交换机的安全技术
Quidway系列以太网交换机提供了一个有效的网络安全解决方案,包括用户验证、授权、计费、数据保护等等。Quidway系列以太网交换机所采用的安全技术包括:
・ 包过滤技术
・ 用户验证技术
・ 防地址假冒技术
・ 入侵检测与防范技术
・ 安全管理
3.1 包过滤技术
包过滤应用在Quidway系列以太网交换机中,为交换机增加了对数据包的过滤功能。在三层交换机中,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP数据包。对到达端口的数据包,如果是可以直接在链路层交换的以太网帧,则先获取以太网帧头信息,包括以太网帧类型、源MAC地址、目的MAC地址,并根据目的MAC地址获得以太网帧的出端口;如果是需要三层转发的数据包,则先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的
3 Quidway系列以太网交换机的安全技术
Quidway系列以太网交换机提供了一个有效的网络安全解决方案,包括用户验证、授权、计费、数据保护等等。Quidway系列以太网交换机所采用的安全技术包括:
・ 包过滤技术
・ 用户验证技术
・ 防地址假冒技术
・ 入侵检测与防范技术
・ 安全管理
3.1 包过滤技术
包过滤应用在Quidway系列以太网交换机中,为交换机增加了对数据包的过滤功能。在三层交换机中,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP数据包。对到达端口的数据包,如果是可以直接在链路层交换的以太网帧,则先获取以太网帧头信息,包括以太网帧类型、源MAC地址、目的MAC地址,并根据目的MAC地址获得以太网帧的出端口;如果是需要三层转发的数据包,则先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的
源地址、目的地址、源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
三层IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由交换机进行处理的信息。包过滤通常用到IP报文的以下属性:
・ IP的源、目的地址及协议域;
・ TCP或UDP的源、目的端口;
・ ICMP码、ICMP的类型域;
・ TCP的标志域
可以由这些域的各式各样的组合形成不同的规则。比如,要禁止从主机1.1.1.1到主机 2.2.2.2的FTP连接,包过滤可以创建这样的规则用于丢弃相应的报文:
・ IP目的地址 = 2.2.2.2
・tcp ip协议的安全隐患 IP源地址 = 1.1.1.1
・ IP的协议域 = 6 (TCP)
・ 目的端口 = 21 (FTP)
其他的域一般情况下不用考虑。
三层IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由交换机进行处理的信息。包过滤通常用到IP报文的以下属性:
・ IP的源、目的地址及协议域;
・ TCP或UDP的源、目的端口;
・ ICMP码、ICMP的类型域;
・ TCP的标志域
可以由这些域的各式各样的组合形成不同的规则。比如,要禁止从主机1.1.1.1到主机 2.2.2.2的FTP连接,包过滤可以创建这样的规则用于丢弃相应的报文:
・ IP目的地址 = 2.2.2.2
・tcp ip协议的安全隐患 IP源地址 = 1.1.1.1
・ IP的协议域 = 6 (TCP)
・ 目的端口 = 21 (FTP)
其他的域一般情况下不用考虑。
同样,对于二层报文,也可相应地设置各自的过滤规则。二层报文常用到的过滤属性:
・ 源/目的MAC地址;
・ 输入/输出端口;
・ 以太网封装类型;
・ 以太网帧承载的协议类型;
・ 报文类型;
・ Vlan标识符
可以基于这些域及其组合来制定ACL规则,从而完成在第二层的包过滤。
Quidway系列以太网交换机的包过滤具有以下特性:
・ 基于ACL(Access-List,访问控制列表):ACL不仅应用在包过滤中,还可以应用在其他需要进行对数据流进行分类的特性中,比如报文镜像、报文统计与流量限制。 Quidway系列以太网交换机提供的ACL可以:
・ 支持标准及扩展的ACL:可以通过标准的ACL只设定一个简单的地址范围,也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等。
・ 源/目的MAC地址;
・ 输入/输出端口;
・ 以太网封装类型;
・ 以太网帧承载的协议类型;
・ 报文类型;
・ Vlan标识符
可以基于这些域及其组合来制定ACL规则,从而完成在第二层的包过滤。
Quidway系列以太网交换机的包过滤具有以下特性:
・ 基于ACL(Access-List,访问控制列表):ACL不仅应用在包过滤中,还可以应用在其他需要进行对数据流进行分类的特性中,比如报文镜像、报文统计与流量限制。 Quidway系列以太网交换机提供的ACL可以:
・ 支持标准及扩展的ACL:可以通过标准的ACL只设定一个简单的地址范围,也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等。
・ 支持时间段:可以使ACL在特定的时间段内起作用,比如可设置每周一的8:00至20:00此ACL起作用,还可以具体到某年某月某日至某年某月某日此ACL起作用。
・ 支持ACL的自动排序:可以选择是否针对某一类的ACL进行自动排序,以简化配置的复杂度,方便对于ACL的配置及维护。
・ 支持名称方式的ACL:易于记忆及配置。
・ 支持基于端口进行过滤:可以设定禁止或允许转发来自或去往某个端口的报文。
・ 支持基于MAC地址进行过滤:可以设定禁止或允许转发来自或去往某个MAC地址的帧。
・ 支持基于Vlan进行过滤: 可以设定禁止或允许转发来自或去往某个Vlan的报文。
・ 支持基于应用进行过滤:可以对交换机端口的输入帧前80字节范围内的64字节任意域设置过滤规则。
・ 支持对符合条件的报文或帧做日志:可以记录报文或帧的相关信息,并提供了机制保证在有大量相同触发日志的情况下不会消耗过多的资源。
3.2 用户验证
3.2.1 PPP 验证
PPP是传统窄带拨号网络的接入技术。PPP在NCP过程中,可以采用PAP或CHAP进行口令
・ 支持ACL的自动排序:可以选择是否针对某一类的ACL进行自动排序,以简化配置的复杂度,方便对于ACL的配置及维护。
・ 支持名称方式的ACL:易于记忆及配置。
・ 支持基于端口进行过滤:可以设定禁止或允许转发来自或去往某个端口的报文。
・ 支持基于MAC地址进行过滤:可以设定禁止或允许转发来自或去往某个MAC地址的帧。
・ 支持基于Vlan进行过滤: 可以设定禁止或允许转发来自或去往某个Vlan的报文。
・ 支持基于应用进行过滤:可以对交换机端口的输入帧前80字节范围内的64字节任意域设置过滤规则。
・ 支持对符合条件的报文或帧做日志:可以记录报文或帧的相关信息,并提供了机制保证在有大量相同触发日志的情况下不会消耗过多的资源。
3.2 用户验证
3.2.1 PPP 验证
PPP是传统窄带拨号网络的接入技术。PPP在NCP过程中,可以采用PAP或CHAP进行口令
验证,然后由业务接入节点分配IP地址。 在宽带网络上,引入了对PPP的扩展:PPPoE和PPPoA。 PPPoE是PPP在以太网上的扩展;PPPoE应用在共享的网络介质上,必须采用CHAP进行口令交换,以避免明文口令被侦听。
3.2.2 WEB验证
基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP获得IP地址,然后通过通用浏览器访问指定Web页面(地址、端口及URL),或者由业务接入节点自动导向运营商的Portal页面。Portal认证方式的用户接入方案如图1所示。
(点击放大)
图1 Portal认证方式的用户接入方案
Portal认证的基本过程是: 客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。 一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户
3.2.2 WEB验证
基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP获得IP地址,然后通过通用浏览器访问指定Web页面(地址、端口及URL),或者由业务接入节点自动导向运营商的Portal页面。Portal认证方式的用户接入方案如图1所示。
(点击放大)
图1 Portal认证方式的用户接入方案
Portal认证的基本过程是: 客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。 一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户
还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。Portal认证方式的关键结点通信关系如图2所示。
图2 Portal 认证方式关键结点通信关系
通过Portal认证方式,用户具体上网、计费、下线全过程如图3所示。
图3 Portal 认证方式的用户上网、计费、下线流程
1、连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址,也可为用户配置静态IP地址;
2、用户游览ISP网站,获取认证网页,同时可游览社区广告、通知等内容;
Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。Portal认证方式的关键结点通信关系如图2所示。
图2 Portal 认证方式关键结点通信关系
通过Portal认证方式,用户具体上网、计费、下线全过程如图3所示。
图3 Portal 认证方式的用户上网、计费、下线流程
1、连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址,也可为用户配置静态IP地址;
2、用户游览ISP网站,获取认证网页,同时可游览社区广告、通知等内容;
3、用户在认证页面中输入帐号/密码,由WEB客户端技术发给Portal Server;
4、Portal Server在收到该数据后,按PortAL协议代用户向NAS发Challenge请求,对用户的标识方法是用用户的IP地址来标识;
5、NAS向Portal Server回Challenge;
6、Portal Server向NAS发该用户的认证请求;
7、NAS向RADIUS服务器发认证请求,运用RADIUS协议;
8、RADIUS服务器向NAS返回认证结果;
9、NAS在本地对用户连接进行授权;
10、NAS向RADIUS Server发计费(开始)请求;
11、RADIUS Server向NAS返回计费响应;
12、NAS向Portal Server返回认证结果;
13、Portal Server向用户返回上线成功;
14、用户发下线请求;
15、Portal Server收到消息后向NAS发Req-logout报文;
16、NAS向RADIUS Server发计费(结束)请求;
17、RADIUS Server返回计费响应;
5、NAS向Portal Server回Challenge;
6、Portal Server向NAS发该用户的认证请求;
7、NAS向RADIUS服务器发认证请求,运用RADIUS协议;
8、RADIUS服务器向NAS返回认证结果;
9、NAS在本地对用户连接进行授权;
10、NAS向RADIUS Server发计费(开始)请求;
11、RADIUS Server向NAS返回计费响应;
12、NAS向Portal Server返回认证结果;
13、Portal Server向用户返回上线成功;
14、用户发下线请求;
15、Portal Server收到消息后向NAS发Req-logout报文;
16、NAS向RADIUS Server发计费(结束)请求;
17、RADIUS Server返回计费响应;
18、NAS向Portal Server发ACK-Logout报文;
19、Portal Server向用户返回下线消息。
3.2.3 端口验证
基于端口的验证,是由IEEE进行标准化的验证方法,标准号是802.1x。IEEE 802.1x定义了基于端口的网络接入控制协议(port based net access control), 用于交换式的以太网环境,要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时,应对用户名、密码等关键信息进行加密传输。 在运营过程中,设备也可以随时要求客户重新进行验证。
该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口访问局域网。IEEE 802.1x的体系结构包括三部分:
・ Supplicant System 用户接入设备
・ Authenticator System 接入控制单元
・ Authentication Sever System 认证服务器
802.1x系统的客户端一般安装在用户PC机中,典型为Windows XP的802.1X客户端。
19、Portal Server向用户返回下线消息。
3.2.3 端口验证
基于端口的验证,是由IEEE进行标准化的验证方法,标准号是802.1x。IEEE 802.1x定义了基于端口的网络接入控制协议(port based net access control), 用于交换式的以太网环境,要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时,应对用户名、密码等关键信息进行加密传输。 在运营过程中,设备也可以随时要求客户重新进行验证。
该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口访问局域网。IEEE 802.1x的体系结构包括三部分:
・ Supplicant System 用户接入设备
・ Authenticator System 接入控制单元
・ Authentication Sever System 认证服务器
802.1x系统的客户端一般安装在用户PC机中,典型为Windows XP的802.1X客户端。
接入层设备需要实现802.1x的认证系统部分,即Authenticator。 主要根据客户的认证状态控制其物理接入,是客户与认证服务器之间的认证代理。
802.1x的认证服务器系统(Authentication server)一般驻留在运营商的AAA中心,典型的是传统的Radius服务器。
接入层设备依据用户接入的端口状态决定该用户是否能接入网络。802.1x系统将接入层设备端口分为非授权端口和授权端口。非授权端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证Suppliant始终可以发送或接收认证。授权端口只有在认证通过后才打开,用于传递网络资源和服务。授权端口双向授权、仅输入授权两种方式,以适应不同的应用环境。输入授权应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能通过授权端口向客户端发送远程开机命令。802.1x体系结构如图4所示。
图4 802.1x 体系结构
在启用802.1x认证时,端口的初始状态一般为非授权状态(unauthorized),在该状态下,除802.1x 报文和广播报文外不允许任何业务输入、输出。 当客户通过认证后,端口状态切换到授权状态,允许客户端通过端口进行正常通信。
802.1x的认证服务器系统(Authentication server)一般驻留在运营商的AAA中心,典型的是传统的Radius服务器。
接入层设备依据用户接入的端口状态决定该用户是否能接入网络。802.1x系统将接入层设备端口分为非授权端口和授权端口。非授权端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证Suppliant始终可以发送或接收认证。授权端口只有在认证通过后才打开,用于传递网络资源和服务。授权端口双向授权、仅输入授权两种方式,以适应不同的应用环境。输入授权应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能通过授权端口向客户端发送远程开机命令。802.1x体系结构如图4所示。
图4 802.1x 体系结构
在启用802.1x认证时,端口的初始状态一般为非授权状态(unauthorized),在该状态下,除802.1x 报文和广播报文外不允许任何业务输入、输出。 当客户通过认证后,端口状态切换到授权状态,允许客户端通过端口进行正常通信。
接入层设备与客户端通过EAPOL协议进行通信,与认证服务器通过EAPoRadius或EAP承载在其他高层协议上进行通信。 接入层设备要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同; 最后根据认证结果控制端口是否可用。认证服务器(Authentication server)核实客户的identity,通知接入层设备是否允许客户端访问LAN和交换机提供的服务。 802.1x认证消息交互过程如图5所示。
图5 802.1x认证消息交互过程
Quidway系列以太网交换设备实现的802.1x具有如下特性:
・ 支持3种端口认证模式:常开模式、常关模式和协议控制模式。允许一个物理端口上有多个受控端口。
・ 支持3种受控端口类型:
・ 支持逻辑端口,一个物理端口对应一个逻辑端口,对应一个Authenticator PAE实体。
・ 支持逻辑端口+源MAC地址,一个物理端口对应的受控端口数可配,受控端口通过逻辑端口号和源MAC地址标识。
・ 支持逻辑端口+源MAC地址+VlanID,一种扩展的受控端口类型
图5 802.1x认证消息交互过程
Quidway系列以太网交换设备实现的802.1x具有如下特性:
・ 支持3种端口认证模式:常开模式、常关模式和协议控制模式。允许一个物理端口上有多个受控端口。
・ 支持3种受控端口类型:
・ 支持逻辑端口,一个物理端口对应一个逻辑端口,对应一个Authenticator PAE实体。
・ 支持逻辑端口+源MAC地址,一个物理端口对应的受控端口数可配,受控端口通过逻辑端口号和源MAC地址标识。
・ 支持逻辑端口+源MAC地址+VlanID,一种扩展的受控端口类型
・ 能兼容支持市场上绝大部分认证服务器,在接入层设备将EAP报文映射成Radius报文,通过Radius协议完成认证和计费。目前支持MD5-CHAP认证方式。
・ 支持内置802.1x认证服务器,采用AAA本地认证方式。
802.1x在大中型企业网络中的应用方案如图6所示。
(点击放大)
图6 802.1x在大中型企业的应用方案
3.3 防地址假冒技术
为了加强接入用户的控制和限制,Quidway系列以太网交换机支持4种地址安全技术:
・ 支持设置端口的学习状态。关闭端口的地址学习功能后,该端口上只能通过认识的MAC地址(一般是用户手工配置的静态MAC地址),来自其它陌生MAC地址的报文均被丢弃。
・ 支持设置端口最多学习到的MAC地址个数。开启端口的地址学习功能后,可以配置允许学习的MAC地址个数,范围在1~65535之间。当端口已经学习到允许的MAC地址个数后,将停止学习新MAC地址,直到部分MAC地址老化后,才开始学习新MAC地址。
・ 支持端口和MAC地址绑定。通过在端口上配置静态MAC地址,并禁止该端口进行地址学
・ 支持内置802.1x认证服务器,采用AAA本地认证方式。
802.1x在大中型企业网络中的应用方案如图6所示。
(点击放大)
图6 802.1x在大中型企业的应用方案
3.3 防地址假冒技术
为了加强接入用户的控制和限制,Quidway系列以太网交换机支持4种地址安全技术:
・ 支持设置端口的学习状态。关闭端口的地址学习功能后,该端口上只能通过认识的MAC地址(一般是用户手工配置的静态MAC地址),来自其它陌生MAC地址的报文均被丢弃。
・ 支持设置端口最多学习到的MAC地址个数。开启端口的地址学习功能后,可以配置允许学习的MAC地址个数,范围在1~65535之间。当端口已经学习到允许的MAC地址个数后,将停止学习新MAC地址,直到部分MAC地址老化后,才开始学习新MAC地址。
・ 支持端口和MAC地址绑定。通过在端口上配置静态MAC地址,并禁止该端口进行地址学
习,就限定了在该端口上允许通过的MAC地址,来自其它MAC地址的报文均被丢弃。
・ 支持广播报文转发开关。可在端口上配置,禁止目的地址为广播地址的报文从该端口转发,以防止Smurf攻击。
3.4 入侵检测与防范技术
3.4.1 报文镜像
Quidway系列以太网交换设备支持两种镜像方式:
・ 端口镜像。 通过配置,将系统中某个端口的部分或全部流量拷贝到其它的端口,出端口的报文和入端口的报文可以分别镜像到不同的端口。端口镜像时,对报文不进行过滤或修改。在输入侧,帧在去头之前被镜像;而在输出侧,帧在修改之后被镜像。有两种端口镜像类型:
? 一对一端口镜像。 把一个端口的流量,全部原封不动地拷贝到指定的镜像端口。
? 多对一端口镜像。 从多个端口上,分别拷贝部分流量到指定的镜像端口。
・ 流镜像。基于ACL对业务流分类,将匹配指定规则的流量复制到指定的输出端口,用于报文分析和监视。
镜像端口一般是设备的监控端口,可以连接协议分析仪进行测试记录。
・ 支持广播报文转发开关。可在端口上配置,禁止目的地址为广播地址的报文从该端口转发,以防止Smurf攻击。
3.4 入侵检测与防范技术
3.4.1 报文镜像
Quidway系列以太网交换设备支持两种镜像方式:
・ 端口镜像。 通过配置,将系统中某个端口的部分或全部流量拷贝到其它的端口,出端口的报文和入端口的报文可以分别镜像到不同的端口。端口镜像时,对报文不进行过滤或修改。在输入侧,帧在去头之前被镜像;而在输出侧,帧在修改之后被镜像。有两种端口镜像类型:
? 一对一端口镜像。 把一个端口的流量,全部原封不动地拷贝到指定的镜像端口。
? 多对一端口镜像。 从多个端口上,分别拷贝部分流量到指定的镜像端口。
・ 流镜像。基于ACL对业务流分类,将匹配指定规则的流量复制到指定的输出端口,用于报文分析和监视。
镜像端口一般是设备的监控端口,可以连接协议分析仪进行测试记录。
3.4.2 报文统计
Quidway系列以太网交换机支持基于ACL的报文包数和字节数统计,能实现:
・ 按照源IP地址/目的IP地址对报文流量进行统计。
・ 按照IP五元组任意组合对报文流量进行统计。
・ 按照源MAC地址/目的MAC地址对报文流量进行统计。
・ 分时间段进行流量统计
3.4.3 流量限制
当发现存在网络大流量攻击时,最常用的方法就是限制到达被攻击目的地址的报文流量,超过流量范围的报文被丢弃。Quidway系列以太网交换机基于ACL实现流量限制,有以下特性:
・ 对匹配规则的报文实施平均流量限制
・ 对匹配规则的报文实施突发流量限制
・ 分时间段流量限制
3.5 安全管理
3.5.1 信息中心
Quidway系列以太网交换机支持基于ACL的报文包数和字节数统计,能实现:
・ 按照源IP地址/目的IP地址对报文流量进行统计。
・ 按照IP五元组任意组合对报文流量进行统计。
・ 按照源MAC地址/目的MAC地址对报文流量进行统计。
・ 分时间段进行流量统计
3.4.3 流量限制
当发现存在网络大流量攻击时,最常用的方法就是限制到达被攻击目的地址的报文流量,超过流量范围的报文被丢弃。Quidway系列以太网交换机基于ACL实现流量限制,有以下特性:
・ 对匹配规则的报文实施平均流量限制
・ 对匹配规则的报文实施突发流量限制
・ 分时间段流量限制
3.5 安全管理
3.5.1 信息中心
Quidway系列以太网交换机提供以下几种系统信息的记录功能:
・ access-list的log功能:在配置access-list时加入log关键字,可以在交换机处理相应的报文时,记录报文的关键信息;
・ 关键事件的日志记录:对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录;
・ Debug信息:用来对网络运行出现的问题进行分析。
各信息按重要性程度由高到低分为0~7级。
信息的输出设备包括配置终端、Console口、内部缓冲区、日志主机等。通过对这些信息的分析,可以对网络进行运行维护与管理。
图7 信息中心示意图
而信息中心则是各模块的系统信息与输出设备之间的桥梁,如图7所示。信息中心维护一个信息队列,各模块无需直接与输出设备交互,只要把自己的输出信息送到信息队列中,信息中心则起到对信息的统一调度管理与输出重定向的作用,同时信息中心还可对输出到不同输出设备上的信息级别进行管理,比如日志主机只输出严重影响到系统运行的第0级信息。信
・ access-list的log功能:在配置access-list时加入log关键字,可以在交换机处理相应的报文时,记录报文的关键信息;
・ 关键事件的日志记录:对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录;
・ Debug信息:用来对网络运行出现的问题进行分析。
各信息按重要性程度由高到低分为0~7级。
信息的输出设备包括配置终端、Console口、内部缓冲区、日志主机等。通过对这些信息的分析,可以对网络进行运行维护与管理。
图7 信息中心示意图
而信息中心则是各模块的系统信息与输出设备之间的桥梁,如图7所示。信息中心维护一个信息队列,各模块无需直接与输出设备交互,只要把自己的输出信息送到信息队列中,信息中心则起到对信息的统一调度管理与输出重定向的作用,同时信息中心还可对输出到不同输出设备上的信息级别进行管理,比如日志主机只输出严重影响到系统运行的第0级信息。信
息中心的信息重定向与信息级别控制通过用户配置确定。
3.5.2 安全策略分析与管理
因为越来越高的网络安全性要求,使得安全产品也日益复杂。交换机也不例外,为了有效地设定各种功能下的安全策略,用户面对的是越来越复杂的配置。虽然可以通过图形化配置方式弥补命令行方式的一些缺点,但这是远远不够的。这就需要更高级的安全策略分析与管理,以简化用户的使用,保证网络的安全性。
成熟的安全策略分析与管理将基于策略数据库实现,并且在需要的地方可设置安全策略服务器,包含以下功能:
・ 策略生成 ― 用户仅需形象化地设定一些安全需求,而由策略管理中心自动完成策略的配置,并把策略下载到相应的设备上。
・ 策略模板 ― 引导用户一步一步地配置所需的安全策略。
・ 策略跟踪 ― 在用户更新配置时,能根据以前的配置信息给出相关的建议或提示信息。
・ 策略冲突分析 ― 分析用户配置的各种策略是否存在矛盾或冲突,而使策略变得实际上不可行。
安全策略分析与管理是Quidway系列以太网交换设备在安全方面的一个新的发展方向。
3.5.2 安全策略分析与管理
因为越来越高的网络安全性要求,使得安全产品也日益复杂。交换机也不例外,为了有效地设定各种功能下的安全策略,用户面对的是越来越复杂的配置。虽然可以通过图形化配置方式弥补命令行方式的一些缺点,但这是远远不够的。这就需要更高级的安全策略分析与管理,以简化用户的使用,保证网络的安全性。
成熟的安全策略分析与管理将基于策略数据库实现,并且在需要的地方可设置安全策略服务器,包含以下功能:
・ 策略生成 ― 用户仅需形象化地设定一些安全需求,而由策略管理中心自动完成策略的配置,并把策略下载到相应的设备上。
・ 策略模板 ― 引导用户一步一步地配置所需的安全策略。
・ 策略跟踪 ― 在用户更新配置时,能根据以前的配置信息给出相关的建议或提示信息。
・ 策略冲突分析 ― 分析用户配置的各种策略是否存在矛盾或冲突,而使策略变得实际上不可行。
安全策略分析与管理是Quidway系列以太网交换设备在安全方面的一个新的发展方向。
4 Quidway系列以太网交换机的安全解决方案
根据前述的以太网安全设计原则,Quidway系列以太网交换机提出了多种有效的安全解决方案,以适应企事业单位不同层次的应用需求。针对企事业接入Internet的应用,Quidway系列以太网交换设备的安全方案如图8所示,其中的Quidway系列以太网交换机主要通过包过滤功能,提供如下的安全措施:
・ 基于接口的包过滤;
・ 可以为特殊的时间段定义特殊的包过滤规则,实现与时间相关的访问需求;
・ 外部不能直接访问内部网络;
・ 日志主机可以记录网络运行情况,便于用户的安全分析与管理。
(点击放大)
图8 Quidway系列以太网交换机的企业网安全方案
5 结语
Quidway系列以太网交换机实现了多种有效的安全技术,包括包过滤、身份验证、防假冒地
根据前述的以太网安全设计原则,Quidway系列以太网交换机提出了多种有效的安全解决方案,以适应企事业单位不同层次的应用需求。针对企事业接入Internet的应用,Quidway系列以太网交换设备的安全方案如图8所示,其中的Quidway系列以太网交换机主要通过包过滤功能,提供如下的安全措施:
・ 基于接口的包过滤;
・ 可以为特殊的时间段定义特殊的包过滤规则,实现与时间相关的访问需求;
・ 外部不能直接访问内部网络;
・ 日志主机可以记录网络运行情况,便于用户的安全分析与管理。
(点击放大)
图8 Quidway系列以太网交换机的企业网安全方案
5 结语
Quidway系列以太网交换机实现了多种有效的安全技术,包括包过滤、身份验证、防假冒地
址、入侵检测与防范、安全管理等技术,提供了有效的的安全保障。
另外,Quidway系列以太网交换正在实现策略分析与管理等新一代安全技术的支持。在安全方面,Quidway系列以太网交换机将会越来越具有自己的特,也将为用户提供越来越实用而安全的服务。
首页/技术白皮书/以太网安全技术白皮书
另外,Quidway系列以太网交换正在实现策略分析与管理等新一代安全技术的支持。在安全方面,Quidway系列以太网交换机将会越来越具有自己的特,也将为用户提供越来越实用而安全的服务。
首页/技术白皮书/以太网安全技术白皮书
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论