网络规划与设计第10讲.ppt

1、4.3 网络安全设计4.3.1 网络安全问题与网络安全等级4.3.2 网络安全技术4.3.3 网络安全设备4.3.4 网络安全设计要点4.3.1 网络安全问题与网络安全等级 园区网面临着越来越多的来自病毒、木马、间谍软件、网络攻击等各种信息安全威胁；现在，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业网、政务网等用户最关心的问题。一般认为园区网内部是安全的，威胁主要来自外界。但是统计表明，大约80%的网络威胁、安全漏洞来自网络内部。网络安全等级网络安全等级 国家标准GB17859规定了计算机信息系统安全保护能力的五个等级（第一级第五级），安全保护能力随着安全保护等级的增高逐渐

2、增强。不同的网络对网络安全的要求是不同的。网络是信息系统的基础平台，因此网络安全的等级划分与信息系统的安全等级划分应该是一致的。第一级:用户自主保护级 本级通过隔离用户与数据，使用户具备自主安全保护的能力。对用户实施访问控制（用户名、口令等），保护用户和用户信息，避免其他用户对数据的非法读写与破坏。第二级:系统审计保护级 与用户自主保护级相比，本级实现登录控制、记录并审计安全事件和隔离资源（设置访问权限）。网络安全审计通过对网络上发生的各种访问情况记录日志，并对日志进行统计分析，从而对资源使用情况进行事后分析。审计是发现和追踪安全事件的常用措施。第三级:安全标记保护级 在系统审计保护级基础上，

3、本级还提供有关安全策略模型、数据标记（许可访问哪些子网、链路或中继设备等）以及对用户、进程、文件、设备等实施强制访问控制。在网络环境中，带有特定标记的数据应能被安全策略禁止通过某些子网、链路或中继设备。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明，请求回避某些特定的子网、链路或中继设备。第四级:结构化保护级 本级建立于一个明确定义的形式安全策略模型之上，要求将第三级系统中的自主和强制访问控制扩展到所有用户、进程、文件、设备及输入输出。此外，还要考虑隐蔽通道（允许进程以危害系统安全策略的方式传输信息的信道）安全；本级必须结构化为关键保护元素和非关键保护元素；加强了鉴别机制；支持系

4、统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。对外部主体能够直接访问的所有资源（例如：主体、存储客体和输入输出资源）实施强制访问控制。本级系统具有相当的抗渗透能力。第五级:访问验证保护级 本级使用访问监控器，访问监控器仲裁网络中的全部各种访问。访问监控器本身是抗篡改的。提供系统恢复机制。本级系统具有很高的抗渗透能力。园区网安全子系统的模块划分 园区网安全子系统可分为网络监管、边界防御、内部安全及远程安全接入4个模块，以便于设计。（1）网络监管 网络监管是园区网所有权单位通过网络监管软件对园区网上的行为、内容进行的监管，例如终端QQMSN的使用、屏幕显示内容，在终端机插U盘、敏感

5、内容的检查和过滤等。园区网安全子系统的模块划分（2）边界防御 边界防御通过防火墙、IPS、IDS、网闸等对园区网出入口进行有效防护和隔离。（3）内部安全 内部安全是园区内部的安全，包括部门之间的隔离，以及终端安全接入控制（例如：用户隔离，端口隔离）等。（4）远程安全接入 远程安全接入涉及分支机构、出差人员对园区网的安全访问控制。4.3.2 网络安全技术基于交换机的园区网安全技术基于交换机的园区网安全技术(1)DHCP Snooping：DHCP Snooping是DHCP的一种安全特性，用于解决DHCP服务器仿冒问题。(2)DAI（动态ARP检测），应用在二层接口上，利用DHCP Snoopi

6、ng绑定表来防御ARP攻击。(3)ARP限速 ARP报文限速功能是指对上送CPU的ARP报文进行限速，可以防止大量ARP报文对CPU进行冲击。(4)MAC泛洪攻击抑制 MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。MAC泛洪攻击抑制是在交换机上通过对MAC学习限制及流量抑制的功能来有效防止MAC泛洪攻击。(5)IP Source Guard IP Source Guard（IP源地址防护）能够限制二层不信任端口的IP流量。它通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤。此特性可以阻止IP地址欺骗攻击，（6）MACFF技术 在园区网络中，通常使

7、用MACFF（MAC-Forced Forwarding）实现不同客户端主机之间的二层隔离和三层互通。通过这种方式，可以强制用户将所有流量（包括同一子网内的流量）发送到指定网关，使指定网关可以监控数据流量，防止用户之间的恶意攻击。（7）VLAN 不同VLAN之间不能相互访问。边界防御技术边界防御技术（1）包过滤技术 根据预置的规则决定是否放行数据包。（2）ASPF过滤技术 ASPF（application specific packet filter）是针对应用层的包过滤技术，即基于状态的报文过滤。ASPF能检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。边界防御技术边界

8、防御技术（3）入侵检测技术 实时检测网络异常行为并报警。有两类入侵检测技术：基于异常行为特征的检测技术 先建立异常行为特征库，通过比对发现异常行为。统计异常检测 技术 先建立正常行为模型，若发现不符该模型的行为即判断为异常行为。（4）入侵防护技术 在入侵检测技术的基础上，增加了报警后的处理（一般是阻断恶意连接）。（5）网络隔离技术 逻辑隔离（“桥”）：防火墙、多重安全网关，网络交换区等；物理隔离（“船”）：网闸、安全通道等。网络内部安全技术（1）VPN 可把园区网看作是单位内部的公网，单位各部门之间可通过VPN进行安全互联和访问。（2）VLAN 在园区网内部，可通过划分VLAN实现所需要的部门

9、/用户之间的安全隔离。若VLAN之间需互访，则通过在第三层进行可控的设置实现。网络内部安全技术（3）终端接入认证技术 从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，从而保护企业网络的安全性。IEEE 802.1X （二层，账户信息）Portal认证 （三层，账户信息）MAC认证 （二层，网卡地址）802.1x协议 是一种基于端口的网络接入控制协议，用于在接入交换机的端口对所接入的用户/设备进行认证和接入控制。Portal认证 Portal认证是一种三层认证方式。用户可以通过访问

10、Portal服务器（Web服务器）上的Web认证页面，输入用户帐号信息，实现对终端用户身份的认证。MAC认证 对某些特殊情况，终端用户不想或不能通过输入用户帐号信息的方式完成认证。例如某些特权终端希望能“免认证”直接访问网络；对于某些特殊的PC终端，如打印机、IP电话等设备，无法安装客户端软件，也无法通过输入用户帐号信息的方式进行认证授权。网络内部安全接入解决方案（1）接入层认证方案 目前的安全解决方案专注于保护网络的第三层及以上。但是危及第二层安全的任何行为都将会危害到整个网络，因此接入层是网络内部安全接入控制的最佳点。使用802.1x身份认证可以直接将非法用户在接入层隔离，确保接入用户的合

11、法性。接入层认证方案采用传统的三层网络结构，接入层交换机部署802.1x认证或MAC认证，对接入用户进行身份认证，隔离非法用户和不安全用户。汇聚交换机上配置ACL控制访问权限。服务器区除了部署传统的业务服务器、网络管理服务器、DHCP/DNS服务器外，还需要部署准入服务器以及补丁、病毒服务器。汇聚层认证方案 汇聚层部署认证控制点适用于接入用户分散、接入终端类型较多、无线有线混合接入的场景，认证协议建议采用基于网关的Portal认证。这种认证方式与接入层设备无关，终端设备既可以安装代理客户端，也可以不安装（Web强推方式），适应各种终端接入（PC、手持设备等），方便灵活，管理维护方便。旧网改造中

12、若需要增加安全接入控制功能，而又不希望改变原来网络结构，可以直接在汇聚层部署Portal认证。汇聚层认证方案采用传统的三层网络结构，在汇聚层交换机基于网关部署Portal认证，对接入的用户进行身份认证，隔离非法用户和不安全用户。汇聚交换机上配置ACL控制访问权限。服务器区除了部署传统的业务服务器、网络管理服务器、DHCP/DNS服务器外，还需要部署准入服务器以及补丁、病毒服务器。汇聚层旁挂认证方案 汇聚层旁挂认证方案主要针对那些网络设备较为老旧的网络升级场景，不需要改变原有网络结构，旁挂一台设备即可引入一整套的网络安全接入控制方案，能够有效节约用户投资。本方案中，上下行流量都以旁挂设备为网关，

13、对旁挂设备的性能要求较高。汇聚层旁挂方案仍然推荐使用Portal认证方式，具体的NAC系统规划、安全策略规划、用户权限规划和可靠性规划都和汇聚层认证相同。网络结构与汇聚层认证方案类似，不同的是汇聚交换机旁挂一台具有认证功能的交换机作为网关，在旁挂交换机上基于网关部署Portal认证，对接入的用户进行身份认证，隔离非法用户和不安全用户。远程安全接入技术（1）GRE over IPSec（三层隧道）通过GRE over IPSec，可以弥补IPSec协议的不足。GRE over IPSec可大大提升组网的灵活性。（2）L2TP over IPsec（二层隧道）与GRE类似，由于L2TP本身没有加密

14、功能，因此如果使用L2TP，要保证分支网络的数据安全，则要和IPSec结合使用，即L2TP over IPSec。（3）SSL VPN（传输层-应用层隧道）SSL VPN是远程访问公司敏感数据最简单的安全解决技术。与复杂的IPSec VPN相比，任何浏览器（内嵌SSL）都可使用SSL VPN,不必为每台客户机安装客户端软件。（4）MPLS VPN（基于MPLS的VPN）对于没有广域专网的企业，可通过运营商提供的MPLS VPN实现互联；租用运营商固定专线的企业，也可通过MPLS VPN实现内部业务隔离和互访。（5）网络等级安全要素对应的实现技术网络等级安全要素对应的实现技术 在国家标准网络基础

15、安全技术要求GB/T 20270-2006中，安全等级的差异更多地体现在安全要素的多少以及安全要素粒度的粗细，即保护等级越高要求实现的安全要素越多，且安全要素的粒度越细。然而，该标准并没有给出每种安全要素的具体实现技术，为此我们研究了每种安全要素目前对应哪些主要实现技术，即在该标准各等级安全要求的安全要素和工程可实现的安全技术之间进行了对接，使该标准更具有可操作性。各安全要素对应的主要实现技术身份鉴别 当登录系统或者使用设备时，需要身份鉴别这一安全要素。身份鉴别的主要实现技术有：口令（包括静态口令和动态口令）、基于生物特征的鉴别技术、智能卡、数字证书等。其中基于生物特征的鉴别技术包括指纹识别、

16、声音识别、虹膜识别、掌型识别、人脸识别等。对于第三级及以上的安全等级网络系统需用两种或两种以上的身份鉴别技术组合来支撑身份鉴别的安全要素。自主访问控制 自主访问控制这一安全要素的主要实现技术有：访问控制列表、目录访问列表、权能表。其中，安全等级为一级的网络系统可实现粗粒度的自主访问控制，二到四级网络系统应实现中粒度自主访问控制，安全等级为五级的网络系统应实现细粒度的自主访问控制。安全审计 安全等级为二级及以上的网络系统，需要具备安全审计这一安全要素。安全审计的主要实现技术是计算机安全审计技术，就是在计算机系统中模拟社会的审计工作，对每个用户在计算机系统上的操作做一个完整记录的一种安全技术。标记

17、 安全等级为三级及以上的网络系统，需要具备标记这一安全要素。标记的主要实现技术有：安全标记绑定技术、安全标记调整技术。强制访问控制 安全等级为三级及以上的网络系统，需要具备强制访问控制这一安全要素。强制访问控制的主要实现方法是：制定强制访问控制策略。强制访问控制是基于安全标记之上实现的，安全标记对传输的数据信息与安全属性（安全标记）进行绑定，强制访问控制策略则是制定特定的规则，利用安全属性限制主体对数据的行为。经典的强制访问控制模型有BIBA模型、BLP模型以及其扩展模型。其中，安全等级为三到四级的网络系统需实现中粒度的强制访问控制，安全等级为五级的网络系统要实现细粒度的强制访问控制。数据流控

18、制 安全等级为三级及以上的网络系统，需要具备数据流控制这一安全要素。数据流控制是指通过制定规则防止数据从高密级区域流向低密级区域。数据流控制也是基于安全标记之上实现的，其实现方法是:在实施了安全标记绑定技术，标记了通信双方的安全属性的基础上，制定规则只允许数据流从低密级标记的通信方流向高密级标记的通信方。数据完整性 数据完整性这一安全要素是指能检测出数据在传输或存储过程中，是否被篡改、插入、删除等对数据的不法操作。数据完整性的主要实现技术有：消息验证码、数字签名技术。消息验证码技术的算法主要有三种构造方法，分别是基于分组密码、密码杂凑函数（或称为Hash函数）和泛杂凑函数族。其中国内广泛使用的

19、Hash函数有MD4、MD5、SHA-1、SHA-2、SHA-3等。数据保密性 数据保密性这一安全要素指防止系统中存储、传输的数据遭受非授权的泄漏。存储数据保密性主要依靠加密技术来实现，加密技术分为对称加密与非对称加密。而传输数据的保密性则可利用具有保密性的网络协议来实现。可信路径 可信路径是安全等级四级及以上的网络系统需要具备的安全要素。可信路径的主要实现技术有：安全注意键（SAK）技术。利用SAK技术可建立用户到SSF的可信路径。抗抵赖 抗抵赖是安全等级三级及以上的网络系统需要实现的安全要素。抗抵赖的主要实现技术有：数字签名技术。数字签名通过为消息附上电子数字签名，使签名者对消息的内容负责

20、，而不可以在事后进行抵赖。网络安全监控 网络安全监控是安全等级三级及以上的网络系统需要具备的安全要素。网络安全监控的主要实现方法有：部署入侵检测系统（IDS）、入侵防护系统（IPS）等，并且设置具有实时响应功能的网络安全监控中心，对网络攻击、失误操作和网络漏洞进行及时分析和响应。4.3.3 网络安全设备（1）网络监管设备 包括网络监管软件、安全审计软件等。(2)边界防御设备 包括边界路由器，边界防火墙、IDS、IPS、边界防毒墙、隔离设备、UTM（联合安全网关），VPN网关等设备。边界防火墙有以下几种：包过滤防火墙：包过滤防火墙不检查数据区，不建立连接状态表，前后报文无关，应用层控制很弱。应用

21、网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。（3）网络内部安全设备 VPN网关、支持VLAN的交换机、认证服务器等。（4）远程安全接入设备 VPN网关设备(软件)等。4.3.4 网络安全设计原则与要点网络安全设计原则网络安全设计原则(1)网络安全等级设计的步骤、内容和相应的安全要素，以及选用的网络安全设备应符合相关国家/行业标准；（2）在网络安全等级需求分析的基础上（或根据国家关于安全等级的

22、相关规定），设计适宜的网络安全技术解决方案；（3）网络安全设计应完整考虑，局部安全不等于系统安全；（4）网络安全技术解决方案必须配合相应的网络安全管理方案才有好的网络安全效果。基于网络安全等级保护的网络安全设计要点及步骤基于网络安全等级保护的网络安全设计要点及步骤（1）确定所要设计的网络设备、网络协议、网络软件及网络环境；（2）根据信息系统的总体安全需求，分析网络设备、网络协议、网络软件及网络环境的安全需求，分析其可能存在的薄弱环节以及这些环节可能造成的危害和由此产生的后果；（3）确定安全策略，根据安全需求分析的结果，确定应控制哪些危害因素及控制程度、应保护的资源和保护程度；（4）确定网络设备、网络协议、网络软件及网络环境想要达到的安全保护等级；（5）确定网络设备、网络协议、网络软件及网络环境在OSI参考模型中的网络层次；（6）根据所确定的安全保护等级、网络层次，确定所对应的安全要素；（7）根据所确定的安全保护等级、网络层次、安全要素，确定所需要的安全技术；（8）综合考虑网络设备、网络协议、网络软件及网络环境，按所需要的安全功能和安全保证要求来设计网络安全子系统。