文档介绍：以太网安全技术白皮书
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术,包括访问控制、、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等,并探讨了Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安全方面的功能特点,给出了在企业网应用中的实际解决方案。
关键词
以太网安全,web认证,
1 概述
随着以太网应用的日益普及,尤其是在一些大中型企业网的应用,以太网安全成为日益迫切的需求。一方面以太网交换机作为企业内部网络之间通讯的关键设备,有必要在企业网内部提供充分的安全保护功能。另一方面用户只要能接入以太网交换机,网上的设备或资源,使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全机制包括:访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将对其原理与技术实现作介绍。
2 安全交换机的设计原则
针对以太网存在的各种安全隐患,安全交换机必须具有如下的安全特性:
访问控制
用户验证
防地址假冒
入侵检测与防范
安全管理
访问控制
访问控制分为以下几种情况:
1、对于交换机的访问控制。对交换机的访问权限需要进行口令的分级保护。只有持有相应口令的特权用户才能对交换机进行配置;一般用户只有查看普通信息的权力。
2、基于IP地址的访问控制。一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外用户)是通过IP地址来区分的,不同的用户具有不同的权限。通过包过滤实现基于IP地址的访问控制,可以实现对重要资源的保护。
3、基于MAC地址的访问控制。特殊情况下,用户也可以通过MAC地址来区分。通过实现基于MAC地址的访问控制,可以保护特殊用户的权限。
4、基于端口的访问控制。对于接入用户来说,他们之间的权限也有可能是不一样的。通过对用户接入的端口设置特定的过滤属性,可实现对接入用户的访问控制。
5、基于Vlan的访问控制。企业内部通常以VLan方式划分成不同部门,各个部门的访问权限有可能是不一样的。通过实现基于Vlan的访问控制,可以实现对部门的访问控制。
用户验证
用户验证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受网络攻击,而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务,而未经验证的用户则被拒绝。
访问交换机存在多种方式:直接从console口登录进行配置;登录配置;通过SNMP进行配置;通过modem远程配置等等。对于这些访问方式,都需要有相应的用户身份验证。验证时可以选择采用交换机本身维护的用户数据库,还可以采用RADIUS服务器所维护的用户数据库对用户进行验证。远程用户验证主要包括:PPP验证、WEB验证和端口验证。
防地址假冒
为了有效的防止假冒IP地址和假冒MAC地址,Quidway以太网交换机使用了地址绑定技术严格控制用户的接入。例如,绑定用户接入的端口与MAC地址。
入侵检测与防范
为了防止网上的大流量攻击,Quidway系列以太网交换机提供了两种基本的攻击检测技术:
1、报文镜像。使用报文镜像,可以将指定类型的报文,例如ICMP报文,拷贝到指定端口,然后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法,可以有效的检测到TCP、UDP、ICMP、HTTP、SMTP、RSTP等多种协议报文。
2、报文统计。使用报文统计,可以按时间段、协议类型、IP地址五元组等特性分别进行报文包数和字节数的统计。
Quidway系列以太网交换机通过基于ACL的流量限制,预防并控制网上的大流量攻击。当发现大流量攻击时,可以限制到达被攻击目的地址的报文流量。
安全管理
内部网络与外部网络之间的每一个数据报文都会通过交换机,在交换机上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。
另一方面,交换机的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利用,进行安全策略管理是必需的。
3 Quidway系列以太网交换机的安全技术
Quidway系列以太网交换机提供了一个有效的网络安全解决方案,包括用户验证、授权、计费、数据保护等等。Quidway系列以太网交换机所采用的安全技术包括:
包过滤技术
用户验证技术
防地址假冒技术
入侵检测与防范技术
安全管理
包过滤技术
包过滤应用在Quidway系列以太网交换机中,为交换机增加了对数据包的过滤功能。在三层交换机中,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP数据包。对到达端口的数据包,如果是可以直接在链路层交换的以