目 录
网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。
网络系统所面临的安全威胁主要包括以下四个方面:
· 信息泄露:信息被泄露或透露给某个非授权的人或实体。
· 完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。
· 业务拒绝:对信息或其它资源的合法访问被非法阻止。
· 非法使用:某一资源被非授权的人或被以非授权的方式使用。
一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:
· 身份认证
身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。
· 接入安全
接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证、Portal认证,它们在AAA的配合下完成对用户的身份认证。
· 数据安全
在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),其中IPsec为IP层的数据传输提供安全保障,SSL和SSH为应用层的数据传输提供安全保障。
· 防火墙技术
防火墙技术是一种非常有效的网络安全模型,是将内部网络与外部网络之间访问进行全面控制的一种机制。基本的防火墙技术主要包括包过滤、ASPF(Advanced Stateful Packet Filter,高级状态包过滤)和ALG(Application Level Gateway,应用层网关)。
· 攻击检测及防范
对网络中的流量或应用协议报文的内容进行检测,实现对攻击行为的有效识别,并根据识别结果采取一定的监管及防范措施,防止网络攻击的发生或者对已发生的网络攻击行为进行有效的控制。攻击检测及防范可提供针对数据链路层、网络层和应用层的攻击检测和防御手段,例如ARP攻击防御、IP Source Guard、TCP和ICMP攻击防御。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
· 计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。
AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议或LDAP协议,在实际应用中最常使用的是RADIUS协议。
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。
目前,设备实现的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接层)、WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)提供数字证书管理机制。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用:通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。
未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。
Triple认证是一种允许端口上同时开启多种接入认证方式的解决方案,它允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能,使得用户可以选用其中任意一种方式进行认证来接入网络。
公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。
IPsec(IP Security,IP安全)是一个IP层的安全框架,它为网络上传输的IP数据提供安全保证,其主要功能是对数据的加密和对数据收发方的身份认证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网)的安全技术。
IKE(Internet Key Exchange,因特网密钥交换)为IPsec提供了自动协商安全参数的服务,能够简化IPsec的配置和维护工作。IKE协商的安全参数包括加密和认证算法、加密和认证密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。
SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。
SSL VPN是以SSL为基础的VPN技术,工作在传输层和应用层之间,广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证
SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
包过滤实现了对IP数据包的过滤。对需要转发的数据包,设备先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理(丢弃或转发)。
ASPF(Advanced Stateful Packet Filter,高级状态包过滤)是基于应用层状态的报文过滤,它提供以下功能:
· 传输层协议检测:检测传输层协议信息(即通用TCP/UDP检测),根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络;
· 应用层协议检测:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。
除以上功能之外,ASPF还支持丰富的安全特性,例如端口到应用的映射、Java阻断和ActiveX阻断、ICMP差错报文丢弃、TCP首包非SYN报文丢弃。在网络边界,ASPF和包过滤防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
ALG(Application Level Gateway,应用层网关)是一种对应用层报文进行处理的技术,它通过与NAT(Network Address Translation,网络地址转换)、ASPF等技术的组合应用,实现对应用层的处理和检测:
· 配合NAT可实现对报文载荷的地址转换功能;
· 配合ASPF特性可支持动态通道检测功能,以及对应用层的状态检测功能。
会话管理是为了实现NAT、ASPF、攻击检测及防范等基于会话进行处理的业务而抽象出来的公共功能,主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并将传输层报文之间的交互关系抽象为会话,通过会话对所有连接的状态信息进行统一维护和管理。
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
会话管理本身只能实现连接跟踪,并不能阻止潜在的攻击报文通过。
连接限制是通过限制用户发起的连接数、限制用户创建连接的速率或者限制用户建立连接所占用的带宽资源,对设备上建立的连接进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源。
ARP协议有简单、易用的优点,但是因为没有任何安全机制而容易被攻击发起者利用。目前ARP攻击已经成为局域网安全的一大威胁,针对常见的ARP攻击行为,如仿冒用户、仿冒网关、ARP泛洪攻击等,H3C提出了较为完整的解决方案来有效防止攻击。
IPv6 ND(Neighbor Discovery,邻居发现)协议功能强大,但没有自身的安全机制,容易被攻击者利用。设备提供了多种ND攻击检测技术,例如ND协议报文源MAC地址一致性检查功能、ND Detection功能,可有效地防范ND攻击带来的危害。
IP Source Guard功能利用绑定表项对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性,该功能通常在设备接入用户侧的端口上启用。
IP Source Guard绑定表项是由报文的源IP地址、源MAC地址以及VLAN ID组成,可通过手工配置或者利用DHCP、ND的相关表项动态生成。
SAVI(Source Address Validation,源地址有效性验证)功能应用在接入设备上,通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。
SAVI特性可以在下列地址分配场景下使用:
· DHCPv6-Only:和配置SAVI特性的设备连接的主机只能通过DHCPv6方式获取地址。
· SLAAC-Only(Stateless Address Autoconfiguration,无状态地址自动配置):和配置SAVI特性的设备连接的主机只能通过自动地址分配方式获取地址。
· DHCPv6与SLAAC混合:和配置SAVI特性的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)技术通过对报文的源地址进行反查,并依据其合法性对报文进行过滤,以阻止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
MFF(MAC-Forced Forwarding,MAC强制转发)为同一广播域内实现客户端主机间的二层隔离和三层互通提供了一种解决方案,通常与DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用,在接入层交换机上实现客户端的流量过滤、二层隔离和三层互通,提高接入层网络的安全性。
IP攻击检测及防范是一个重要的网络安全特性,能够通过分析经过设备的报文的内容和行为特征,判断报文是否具有攻击性,并对具有攻击特征的报文执行相应的防范措施,例如输出告警日志、丢弃报文或加入黑名单,可有效防范单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击。
针对攻击者利用TCP连接的建立过程或者通过发送大量ICMP分片报文形成的网络攻击,TCP和ICMP攻击防御可以提供了以下具体的防御功能:
· SYN Cookie功能
· 防止Naptha攻击功能
· 关闭ICMP分片报文转发功能
内容过滤功能是指设备对HTTP(Hypertext Transfer Protocol,超文本传输协议)报文、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)报文、POP3(Post Office Protocol, version 3,邮局协议的第3个版本)报文、FTP(File Transfer Protocol,文件传输协议)报文和Telnet报文中携带的内容进行过滤,以阻止内部网络用户访问非法网站或发送非法邮件,并阻止含有非法内容的报文进入内部网络。
当设备收到HTTP报文、SMTP报文、POP3报文、FTP报文或Telnet报文时,首先进行域间策略的匹配,如果匹配的域间策略规则中定义的动作为允许通过,且该域间策略规则中引用了内容过滤策略,则继续对报文进行内容过滤,阻止含有非法内容的报文通过设备。
Web过滤功能通过过滤内部用户的非法Web访问请求,包括阻止内部用户访问非法网址,以及对网页内的Java或ActiveX程序进行阻断,来提高内部网络的安全性。
DDoS流量清洗主要是为了解决运营商网络中日益严重的DDOS攻击而构建的解决方案,该方案的核心是在运营商网络中建立流量清洗中心,通过该清洗中心为遭受DDoS困扰的机构提供流量清洗服务,解除受害机构的DDoS威胁。
设备还可提供更为丰富的网络安全技术,用以配合上述基本的安全技术,为用户网络提供多功能、全方位的安全保护。
COPS(Common Open Policy Service,公共开放策略服务)是一种简单的使用查询/响应模式的应用层协议,可用于在策略服务器和客户端之间交互策略信息。同时,COPS协议又是一种面向业务的网络管理协议,可对多种网络应用业务进行策略控制。目前,设备可实现作为COPS客户端,通过与远端的策略服务器端交互实现对802.1X接入业务的策略控制。
User Profile是一个配置模板,它能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略或QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证(目前支持PPPoE、802.1X和Portal三种接入认证方式)。在认证过程中,认证服务器会先匹配用户名和密码,匹配成功后再将与用户绑定的User Profile名称下发给设备,设备会启用User Profile里定义的策略对用户的访问行为进行限制。
Password Control是一种增强本地密码安全性的功能,它根据管理员设置的安全策略对用户的登录密码、super密码和用户的登录状态进行控制,这些安全策略可包括密码最小长度限制、密码更新间隔管理、密码老化管理、密码过期提醒等。
RSH(Remote Shell,远程外壳)用来实现客户端对主机的远程操作,即允许远程执行主机上特定的命令(即远程主机的操作系统所提供的命令)。远程主机上需要运行RSH守护程序(RSH Daemon)以支持RSH服务,RSH Daemon提供对信任主机的特权端口的认证服务。设备可实现RSH客户端功能,用户可以在设备上使用rsh命令远程执行远程主机上的命令。
FIPS(Federal Information Processing Standards,联邦信息处理标准)140-2 是NIST(National Institute of Standard and Technology,美国标准与技术研究所)颁布的针对密码算法安全的一个标准,它规定了一个安全系统中的密码模块应该满足的安全性要求。FIPS 140-2定义了四个安全级别:Level 1、Level 2、Level 3和Level 4,它们安全级别依次递增,可广泛适应于密码模块的各种应用环境。目前,设备支持Level 2。当支持FIPS特性的设备运行于FIPS 140-2标准的工作模式下时,系统将具有更为严格的安全性要求,并会对密码模块进行相应的自检处理,以确认其处于正常运行状态。