【正文】 V LA N 1 V LA N 2 VR VR V LA N 3 V LA N 4 VR VR 。 虛擬局域網(wǎng) 4 終端 A 終端 B 終端 C 終端 D 服務(wù)器 A 服務(wù)器 B S3 S4 S5 S6 S7 1 2 1 2 3 2 2 1 2 1 3 4 1 2 SiS1 S2 1 1 2 .0/ 24 .0/ 24 .0/ 24 終端 B 終端 C 終端 D 服務(wù)器 A 服務(wù)器 B .254 .254 目的網(wǎng)絡(luò) 距離 IP 接口 .0/ 24 1 V L A N 2 .0/ 24 1 V L A N 3 路由表 W eb 接口 終端 A 物理網(wǎng)絡(luò) 由物理網(wǎng)絡(luò)劃分成的三個(gè)虛擬局域網(wǎng) 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬路由器 ? 基于安全的原因，有些單位要求連接內(nèi)部網(wǎng)絡(luò)資源的辦公網(wǎng)絡(luò)和用于訪問外部網(wǎng)絡(luò)資源的網(wǎng)絡(luò)相互獨(dú)立； ? 但辦公終端和用于訪問外部網(wǎng)絡(luò)資源的終端不是一成不變的，需要經(jīng)常調(diào)整，當(dāng)然，這種調(diào)整最好不要改變網(wǎng)絡(luò)的物理結(jié)構(gòu)。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬局域網(wǎng) ? 同一個(gè)以太網(wǎng)是一個(gè)廣播域，以太網(wǎng)內(nèi)廣播是不可避免的，但廣播一是浪費(fèi)帶寬，二是產(chǎn)生安全問題； ? 同一以太網(wǎng)兩個(gè)終端之間通信不需要經(jīng)過路由器，而路由器具有比交換機(jī)更強(qiáng)的信息傳輸控制能力； ? 一些黑客攻擊手段，如偽造 DHCP服務(wù)器， ARP欺騙攻擊等，都是針對同一以太網(wǎng)的終端的。 R3 .0/ 24 .0/ 24 .0/ 24 R1 R2 1 2 3 目的網(wǎng)絡(luò) 距離 輸出端口 .0/ 24 2 1 .0/ 24 2 2 . 3 .0/ 24 1 3 R3 路由表 黑客終端 .7 終端 A .5 服務(wù)器 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬網(wǎng)絡(luò) ?虛擬局域網(wǎng)； ?虛擬路由器； ?虛擬專用網(wǎng)絡(luò)。 路由消息中不包含被過濾器屏蔽掉的兩個(gè)內(nèi)部網(wǎng)絡(luò)。 .0/ 24 Int er R1 R2 目的網(wǎng)絡(luò) 距離 下一跳 .0/ 24 1 直接 R1 路由表 目的網(wǎng)絡(luò) 距離 下一跳 193 . .0/ 24 2 R 1 R2 路由表 R1 224 . .9 193 . .0/ 24 1 三個(gè)網(wǎng)絡(luò)，其中兩個(gè)是內(nèi)部網(wǎng)絡(luò)。 R2 L A N 1 LA N 2 LA N 3 LA N 4 R1 R3 I P R I P H 黑客終端 終端 A I P A 終端 B I P B 子網(wǎng) 距離 下一跳 LA N 1 1 直接 LA N 2 1 直接 LA N 3 2 I P R LA N 4 3 I P R 路由器 R1 正確路由表 LAN4 1 子網(wǎng) 距離 下一跳 LA N 1 1 直接 LA N 2 1 直接 LA N 3 2 I P R LA N 4 2 I P H 路由器 R1 錯(cuò)誤路由表 黑客終端偽造路由項(xiàng)過程 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 路由器和路由項(xiàng)認(rèn)證的基本思路是認(rèn)證發(fā)送者和檢測路由消息的完整性； ? 相鄰路由器配置共享密鑰 K，路由消息附帶消息認(rèn)證碼（ MAC），由于計(jì)算MAC需要共享密鑰 K，因此，一旦接收路由器根據(jù)密鑰 K和路由消息計(jì)算 MAC的結(jié)果和路由消息附帶的 MAC相同，可以保證發(fā)送者具有和自己相同的密鑰 K（授權(quán)路由器），路由消息傳輸過程中未被篡改。 這些功能一是確保只有授權(quán)路由器之間才能傳輸路由消息，且路由器只處理傳輸過程中未被篡改的路由消息；二是防止內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)外泄；三是拒絕黑客終端的源 IP地址欺騙攻擊。 以太網(wǎng)其他安全功能 交換機(jī) A 交換機(jī) B 終端 A MA C A IP A 終端 B MA C B IP B D H C P 服務(wù)器 終端 C MA C C IP C A R P 報(bào)文 終端 C IP A MA C B A R P C ac he IP A M A C B 終端 A 終端 B 以太網(wǎng) A R P C ac he IP A M A C B ARP欺騙攻擊過程 信任端口 端口 M A C 地址 IP 地址 F0/1 M A C C IP C F0/7 M A C A IP A F 0/ 7 M A C B IP B D H C P 配置表 端口 M A C 地址 IP 地址 F0/ 1 M A C A I P A F0/ 4 M A C B I P B F0/ 7 M A C C I P C D H C P 配置表 ?解決方法基于終端配置通過DHCP服務(wù)器獲得； ?交換機(jī)偵聽通過信任端口接收到的 DHCP響應(yīng)報(bào)文，并將響應(yīng)報(bào)文中作為終端標(biāo)識符的 MAC地址和 DHCP分配給終端的 IP地址記錄在 DHCP配置表中； ?一旦交換機(jī)接收到 ARP報(bào)文，根據(jù) ARP報(bào)文中給出的 IP地址和 MAC地址對匹配 DHCP配置表，如果找到匹配項(xiàng)，繼續(xù)轉(zhuǎn)發(fā) ARP報(bào)文，否則，丟棄 ARP報(bào)文。 以太網(wǎng)其他安全功能 終端 A 終端 B D H C P 服務(wù)器 交換機(jī) A 交換機(jī) B 偽造的 D H C P 服務(wù)器 以太網(wǎng) ① D H C P 服務(wù)器 終端 A 偽造的 D H C P 服務(wù)器 ① ① ② ③ ④ ⑤ ①：終端 A 發(fā)送的發(fā)現(xiàn)報(bào)文 ②：偽造的 DHCP 服務(wù)器發(fā)送的應(yīng)答報(bào)文 ③： D H C P 服務(wù)器發(fā)送的應(yīng)答報(bào)文 ④：終端 A 發(fā)送的請求報(bào)文 ⑤：偽造的 DHCP 服務(wù)器發(fā)送的確認(rèn)報(bào)文 信任端口 非信任端口 將連接授權(quán) DHCP服務(wù)器的端口和互連交換機(jī)的端口設(shè)置為信任端口，其他端口為非信任端口，只允許轉(zhuǎn)發(fā)從信任端口接收到的 DHCP響應(yīng)報(bào)文。 G H E 終端 A MA C A 終端 B MA C B 終端 C MA C C F A → B B → A 8 MA C D 8 MA C E 8 MA C F 8 MA C G 8 MA C H 8 M A C I D I 端口 MA C 地址 站表 站表溢出攻擊 解決方法 限制交換機(jī)從每 一個(gè)端口學(xué)習(xí)到 的地址數(shù)。 用戶 A終端的 MAC地址記錄在訪問控制列表中。 以太網(wǎng)接入控制 IP 網(wǎng)絡(luò) 終端 B 認(rèn)證服務(wù)器 交換機(jī) A 交換機(jī) B 用戶名 認(rèn)證機(jī)制 口令 用戶 A E A P C H A P P A S SA 用戶 B E A P C H A P P A S SB 認(rèn)證數(shù)據(jù)庫 認(rèn)證端口 認(rèn)證端口 認(rèn)證端口 實(shí)現(xiàn) 網(wǎng)絡(luò)結(jié)構(gòu) 終端 A 00 46 78 11 22 33 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 認(rèn)證數(shù)據(jù)庫表明：允許用戶名為用戶 A，具有口令 PASSA的用戶接入以太網(wǎng)； ? 交換機(jī) A將端口 7設(shè)置為認(rèn)證端口，意味著必須根據(jù)認(rèn)證數(shù)據(jù)庫指定的認(rèn)證機(jī)制：EAPCHAP完成用戶身份認(rèn)證的用戶終端的 MAC地址才能記錄在端口 7的訪問控制列表的中。 以太網(wǎng)接入控制 00 46 78 11 22 33 訪問控制列表 00 46 78 37 22 73 終端 B 訪問控制列表 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 安全端口是自動建立訪問控制列表的機(jī)制； ? 允許為每一個(gè)交換機(jī)端口設(shè)置 MAC地址數(shù) N，從端口學(xué)習(xí)到的前 N個(gè) MAC地址作為訪問控制列表的 MAC地址； ? 不允許轉(zhuǎn)發(fā)源地址是 N個(gè)地址以外的 MAC幀。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 以太網(wǎng)接入控制 ? 黑客攻擊內(nèi)部網(wǎng)絡(luò)的第一步是接入內(nèi)部網(wǎng)絡(luò)，而以太網(wǎng)是最常見的直接用于接入用戶終端的網(wǎng)絡(luò)，只允許授權(quán)用戶終端接入以太網(wǎng)是抵御黑客攻擊的關(guān)鍵步驟； ? 交換機(jī)端口是用戶終端的物理連接處，防止黑客終端接入以太網(wǎng)的關(guān)鍵技術(shù)是授權(quán)用戶終端具有難以偽造的標(biāo)識符，交換機(jī)端口具有識別授權(quán)用戶終端標(biāo)識符的能力。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 以太網(wǎng)安全技術(shù) ? 以太網(wǎng)接入控制 ? 訪問控制列表； ? 安全端口； ? 。二是增加解決安全問題的新設(shè)備，如防火墻和入侵防御系統(tǒng)。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 第四章 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 第 4章 安全網(wǎng)絡(luò)技術(shù) ? 以太網(wǎng)安全技術(shù)； ? 安全路由； ? 虛擬網(wǎng)絡(luò)； ? 信息流管制； ? 網(wǎng)絡(luò)地址轉(zhuǎn)換； ? 容錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)。二是建立安全關(guān)聯(lián)，建立安全關(guān)聯(lián)的過程是通過協(xié)商確定安全協(xié)議、加密密鑰、 MAC密鑰和 SPI的過程； ? 認(rèn)證身份的過程先是通過證書證明用戶名 X和公鑰 PK之間的綁定關(guān)系，然后通過證明自己擁有公鑰 PK對應(yīng)的私鑰 SK來證明自己就是 X，當(dāng)然，為了驗(yàn)證證書，需要交換證書鏈； ? 協(xié)商密鑰的過程采用 DiffieHellman密鑰交換算法，共享密鑰 K=YSXR mod q=YRXS mod q， YS、 YR是雙方交換的公鑰， XS和 XR是雙方保留的私鑰，加密密鑰和 MAC密鑰通過共享密鑰 K導(dǎo)出。 IP 首部 凈荷 IP 首部 凈荷 AH IP 首部 凈荷 IP 首部 AH 外層 IP 首部 凈荷 運(yùn)輸模式 隧道模式 認(rèn)證首部長度 下一個(gè)首部 保留 安全參數(shù)索引（ S PI ） 序號 認(rèn)證數(shù)據(jù) 8 位 8 位 16 位 認(rèn)證首部（ AH）格式 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 ESP ? ESP的作用是實(shí)現(xiàn)保密傳輸、發(fā)送者認(rèn)證和數(shù)據(jù)完整性檢測； ? 保密傳輸通過加密實(shí)現(xiàn)、完整性檢測通過和 AH相同認(rèn)證數(shù)據(jù)實(shí)現(xiàn)； ? 為了解密數(shù)據(jù)和實(shí)現(xiàn)完整性檢測，發(fā)送者必須具有和接收者相同的加密密鑰和 MAC密鑰，可以據(jù)此認(rèn)證發(fā)送者。 安全關(guān)聯(lián) 源端 網(wǎng)絡(luò) 安全關(guān)聯(lián) 目的端 源端 內(nèi)部網(wǎng)絡(luò) 安全關(guān)聯(lián) 公共網(wǎng)絡(luò) 目的端 內(nèi)部網(wǎng)絡(luò) 隧道 路由器 R1 路由器 R2 運(yùn)輸模式 隧道模式 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 AH ? 認(rèn)證首部的作用一是認(rèn)證發(fā)送者，二是完成數(shù)據(jù)完整性檢測； ? 實(shí)現(xiàn) AH功能的是認(rèn)證數(shù)據(jù)； ? 認(rèn)證數(shù)據(jù)＝ HMACMD596或 HMACSHA196。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 安全關(guān)聯(lián) 發(fā)送者 A 接收者 A 接收者 B 發(fā)送者 B 安全關(guān)聯(lián) SP I 目的 IP 地址 安全協(xié)議標(biāo)識符 源 IP 地址 目的 IP 地址 源端口號 目的端口號 運(yùn)輸層協(xié)議 服務(wù)類型 安全協(xié)議 ? 安全關(guān)聯(lián)的作用是發(fā)送者和接收者約定安全協(xié)議、密鑰等安全參數(shù)，以便實(shí)現(xiàn)保密傳輸； ? 安全關(guān)聯(lián)是單向的，如果需要雙向安全傳輸，需要建立一對方向相反的安全關(guān)聯(lián)； ? 發(fā)送者根據(jù)數(shù)據(jù)的屬性來確定對應(yīng)的安全關(guān)聯(lián)； ? 接收者根據(jù) SPI、目的 IP地址和安全協(xié)議標(biāo)識符確定安全關(guān)聯(lián)； ? 發(fā)送者根據(jù)與安全關(guān)聯(lián)綁定安全參數(shù)進(jìn)行加密或 MAC計(jì)算； ? 接收者根據(jù)與安全關(guān)聯(lián)綁定的安全參數(shù)進(jìn)行解密或完整性檢測。 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全 RADIUS ? 用戶 C和認(rèn)證者之間是單一的傳輸網(wǎng)絡(luò)，目前比較常見的是以太網(wǎng)、點(diǎn)對點(diǎn)物理鏈路和無線局域網(wǎng)， EAP報(bào)文封裝成傳輸網(wǎng)絡(luò)對應(yīng)的鏈路層幀后，實(shí)現(xiàn)用戶 C和認(rèn)證者之間傳輸； ? 認(rèn)證者和認(rèn)證服務(wù)器之間是互連多個(gè)傳輸網(wǎng)絡(luò)構(gòu)成互連網(wǎng)， EAP報(bào)文封裝成 RADIUS報(bào)文，最終封裝成 IP報(bào)文實(shí)現(xiàn)認(rèn)證者和認(rèn)證