华为设备的安全技术 

安全技术1:MAC地址的绑定

    MAC地址绑定就是利用交换机的安全控制列表将交换机上的端口与所连接终端的MAC地址进行捆绑。

    由于每个网络适配卡具有唯一的MAC地址,为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。以进行网络物理层面的安全保护。

    由于MAC地址绑定的安全性能,所以被大多数的终端用户所运用,以保证网络非法用户从非法途径进入网络,盗用网络资源。这个技术被广泛运用。 

案例:

   通过MAC地址与端口绑定,使得当发现主机的MAC地址与交换机上绑定的MAC地址不符时,交换机相应的端口将down掉。

 如图:Pc1的MAC(1C-4B-D6-70-AB-73)地址和交换机的eth0/1 端口绑定

 Pc2的MAC(E0-CB-4E-FE-0F-8C)地址和交换机的eth0/2 端口绑定

 

交换机的配置:

mac static 1C-4B-D6-70-AB-73  interface Ethernet 0/1 vlan 1

mac static  E0-CB-4E-FE-0F-8C interface Ethernet 0/2 vlan 1

测试:

1.Pc1 ping pc2

 

2.PC1和PC2互换接口后:

 结果不通!!

 

安全技术2:ACL

   访问控制列表(ACL)是应用在交换机或路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL主要分为以下两类:

1.  标准ACL:表号为1-99 以及1300-1999

2.  扩展ACL: 表号为100-199以及2000-2699

   标准ACL主要是基于源IP ,MAC来实现,可以阻止来自某一网络的所有通信流量, 所以它的控制范围不广泛。

  扩展ACL比标准ACL提供了更广泛的控制范围。它可以基于来源地址 目标地址 协议 端口号 tcp标志位( syn ,ack )等来实现。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,可以使用扩展ACL来达到目的,而标准ACL不能控制这么精确。

 案例:

华为高端交换机访问控制列表(ACL)的配置


    如图所示:公司企业网通过交换机实现各部门之间的互连。技术部由Ethernet0/1端口接入,研发部门由Ethernet0/2端口接入,信息中心由Ethernet0/3端口接入。信息中心地址为192.168.1.3/24 ,研发部主机为192.168.1.2/24,研发部门主机地址192.168.1.3/24。

要求: 

1.通过标准访问控制列表,实现在每天上班8:00~18:00时间段内技术部不能访问信息中心

2.通过扩展访问控制列表,实现在每天8:00~18:00时间段内研发部可以访问信息中心,但不能访问技术部。

 

配置步骤:

一.定义时间段


[Quidway] time-range huawei 8:00 to 18:00 working-day

二.定义扩展ACL

1.进入2000号的高级访问控制列表视图
[Quidway] acl number 2000

2..定义访问规则

[Quidway-acl-adv-2000] rule 1 deny ip source any destination  192.168.1.30  0.0.0.255  time-range huawei

3.进入Ethernet0/2接口,在接口上用2000号ACL


[Quidway-acl-adv-3000] interface  Ethernet0/2
[Quidway- Ethernet0/1] packet-filter inbound ip-group 2000

三.定义标准ACL:

1.进入10号的基本访问控制列表视图
[Quidway- Ethernet0/1] acl number 10

2.定义访问规则
[Quidway-acl-basic-10] rule 1 deny source 192.168.1.1 time-range Huawei
3..进入Ethernet0/2接口,在接口上应用2000号ACL
[Quidway-acl-basic-2000] interface Ethernet0/1
[Quidway- Ethernet0/2] packet-filter inbound ip-group 10

测试:

技术部ping信息中心,结果是不通的!!

 

 

研发部ping通信息中心,但不能ping通技术部。

 

安全技术3.AAA认证

 

 1.1.1 AAA简介

   AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:

􀁺 哪些用户可以访问网络服务器。

􀁺 具有访问权的用户可以得到哪些服务。

􀁺 如何对正在使用网络资源的用户进行计费。

针对以上问题,AAA必须提供认证功能、授权功能和计费功能。

1. 认证功能

AAA支持以下认证方式:

􀁺 不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。

􀁺 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

􀁺 远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。

2. 授权功能

AAA支持以下授权方式:

􀁺 直接授权:对用户非常信任,直接授权通过。

􀁺 本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

􀁺 RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

􀁺 HWTACACS授权:由TACACS服务器对用户进行授权。

3. 计费功能

AAA支持以下计费方式:

􀁺 不计费:不对用户计费。

􀁺 远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

1.1.2 RADIUS协议简介

   AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。

1. 什么是RADIUS

   RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。

RADIUS服务包括三个组成部分:

􀁺 协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。

􀁺 服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。

􀁺 客户端:位于拨号访问服务器设备侧,可以遍布整个网络。

 

    RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。

RADIUS服务器通常要维护三个数据库,如图1-1所示。

􀁺 第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。

􀁺 第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。

􀁺 第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。

 

案例:

   利用ACS来搭建一RADIUS服务器,一台华为的交换机作为RADIUS客户端,最后通过一台pc机来实现客户端的认证!!

拓扑图如下:

 

实验步骤:

步骤一:ACS的安装和配置(略)

在Radius服务器上添加账号yangang,密码为123

 

步骤二:交换机的配置过程(华为交换机):

1.[sw5]radius scheme xx

2.设置服务器的类型:

[sw5-radius-xx]server-type standard  

3.指定radius服务器::

[sw5-radius-xx] primary authentication 192.168.1.100

 

4.配置共享密钥:

[sw5-radius-xx] key authentication 123456

 

5.服务器审计类型设为可选

[sw5-radius-xx] accounting optional

 

6创建域名并关联;

[sw5-radius-xx] domain tec

[sw5-radius-tec]radius-scheme xx

 

7.指定最大连接数:

[sw5-radius-xx]access-limit  enable 10

 

8.认证账号是否添加域名

[sw5-radius-xx] user-name-format without-domain

 

配置信息:

[sw1]display current-configuration

#

 sysname sw5

#

#

radius scheme system

radius scheme xx

 server-type standard

 primary authentication 192.168.1.100

 accounting optional

 key authentication 123456

 key authentication 123456

#

domain system

domain tec

 scheme radius-scheme xxx

 access-limit enable 10

 accounting optional

 

测试:

 

 

安全技术4. 802.1X

   802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

 

   网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。

 

   以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。

案例:

 

在交换机的eth0/1端口处进行802.1x认证。

 

 

1.  在eth0/1开启802.1x:

 

[Quidway] dot1x interface Ethernet 0/1

 

2.创建RADIUS方案radius1并进入其视图。

[Quidway] radius scheme radius

 

3. 设置主认证/计费RADIUS服务器的IP地址。

[Quidway-radius-radius] primary authentication  1.1.1.1

 

4.设置系统与认证RADIUS服务器交互报文时的加密密码。

[Quidway -radius-radius1] key authentication 123

 

5. 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Quidway-radius-radius1] user-name-format without-domain

 

6.服务器审计类型设为可选

[Quidway-radius-radius]accounting optional

 

7.创建域名并关联:

[Quidway]radius-scheme tec

[Quidway-isp-tec]radius-scheme xx

 

8. 添加本地接入用户。

[Quidway] local-user yangang

[Quidway-luser-localuser] service-type huawei

[Quidway-luser-localuser] password simple 123