沈鑫剡编著(网络安全)教材配套课件第9章.pptx
《沈鑫剡编著(网络安全)教材配套课件第9章.pptx》由会员分享,可在线阅读,更多相关《沈鑫剡编著(网络安全)教材配套课件第9章.pptx(52页珍藏版)》请在冰点文库上搜索。
网络安全,第九章,第9章互连网安全技术,本章主要内容互连网安全技术概述;安全路由;流量管制;NAT;VRRP。
9.1互连网安全技术概述,本讲主要内容路由器和互连网结构;互连网安全技术范畴和功能。
一、路由器和互连网结构,1互连网结构,一、路由器和互连网结构,1互连网结构多个不同类型的网络通过路由器连接在一起,路由器采用数据报交换方式,通过路由项指出通往每一个网络的传输路径,路由表是路由项的集合。
连接在不同传输网络上的两个主机之间的传输路径分为两个层次,一是传输网络建立的连接在同一传输网络上的两个结点之间的传输路径。
二是IP传输路径,由源和目的主机、路由器和传输网络组成。
一、路由器和互连网结构,2路由器作用路由器的作用主要有三个,一是通过多个连接不同类型的传输网络的接口实现不同类型传输网络的互连,二是建立用于指明通往互连网中每一个网络的传输路径的路由项,三是实现IP分组的转发过程。
一、路由器和互连网结构,黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由器的攻击行为。
3针对路由器的攻击路由项欺骗攻击;拒绝服务攻击。
二、互连网安全技术范畴和功能,1互连网安全技术范畴互连网安全技术可以分为三类,第一类是有着专门用途的安全技术,如防火墙、入侵检测系统和虚拟专用网(VPN)等。
第二类是有着一般用途的安全技术,如防路由项欺骗、NAT、流量管制等。
第三类是用于提高互连网可靠性、容错性的技术,如虚拟路由器冗余协议(VRRP)等。
二、互连网安全技术范畴和功能,只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。
2互连网安全技术功能安全路由;流量管制;NAT;VRRP。
9.2安全路由,本讲主要内容防路由项欺骗攻击机制;路由项过滤;单播反向路径验证;策略路由。
一、防路由项欺骗攻击机制,1路由项欺骗攻击过程,一、防路由项欺骗攻击机制,1路由项欺骗攻击过程黑客终端发送一项LAN4与其直接相连的路由项;路由器R1将通往LAN4传输路径上的下一跳改为黑客终端;路由器R1将目的网络是LAN4的IP分组转发给黑客终端。
一、防路由项欺骗攻击机制,2路由项源端鉴别和完整性检测路由器接收到路由消息后,必须确认是合法路由器发送的,且路由消息包含的路由项没有被篡改后,才对路由消息进行处理,并根据处理结果修改路由表。
一、防路由项欺骗攻击机制,2路由项源端鉴别和完整性检测,某个路由器组播路由消息时,该路由器根据路由消息和密钥K计算散列消息鉴别码(HMAC),并将HMAC附在路由消息后面一起组播给其他相邻路由器。
一、防路由项欺骗攻击机制,2路由项源端鉴别和完整性检测,其他相邻路由器接收到该路由消息后,首先根据路由消息和密钥K计算HMAC,然后将计算结果和附在路由消息后面的HMAC比较,如果相同,表明发送者和接收者具有相同密钥,且路由消息在传输过程中没有被篡改。
二、路由项过滤,路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。
三个网络,其中两个是内部网络。
过滤器中的目的网络包含两个内部网络。
路由消息中不包含被过滤器屏蔽掉的两个内部网络。
三、单播反向路径验证,单播反向路径验证的目的是丢弃伪造源IP地址的IP分组;路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。
四、策略路由,策略路由允许为符合特定条件的IP分组选择特殊的传输路径,这种特殊的传输路径往往不是根据路由协议产生的通往该IP分组目的地的传输路径。
策略路由项分为两部分,一部分是IP分组分类条件,它由IP首部和TCP首部字段值组成,和这些字段值相同的IP分组作为符合分类条件的IP分组。
另一部分是下一跳地址。
9.3流量管制,本讲主要内容拒绝服务攻击和流量管制;信息流分类;管制算法;流量管制抑止拒绝服务攻击机制。
一、拒绝服务攻击和流量管制,SYN泛洪攻击过程,一、拒绝服务攻击和流量管制,分布式拒绝服务(DDoS)攻击过程,一、拒绝服务攻击和流量管制,拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文,因此,只要能够限制某类报文的流量,就能够抑制拒绝服务攻击。
二、信息流分类,信息流分类是要从IP分组流中分离出属于特定应用的一组IP分组,如需要分离出建立TCP连接过程中的第一个请求报文,需要从IP分组流中分离出具有如下特征的IP分组:
IP首部协议字段值:
6(TCP);TCP首部控制标志位:
SYN=1,ACK=0。
三、管制算法,漏斗管制算法保证信息流恒速输出;突发性信息流存储在分组输出队列,队列稳定器以指定速率输出分组;如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链路空闲。
漏斗,漏斗管制算法实现过程,三、管制算法,令牌生成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丢弃后续令牌,每一个令牌对应K字节,令牌桶容量为U令牌;如果分组输出队列头的分组的字节数(P1)K,则只当令牌桶中包含的令牌数P时,才允许输出该分组,并从令牌桶中取走P个令牌,如果令牌桶中令牌数P,停止输出,直到令牌桶中令牌数P;平均输出速率VK/s(单位字节),突发性数据长度UK(单位字节)。
四、流量管制抑止拒绝服务攻击机制,校园网物理结构图,四、流量管制抑止拒绝服务攻击机制,校园网逻辑结构图,四、流量管制抑止拒绝服务攻击机制,抑制SYN泛洪攻击的流量管制器分类标准
(1)目的IP地址IPA或IPB
(2)IP首部协议字段值6(TCP)(3)TCP首部控制标志位:
SYN=1,ACK=0速率限制:
平均传输速率64kbps,突发性数据长度=8000B,四、流量管制抑止拒绝服务攻击机制,抑制DDoS攻击流量管制器分类标准
(1)目的IP地址IPA或IPB
(2)IP首部协议字段值1(ICMP)(3)ICMP类型字段值:
8(ECHO请求)或0(ECHO响应)速率限制:
平均传输速率64kbps,突发性数据长度=8000B,9.4NAT,本讲主要内容NAT概述;动态PAT和静态PAT;动态NAT和静态NAT;NAT的弱安全性。
一、NAT概述,NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP地址内部本地地址至内部全球地址的转换、目的IP地址外部本地地址至外部全球地址的转换,对从外部网络转发到内部网络的IP分组实现源IP地址外部全球地址至外部本地地址的转换、目的IP地址内部全球地址至内部本地地址的转换的技术。
一、NAT概述,三组私有IP地址如下。
10.0.0.0/8172.16.0.0/12192.168.0.0/16公共网络使用的全球地址空间中不允许包含属于这三组IP地址的地址空间,一、NAT概述,局域网接入Internet过程,NAT应用一,一、NAT概述,内部网络和外部网络互连,NAT应用二,一、NAT概述,内部网络之间相互通信,NAT应用三,二、动态PAT和静态PAT,内部网络终端发送的IP分组,进入Internet时,以边缘路由器连接Internet端口的全球IP地址为源IP地址,为了正确鉴别源终端,用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。
内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时通过地址转换表建立绑定,会话结束时取消绑定;端口地址转换技术只能用于IP分组净荷是运输层报文的情况。
二、动态PAT和静态PAT,允许Internet中的终端发起访问内部网络中的服务器的过程,需要静态配置服务器本地地址与局域网内唯一端口号之间的映射,三、动态NAT和静态NAT,动态地址转换以会话为单位,会话开始时在全球IP地址池中分配一个未使用的IP地址,并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定和关联;IP分组进入Internet时,用全球IP地址取代本地地址。
IP分组进入内部网络时,用本地地址取代全球IP地址;动态NAT不需改动源端口号,因此,原则可用于IP分组净荷不是运输层报文的情况。
三、动态NAT和静态NAT,端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前,内部网络终端对外部网络是透明的。
而且,建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网络终端发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,但不允许外部网络终端发起和内部网络终端之间的会话;静态NAT将建立本地地址和全球IP地址的固定关联,这样,允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。
四、NAT的弱安全性,除了静态NAT和静态PAT外,在内部网络终端发起某个会话前,外部网络终端是无法访问到内部网络终端的,因此,也无法发起对内部网络终端的攻击,这是NAT被作为网络安全机制的主要原因。
9.5VRRP,本讲主要内容容错网络结构;VRRP工作原理;VRRP应用实例。
一、容错网络结构,每一个以太网内部通过链路冗余和生成树协议保证在发生单条链路故障的情况下仍然保持连接在同一以太网上的终端之间的连通性。
同时,路由器R1和R2分别有接口连接到两个以太网,保证在其中一个路由器发生故障的情况下仍然保持连接在不同以太网上的终端之间的连通性。
二、VRRP工作原理,多个有接口连接在同一个网络上的VRRP路由器构成一个虚拟路由器,这些VRRP路由器中只有一个VRRP路由器是主路由器,其他路由器为备份路由器,每一个虚拟路由器分配唯一的8位二进制数的虚拟路由器标识符,对虚拟路由器配置多虚拟IP地址,虚拟IP地址与MAC地址00-00-5E-00-01-VRID绑定。
二、VRRP工作原理,分别在路由器R1和R2创建VRID为2的虚拟路由器分别为路由器R1和R2的接口1分配IP地址为路由器R1和R2的接口1分配优先级为VRID为2的虚拟路由器分配虚拟IP地址该IP地址成为连接在网络上的终端的默认网关地址虚拟路由器根据VRID=2生成虚拟MAC地址00-00-5E-00-01-02,二、VRRP工作原理,二、VRRP工作原理,每一个VRRP路由器启动后,处于初始化状态,如果该VRRP路由器是IP地址拥有者,立即成为主路由器,发送图VRRP报文,然后,周期性地发送VRRP报文,主路由器接收到VRRP报文,如果发送VRRP报文的路由器的优先级更高,主路由器立即转换为备份路由器,停止发送VRRP报文备份路由器接收到VRRP报文,如果备份路由器的优先级更高,且备份路由器允许抢占方式,转换为主路由器,发送VRRP报文,二、VRRP工作原理,主路由器功能必须对请求解析虚拟IP地址的ARP请求报文做出响应;必须对封装在以虚拟MAC地址为目的MAC地址的MAC帧中的IP分组进行转发操作;在成为主路由器时,立即发送将所有虚拟IP地址绑定到虚拟MAC地址的ARP报文,使得网络内的所有终端将默认网关地址与虚拟MAC地址绑定在一起。
备份路由器功能不对请求解析虚拟IP地址的ARP请求报文做出响应;丢弃接收到的以虚拟MAC地址为目的地址的MAC帧;丢弃接收到的以虚拟IP地址为目的地址的IP分组。
二、VRRP工作原理,如果终端在ARP缓存中找不到与默认网关地址绑定的MAC地址,会发送一个请求解析该默认网关地址的ARP请求报文,该ARP请求报文在终端所连接的网络中广播,连接在该网络上的所有VRRP路由器都接收到该ARP请求报文,但只有主路由器对该ARP请求报文做出响应,并在ARP响应报文中将虚拟MAC地址与默认网关地址绑定在一起。
二、VRRP工作原理,当路由器R2成为主路由器时,立即发送一个VRRP报文,该VRRP报文最终被封装成以虚拟MAC地址00-00-5E-00-01-02为源MAC地址,以组地址01-00-5E-00-00-12为目的MAC地址的MAC帧,该MAC帧在以太网中广播,以太网中所有交换机都接收到该MAC帧,通过地址学习,在转发表中建立新的转发项。
二、VRRP工作原理,创建两个VRID分别为2和3的虚拟路由器,同时将路由器R1和R2连接以太网的接口分配给两个虚拟路由器,分别为VRID为2和3的虚拟路由器分配不同的虚拟IP地址。
将一半连接在网络的终端的默认网关地址配置成VRID为2的虚拟路由器对应的虚拟IP地址,将另一半连接在网络的终端的默认网关地址配置成VRID为3的虚拟路由器对应的虚拟IP地址。
三、VRRP应用实例,网络结构与基本配置完成路由器配置,创建两个虚拟路由器,并分配虚拟IP地址生成路由器和转发项为实现负载均衡,指定路由器R1为VRID为2的虚拟路由器的主路由器,路由器R2为VRID为3的虚拟路由器的主路由器IP分组传输过程终端A向终端D发送IP分组时,终端A先将IP分组转发给默认网关路由器R1,终端D向终端A发送IP分组时,终端D先将IP分组转发给默认网关路由器R2,三、VRRP应用实例,
升级会员 