1、 目录 6.1 引言46.2 安全性分析与体系结构46.2.1 安全风险分析46.2.2 安全需求分析56.2.3 安全体系结构66.3 网络级安全66.3.1.1 应用级安全66.3.1.2 系统级安全66.3.1.3 企业级安全76.4 安全策略76.4.1 职责划分76.4.2 类型限制76.4.3 授权管理86.4.4 用户管理86.4.5 恢复策略96.4.6 跟踪审计96.5 安全性现状描述96.5.1 网络级安全性方面96.5.2 应用级安全性方面96.5.3 系统级安全性方面96.5.4 企业级安全性方面106.6 安全性设计原则106.6.1 全方位实现安全性106.6.2
2、主动式安全和被动式安全相结合106.6.3 切合实际实施安全性106.6.4 易于实施、管理与维护106.6.5 具有较好的可伸缩性106.6.6 节约系统投资116.7 网络级安全116.7.1 网络安全的威胁分析116.7.2 网络级安全性实施策略126.7.3 网络设备的安全保障126.7.3.1 对路由器访问的控制136.7.3.2 简单网络管理协议(SNMP)访问控制136.7.3.3 安全的路由器配置文件136.7.4 与其它网络互联的安全设计136.7.4.1 防范对象及经济考虑136.7.4.2 数据包过滤防火墙方案146.7.4.3 路由器其它安全配置166.7.5 拨号网络
3、的安全设计176.7.5.1 拨号网络安全威胁176.7.5.2 拨号网络安全设计176.7.5.3 拨号认证产品选型186.7.5.4 RADIUS远程拨入用户认证服务186.7.5.5 CiscoSecure ACS for Windows NT功能介绍196.7.5.6 PPP链路确认206.7.5.7 身份认证206.7.5.8 授权服务216.7.5.9 记帐216.7.6 链路层加密工程设计216.7.6.1 四川顺风通信公司及安全保密产品介绍226.7.6.2 链路层安全保密系统设计原则236.7.6.3 链路层安全保密系统设计236.7.6.4 系统设计特点246.7.7 安全
4、检测和预警系统设计256.7.7.1 内外部攻击检测的需求256.7.7.2 安全漏洞检测的需求266.7.7.3 安全检测软件选择:总参SAFEmate266.8 应用级安全266.8.1 WebST特性介绍276.8.2 WebST的管理特性综述276.8.3 WebST解决方案306.8.3.1 WebST组成306.8.3.2 WebST配置方案316.8.3.3 安全控制策略336.8.4 WebST对应用服务器的控制376.8.5 1服务子网376.8.6 2应用网关376.8.7 3同机安装386.8.8 WebST对应用系统的安全控制386.8.8.1 办公自动化系统的安全解决
5、方案386.8.8.2 查询系统安全解决方案416.8.8.3 WebST对其它应用的支持436.8.9 WebST可管理性、可靠性、安全性、开放性、可缩放性设计446.8.10 小结456.8.10.1 WebST安全特性456.8.10.2 WebST解决的安全问题456.8.10.3 WebST的安全管理效果466.9 系统级安全476.9.1 系统级安全性实施对象476.9.2 UNIX系统安全性的实现476.9.3 Windows NT系统安全性的实现486.10 企业级安全506.10.1 设立安全管理中心506.10.2 CA认证中心516.10.2.1 CA认证中心的功能516
6、.10.2.2 CA认证中心设计要点526.10.2.3 CA认证中心产品选择536.10.3 密钥管理中心536.10.4 内部安全管理536.10.5 病毒防范546.10.5.1 防病毒系统工程设计原则546.10.5.2 病毒防护对象546.10.5.3 趋势(TREND)公司及其防病毒产品介绍556.10.5.4 防病毒产品选型及配置566.10.5.5 严格病毒防范管理576.11 一期安全产品配置清单及说明586.11.1 Cisco拨号安全认证产品586.11.2 四川顺风链路层加密产品586.11.3 清华得实WebST安全产品596.11.4 趋势科技防病毒产品596-3详
7、细安全工程设计方案6.1 引言随着网络和InternetIntranet的普及和电子商务的发展,整个社会的活动将越来越依赖于网络系统,网络系统在整个社会中扮演的角色将越来越重要,也将使得网络系统的安全问题变得越来越突出。如果我们不采取坚决有效的安全控制措施,可以预计2000年后,网络黑客将无孔不入,如同目前的计算机病毒那样泛滥成灾。因此,如同2000年问题一样,我们完全可以把网络系统的安全问题看成另一个2000年问题。我们必须从现在做起,将安全控制当作一项综合系统工程来看待,以适应二十一世纪网络世界日新月异飞速发展的步伐。6.2 安全性分析与体系结构6.2.1 安全风险分析网络上运行各种办公、
8、业务系统,其中有些业务系统还将涉及到其他机构,对外发布的各种信息也将以WWW方式供用户访问。由于存在政治体制、国家体制以及意识形态等方面的一些因素,很容易遭受到国内外一些敌对分子的攻击。各种信息也很容易吸引各种经济罪犯、黑客的攻击。同时,网络覆盖面大、结构复杂、设备多种多样、应用系统很多,这些都造成了网络管理上比较困难,可能会存在很多的安全漏洞,而即使是一些对漏洞的修补工作也可能会产生新的安全漏洞。另一方面,人员计算机应用水平相对比较高,内部安全管理显得尤为重要。分析网络、应用和内部管理,我们认为存在以下的安全风险及需要采取的安全对策:风险安全对策用户风险身份假冒身份认证身份窃取身份认证非授权
9、访问访问授权管理重放攻击鉴别、记录、预警否认审计、记录深度入侵预警、阻断数据风险窃取实体安全、加密篡改完整性检验毁坏灾难恢复有害数据侵入(包括病毒等)所造成的破坏检测、过滤、分析、捕获应用和服务风险非授权访问访问授权身份假冒身份认证密钥管理漏洞CA、KDC、PKI数据库自身的漏洞检测、打补丁、升级操作系统自身的漏洞漏洞检测、打补丁、升级服务的脆弱性及漏洞检测、打补丁、更新应用系统自身的缺陷更新完善服务器风险入侵探测实时监测、预警、回火非授权访问访问控制策略漏洞策略管理、检查系统配置缺陷系统版本检测、更新系统平台评测、选择实体安全缺陷防辐射、防橇、防雷击服务器所存在的陷门和隐通道尚无相应的解决技
10、术及产品网络风险 入侵探测检测、预警、回火设备攻击实时监测、管理、维护通道保密强度采用高强度加密产品网络设备配置缺陷定期检测、加强配置管理、日志、审计网络设备物理安全缺陷更新网络设备存在的陷门和隐通道尚无相应的解决技术及产品网络设备实体的安全防盗、防辐射、防雷击6.2.2 安全需求分析需要有一个可靠的、安全的、开放的、可扩缩的、易于管理的、全方位的安全系统。建设时必须考虑以下几个方面: 安全体系:必须从系统工程的高度来设计安全系统,在网络各层次都应该有相应的安全措施,同时还要注意到内部安全管理在安全系统中的重要作用。 可靠性:安全系统自身必须能够确保正常运行,不能因为安全系统出现故障导致整个网
11、络出现瘫痪。 安全性:安全系统既要保证网络和应用的安全,又要保证自身的安全。 开放性:必须保证安全系统的开放性以保证不同厂家的不同产品能够集成到安全系统中来,并保证安全系统以及各种应用的安全可靠运行。 可扩缩性:安全系统必须是可扩缩的,以适应网络规模的变化。 易于管理:包括两方面的含义,一方面,安全系统本身必须是易于管理的,另一方面,安全系统对其管理对象的管理必须是方便的、简单的。6.2.3 安全体系结构从体系结构来看,安全体系应该是一个多层次、多方面的结构。通过分析,我们将安全性在体系结构上分为四个级别:网络级安全、应用级安全、系统级安全和企业级安全。6.3 网络级安全网络级安全管理的主要内
12、容包括: 对网络设备,如路由器等的安全管理,保证网络的正常运行; 对拨号网络的安全管理,实现对拨号用户的安全控制; 提供链路层加密,保证数据在广域网上传输的安全性; 配置防火墙,保证内部网的边界安全。6.3.1.1 应用级安全主要目的是在应用层保证各种应用系统(OA系统及其他业务系统)的信息访问合法性,确保合法用户根据授权合法的访问数据。应用层在ISO的体系层次中处于较高的层次,因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。应用层采用身份认证和授权管理系统作为安全防护手段,实现高级的安全防护。6.3.1.2 系统级安全系统级的安全主要是从操作系统的角度考虑系统安全措施,防
13、止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。系统级安全管理的主要内容包括: 配置操作系统,使其达到尽可能高的安全级别; 及时检测、发现操作系统存在的安全漏洞; 对发现的操作系统安全漏洞做出及时、正确的处理。6.3.1.3 企业级安全企业级安全主要包括以下两个方面的内容: 内部安全管理。因为从统计数字来看,70%以上的网络攻击行为是来自企业内部的。 计算机病毒防范。历年来,全世界各地因为病毒入侵所造成的损失均怵目惊心、数不胜数。尤其现在病毒通过网络广泛传播,影响面极大,造成危害也极大,其对系统和数据的破坏性是原来单机系统时所不能比拟的。另一方面,现在有很多黑客程序,如Bac
14、k Orifice、NETSPY等,在传播其“探测器”程序时采取的都是类似病毒的机制。6.4 安全策略制定安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是被禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的”。应采用第一种原则,来加强对网络安全的限制。6.4.1 职责划分安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置。更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用。并确定对每一设备或资源,谁拥有它的管理权,即他可以
15、为其他人授权,使之能够正常使用该设备或资源,并制定授权程序。6.4.2 类型限制安全策略还必须说明网络使用的类型限制,定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。网络安全策略声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破环系统安全的行为都是禁止的。必须杜绝用户共享帐号的情况。安全管理还要确定是否要为特殊情况制定安全策略。例如是否允许某些上级组织来检查系统的安全弱点。6.4.3 授权管理安全策略在确定对每个资源管理授权者的同时,还要确定他们可以对用户授与什么级别的权限。如果没有资源管理授权者的信息,就无法掌握究竟哪些人在使用网络。对于网络中
16、的关键通信资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全。在对资源授权者管理的同时,要制定对用户授权的过程设计,以防止对授权职责的滥用。安全策略中应明确指明每个资源的系统级管理员,但在网络的使用中,难免会遇到用户需要特殊权限的时候。一种处理办法是尽量只分配给用户够完成任务所需的最小权限。另外在网络安全策略中要包含对特殊权限进行监测统计的部分,如果对授与用户的特殊权限不可统计,就难以保证整个网络不被破坏。6.4.4 用户管理对于为用户初始化帐号使用的口令,以及用户自己对口令的选择要非常慎重。因为对一个再好的网络安全系统,如果用户使用了很差的口令,那么系统的安全性也会很差。安
17、全策略中关于用户的权利与责任中,需要指明用户必须明确了解他们所用的计算机网络的使用规则。其中包括是否允许用户将帐号转借给他人,用户应当将他们自己的口令保密到什么程度。用户应在多长时间内更改他们的口令,对其选择有什么限制。是希望用户自身提供备份还是由网络服务提供者提供。事实上网络安全策略中所能达到的只是用户希望达到个人稳私与网络管理人员为诊断、处理问题而收集用户信息的矛盾的一个折中。在安全策略中必须确定在什么情况下管理员可以读用户的文件,在什么情况下网络管理员有权检查网络上传送的信息。6.4.5 恢复策略安全策略中另一重要的部分是当安全策略被破坏时所采取的策略。对于发生在本网络内部的安全问题,要
18、从主干网向部门网逐级过滤、隔离。部门网要与主干网形成配合,防止破坏漫延。对于来自整个网络以外的安全干扰,除了必要的隔离与保护外,还要与对方所在网络进行联系,以进一步确定消除掉安全隐患。每一个网络安全问题都要有文档记录,包括对它的处理过程,并将其送至全网各有关部门,以便预防和留作今后进一步完善网络安全策略的资料。6.4.6 跟踪审计必须有强有力的跟踪审计措施,对于谁、在什么时候、什么地方、以何种方式、对什么对象、做了什么操作、发生什么结果等都应该有详尽的记录。同时,审计记录应该加密存储,并且设置访问权限,确认只有授权的管理人员才可能获取到日志记录。6.5 安全性现状描述安全性现状情况基本如下:6
19、.5.1 网络级安全性方面几乎没有安全措施。6.5.2 应用级安全性方面应用系统以OA系统、MIS系统、电子邮件系统等为主,这些系统采用大型关系数据库和LOTUS NOTES来实现的,目前这些系统的安全性主要仅采用关系数据库和LOTUS NOTES 本身提供的认证以及访问控制列表机制来实现的,缺乏一种成熟的应用层的安全性产品。6.5.3 系统级安全性方面系统安全性方面基本上没有采取增强的安全措施,主要是利用UNIX或NT系统本身所具备的用户名和口令登录机制来实现安全性。不够规范和统一。6.5.4 企业级安全性方面规章制度不够规范和统一。病毒防护:多数使用KV300、KILL98等杀毒软件,没有
20、一个功能强大的企业级的网络防病毒软件。6.6 安全性设计原则在详细工程设计中,我们将遵循以下设计原则:6.6.1 全方位实现安全性安全性设计必须从全方位、多层次加以考虑,即通过网络级、应用级、系统级、企业级的安全性设计措施来确实保证安全。6.6.2 主动式安全和被动式安全相结合主动式安全主要是从人的角度考虑,通过安全教育与培训,提高员工的安全意识,主动自觉地利用各种工具去加强安全性;被动式安全则主要是从具体安全措施的角度考虑,如防火墙措施、防病毒措施等等。只有人与具体安全措施的完美结合,方能切实有效地实现安全性。6.6.3 切合实际实施安全性必须紧密切合要进行安全防护的实际对象来实施安全性,以
21、免过于庞大冗杂的安全措施导致性能下降。所以要真正做到有的放矢、行之有效。6.6.4 易于实施、管理与维护整套安全工程设计必须具有良好的可实施性与可管理性,同时还要具有尚佳的易维护性。6.6.5 具有较好的可伸缩性安全工程设计,必须具有良好的可伸缩性。整个安全系统必须留有接口,以适应将来工程规模拓展的需要。6.6.6 节约系统投资在保障安全性的前提下,必须充分考虑投资,将用户的利益始终放在第一位。通过认真规划安全性设计,认真选择安全性产品(包括利用现有设备),达到为用户节约系统投资的目的。6.7 网络级安全在网详细工程设计中的网络级安全性部分,我们将充分考虑应用状况和网络现状,本着“保证安全、节
22、省投资”的原则,主要通过以下措施来实现网络系统提供数据传输和交换中的完整性、保密性、抗否认性和可用性: 对三级节点路由器实施“IP数据包过滤”的技术 (对于个别城市已配备Cisco PIX专用防火墙的,则采用PIX安全方案来取代路由器“包过滤”技术) 采用Cisco公司著名的安全认证产品CiscoSecure ACS来实现拨号网络的安全性 采用四川省顺风通信公司的链路层加密产品,确保重要金融信息传输在链路层的安全 安装安全检测和预警系统,监视网络上的通信数据流,帮助系统管理员修补网络安全漏洞6.7.1 网络安全的威胁分析网络威胁可以分为以下若干类型:黑客入侵、内部攻击、不良信息传播、秘密信息泄
23、漏、修改网络配置、造成网络瘫痪等。计算机网络受到的安全威胁主要有: 身份窃取(Identity) 假冒(Masquerading) 数据窃取(Data Interception) 否认(Repudiation) 错误路由(Misrouting) 拒绝服务(Denial of Service) 数据流分析(Traffic Analysis) 非授权存取(Unauthorized Access)6.7.2 网络级安全性实施策略本节主要从网络角度论述何保证网络系统提供数据传输和交换中的完整性、保密性、抗否认性和可用性。针对网络系统的具体情况采用不同的安全考虑。我们主要从以下几个方面考虑: 首先考虑网
24、络中合法用户的身份验证,如何通过安全机制对非法用户进行拒绝,容许合法用户的访问,对不同用户的访问权限进行限制。 其次要考虑数据在网络中传输的完整性,保证数据不被篡改,保证数据传输的安全,可以通过各种数据加密技术来实现。 再次要考虑数据传输的隐秘性,保证数据在传输过程中不被非法窃取,造成泄密。 最后要考虑对网络用户进行稽查,运作核查和维护,通过可用的核查工具进行核查, 要了解用户的所作所为及系统运行情况。为了完成以上的四点要求,我们对不同需求采用不同的方法来实现。具体可采取以下几方面的措施进行网络安全的控制。6.7.3 网络设备的安全保障整个网络的安全首先要确保网络设备的安全,保证非授权用户不能
25、访问一台机器、路由器或防火墙。这里我们通过一个具体的例子来说明网络设备安全的实现,对于不同的网络设备、不同厂家的网络设备,要防范的内容是一样的,但具体的配置方法可能不同(网络设备大多数是Cisco、3Com、Bay等厂家的产品)。为了保障网络设备的安全性,我们要考虑从以下几个方面的因素: 安全的控制台/Telnet 访问 控制SNMP 访问 安全的路由器配置文件下面我们以CISCO公司的路由器产品为例,给出如何保障网络设备安全的详细设计。6.7.3.1 对路由器访问的控制对于CISCO路由器的用户可以设置两种用户权限。可赋予其“非特权”和“特权”两种访问权限,非特权访问权限允许用户在路由器上查
26、询某些信息但无法对路由器进行配置;特权访问权限则允许用户对路由器进行完全的配置。对路由器访问的控制可使用以下几种方式: 控制台访问控制 限制访问空闲时间 口令的加密 对Telnet访问的控制 多管理员授权级别6.7.3.2 简单网络管理协议(SNMP)访问控制通过对路由器设备的配置,使得只能由某个指定IP地址的网管工作站才能对路由器进行网络管理,对路由器或网络设备进行读写操作。6.7.3.3 安全的路由器配置文件保护路由器配置文件不被人非法获取,对路由器的配置文件要进行安全管理。6.7.4 与其它网络互联的安全设计本小节主要是论述互联在各个层次上如何保证安全的具体实施方法,其方法如下: 数据包
27、过滤防火墙技术 路由器其它安全配置方案由于各方的网络设备配置情况不尽相同,因此在具体实施安全保障过程中应以立足现有设备为基本前提条件,采用相应的安全措施。6.7.4.1 防范对象及经济考虑防范的对象主要是具有相当计算机及网络知识和技能的人员。限制或拒绝外部用户的访问资源范围,使得外部用户只能有限度地访问部分资源。从节省投资的角度考虑,利用现有的网络设备,特别是利用现有的路由器特性,通过对路由器和有关的网络设备以及现有的网络结构的改进来防止外部用户的不当操作。6.7.4.2 数据包过滤防火墙方案互联是一个典型的两层安全结构的网络接口,示意图如下: 内部局域网上的资源不允许外部网上的用户使用,不设
28、防区为外部局域网,其上的资源允许外部网上的用户有限度地使用。可以使外部用户访问不设防区(又称非军事化区)的WEB服务器。 图示中的防火墙只是逻辑意义上的设备,它可由网关路由器实现。 考虑到安全性控制将主要针对与对方网络连接的城市网接口,因此访问控制主要在网关路由器中进行设置,而网关路由器则可利用现有网络设备。A) 访问控制策略对于以上结构划分,我们要制定整个网络的访问控制策略。对于对方用户: 允许内部局域网和不设防区上的用户访问对方网络上的所有服务 拒绝所有对于内部局域网上服务的访问 下列服务被不设防区所拒绝:Bootp-Client、Bootp-Server、Finger、Rtelnet、S
29、NMP、SNMP-Traps、Telnet、TFTP对于不设防区: 允许来自内部局域网上的所有服务的访问 拒绝来自对方网络的下列服务的访问:Bootp-Client、Bootp-Server、Finger、Rtelnet、SNMP、SNMP-Traps、Telnet、TFTP 仅允许下列服务访问内部局域网上指定的主机:DNS、FTP、HTTP、ICMP 、SMTP、SQL-NET、TFTP、Telnet 、Rtelnet、SNMP、SNMP-TRAPS以及某些应用指定的服务对于内部局域网: 仅允许来自不设防区的下列服务访问指定的主机:DNS、FTP、HTTP、ICMP、SMTP、SQL-NET
30、、TFTP、Telnet、Rtelnet、SNMP、SNMP-TRAPS以及某些应用指定的服务 拒绝来自对方网络的所有服务的访问 允许所有服务访问不设防区和对方网络B) 网络结构的两种实现方式与对方网络分层次相连的节点很多,网络设备千差万别,对于不同的设备情况采用不同的方法。大部分城市网节点采用的是CISCO、3COM、BAY公司的网络设备。根据具体的网络设备配置情况,我们可以采用以下两种方式来实现。 双以太网端口路由器路由器有两个以太网络端口,可以将两个网段分成不同安全等级,LAN1 的安全等级较高,LAN2的安全等级较低。可以将内部网络重要的服务器放在LAN1上,同外部网络的服务联系可通过
31、LAN2来进行。如下图所示: 单以太网端口路由器对于路由器只有一个以太端口的情况下,不能设置非军事区,对于CISCO公司的产品建议将软件升级为IOS firewall feature Set,使路由器支持防火墙功能,它具有于上下文的访问控制安全机制,可以支持具体应用如H.323, SQLnet, RealAudio的过滤,控制 Java 小程序的流动,可以对路由器进行“拒绝服务”防护,对TCP/UDP 事务进行记录,实时警报访问等功能。这是一种安全性、集成化的解决方案, 无需增加其它硬件,路由器可以同时完成路由功能和防火墙功能。在现有的网络设备情况下,是一种实施成本低的安全措施。在本次安全性详
32、细工程设计中,我们主要采用路由器IP数据包过滤的技术来实现网络级的安全性。具体的实现是通过路由器的访问列表(Access-list)的配置来实现的。在条件容许的情况可以将CISCO路由器软件升级为防火墙软件,对于其它厂家的网络产品可以采用适当的方法。采用该方法可在很大程度上节约投资。6.7.4.3 路由器其它安全配置为了保障连接的安全,建议在网络实施过程中对路由器进行配置以防范常见的非法攻击。 在路由器广域端口设置访问列表,过滤掉以内部网络地址进入路由器的IP包,这样可以防范电子诈骗 在路由器上使用访问列表进行过滤,缺省关闭HTTP访问,只让某个IP地址的主机可以访问HTTP 在路由器上进行配
33、置,关闭Echo (7)、Discard (9)、Daytime (13)、Chargen (19)、Finger (79)等端口,可以防止资源掠夺攻击 在路由器上配置静态ARP,以防止非法服务器接入内部网 关闭路由器的源路由功能,以防止非法用户通过源路由技术进入内部网我们建议路由器按以上要求配置,这样可以防止常用的非法攻击。6.7.5 拨号网络的安全设计6.7.5.1 拨号网络安全威胁 拨号网络是为内部用户和相关用户提供电话拨号接入服务的。整个拨号网络的安全威胁主要来自以下几个方面: 信息盗窃 非法访问 恶意破坏6.7.5.2 拨号网络安全设计在拨号网络中,我们建议使用AAA技术来保护网络访
34、问,保证合法用户的身份确认。通过PPP链路确认,使用PAP(密码认证协议)/CHAP(询问握手认证协议)(PAP和 CHAP是用在点对点协议PPP中的认证方法),确保合法用户的访问。拨号网络采用认证服务器来建立基本的安全机制,通过定期修改口令字保证系统的安全性。在总中心和分中心各配置一台访问服务器提供远程拨号访问,同时配置一台认证服务器,为拨号入网的用户提供认证、授权、记帐服务,当地的拨号访问服务器把请求发到用户所在分中心的认证服务器,由该认证服务器根据用户在里面的配置信息对用户进行授权、记帐。在总中心认证服务器上对可以进行漫游的用户进行设置,跨分中心的用户漫游在总中心认证服务器上进行认证,总
35、中心可以对漫游用户的权限进行设置,可以将总中心认证服务器放在网络信息中心NIC中。拨号网络安全结构的示意图如下:6.7.5.3 拨号认证产品选型考虑到Cisco公司是全球著名的网络厂商,且目前所采用的各级节点网络设备绝大部分均为Cisco公司的产品,为此,我们在此次安全性详细工程设计中,在拨号认证产品的选型上采用了Cisco公司处于业界领先地位、性能卓越的认证服务器产品:CiscoSecure ACS for Windows NT,采用RADIUS(IETF)认证协议,可为拨号用户提供模块化的认证(Authentication)、授权(Authorization)和计帐(Accounting)
36、功能,防止非法用户的侵害,确保拨号网络的安全性。-在NAS网络设备中,包含有Cisco、3Com、Bay等多家厂商的产品,为保证AAA认证协议的多厂商兼容性,这里我们选择RADIUS(IETF)协议。 6.7.5.4 RADIUS远程拨入用户认证服务RADIUS(远程拨入用户认证服务)是当前新兴的一种管理标准:RADIUS IETF RFCs 2138和2139,作用是为分布式网络上的认证服务器提供管理服务。 RADIUS不仅指运行于服务器上的软件,还包括网络访问服务器与RADIUS服务器之间的交互操作协议。 RADIUS为服务供应商和公司提供了一种灵活通用的协议,用来完成集中式的用户认证、口
37、令加密、服务选择、过滤和帐目核对等工作。RADIUS就好像一个储存着网上所有用户认证信息的票据交换所,保存着完整的用户资料 ,包括存取限制、特定的目的路由、数据包过滤和帐目核对等。当进行PAP(密码认证协议)/CHAP(询问握手认证协议)连接(PAP和 CHAP是用在点对点协议PPP中的认证方法。)或连接第三方认证服务器时,一个单独的RADIUS数据库服务器可以在多个复杂网络上同时管理多个安全系统,并可用于维护成千上万用户的信息安全。 RADIUS通过集成了三个关键的安全功能来满足需求: 用户认证:通过对登录名和密码的匹配,来实现用户认证过程。 用户授权:由属于RADIUS服务器的数据库的用户
38、资料来控制。 用户记帐:建立连续的审计追踪,跟踪每一个基于 RADIUS的事务,以得到准确的帐单。6.7.5.5 CiscoSecure ACS for Windows NT功能介绍CiscoSecure ACS 2.1 for Windows NT是一个运行于Windows NT平台上的、为拨号访问用户提供安全认证的网络安全性软件产品。该产品作为Windows NT的一项服务,与Windows NT紧密的集成在一起。CiscoSecure ACS支持多种Cisco网络访问服务器(NASes),如Cisco 2509、2511、3620、3640、AS5200和Cisco PIX防火墙。它采用
39、TACACS和RADIUS认证协议来为拨号用户访问提供认证(Authentication)、授权(Authorization)和计帐(Accounting)功能;CiscoSecure可采用多种认证数据库来对用户进行认证:Windows NT用户数据库、CiscoSecure用户数据库、Token卡服务器数据库、以及Novell目录服务(NDS)数据库。网络访问服务器NAS将所有拔入用户的访问请求指向CiscoSecure ACS,以得到认证和授权。通过采用TACACS和RADIUS认证协议,NAS将认证请求发送到CiscoSecure服务器,CiscoSecure服务器经过对用户名和口令的验
40、证,便向NAS返回一个成功或失败的响应,允许或拒绝用户的访问。当用户已经被成功认证,CiscoSecure ACS就发送一系列的授权属性给NAS,记帐功能也随之生效。CiscoSecure ACS 2.1 for Windows NT的主要特性如下: 基于HTML/JAVA的图形化用户界面 功能强大的实时联机帮助系统 远程管理功能 集中式日志 认证转发功能;组映射功能 可同时支持TACACS+和RADIUS 在VPN(L2F)隧道的起始点和终止点支持VPDN 口令支持包括:CHAP、PAP、ARAP 数据库复制功能 2000年兼容6.7.5.6 PPP链路确认PPP链路确认使用PAP(密码认证
41、协议)或询问握手授权协议(CHAP)技术,进行PPP链路确认,询问握手授权协议(CHAP)技术有如下特点: 每位远程用户都有机密的口令 在链路上发送询问信息(随机数字) 可以定期重复询问避免会话截获 询问和机密相结合,提供授权 可以避免探测/重复攻击6.7.5.7 身份认证身份认证是由Cisco Secure认证服务器来完成的。CiscoSecure服务器的主要功能是用户认证-Authentication,AAA事务处理中的第一个 A。整个认证过程的步骤如下:当远程用户利用PPP点对点协议,通过调制解调器、ISDN终端适配器、或网桥/路由器向由认证服务器管理的网络发出访问对话请求时,通常是一个
42、远程访问服务器RAS (例如CISCO2511)予以应答。RAS在利用PAP或CHAP得到用户名称和口令之后,首先进行认证。如果在其本身的数据库中没有相应的认证信息,它就会向CiscoSecure认证服务器发出认证请求。如果CiscoSecure服务器认证该用户成功,就将确认信息连同认证数据库中储存的用户资料反馈给RAS,并由RAS按照所给出的特征与该用户连接,允许其访问到用户名的企业网。反之,如果CiscoSecure服务器认证该用户失败,RAS就会收到一个拒绝响应,中止用户的连接请求。它会传送一个中断原因,使得它能显示在用户的终端上。6.7.5.8 授权服务Cisco Secure提供的授
43、权(Authorization)机制,可以多层次地控制用户的权限,可按照不同的用户组给予不同的权限。Cisco Secure的授权机制还可提供自动命令。自动命令模式可将用户的认证信息生成配置文件,可以限制用户只能访问某些特定主机,其它主机不能访问。6.7.5.9 记帐记帐功能一般用于跟踪用户网络地址、用户名、尝试的服务、开始/结束的时间和日期。通过Cisco Secure可提供的记帐(Accounting)功能,可以为管理者提供用户的安全审计,及用户的费用信息。可以通知网管工作站,用户的注册的时间长短,包的数量、大小,封装协议(PPP)等信息,为以后开发计费管理软件提供了条件。6.7.6 链路
44、层加密工程设计在链路传输层,由于采用公用信道,使得传输信道本身存在安全隐患。非法入侵者可以通过搭线等方式,很容易地窃取到网络中的信息;另外,开放性的TCP/IP协议使非法入侵者很容易进行协议的分析、篡改和假冒。非法入侵者一旦在链路层窃取到数据信息,就可很容易地分析出其中的有效内容,并且,可很容易地模仿TCP/IP协议,对信息进行篡改和假冒。经过认真调研和分析比较,在本次详细工程设计中,我们决定采用四川省顺风通信有限责任公司研制的网络安全保密设备,来保障网链路层信息传输的安全。6.7.6.1 四川顺风通信公司及安全保密产品介绍四川省顺风通信有限责任公司是经国家密码管理委员会批准,并在国家密码管理
45、委员会直接管理下,专门从事信息安全研究,商用密码产品研制和生产,网络安全系统集成的专业化公司。顺风公司推出的各安全系统或网络安全设备,均通过国家密码管理委员会等有关主管部门的审查和批准;顺风公司已取得国家密码管理委员会的研制商用安全保密产品的认证资格。 顺风公司推出的主要网络安全保密设备如下:SJW01/FR帧中继协议加密机介绍MMW 系列FR帧中继加密机采用高性能的摩托罗拉系列微处理器(MC683XX)作为主处理芯片,使用MMW专有的操作系统。密码算法采用与通信模块相对独立的硬件实现,密钥长度128比特。具有极高的通信效率和加/解密吞吐率。全面支持帧中继协议(FR NNI/UNI),同时支持
46、4096个PVC或SVC连接;可提供300bps 2048Kbps的通信及加/解密吞吐率。其中FR/B和FR/C采用模块化结构,可同时提供多路速率高达2048Kbps的FR加密通道。FR帧中继加密机还具有过滤、身份鉴别、地址转换、计费等功能。SJW01/X.25协议加密机介绍MMW 系列X.25协议加密机采用高性能的摩托罗拉系列微处理器(MC683XX)作为主处理芯片,使用MMW专有的操作系统,全面支持X.25协议,可提供2400bps 2048Kbps的通信及加/解密吞吐率。其中X.25/C和X.25/D采用模块化结构,可同时提供多路速率高达2048Kbps的X.25加密通道。密码算法采用与通信模块相对独立的硬件实现,具有极高的通信效率和加/解密吞吐率。其中X.25/A和X.25/B为固定结构设计;X.25/C和X.25/D为模块化结构设计,可配置多种模块以增强性能。X.2