H3CSE园区-园区网安全概述，h3cse园区概述

H3CSE园区-园区网安全概述，h3cse园区概述

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。

园区网络在功能和性能日益提升的同时，安全问题也逐渐突出。

常见的安全威胁有非法接入网络、非法访问资源、网络窃听、MAC地址欺骗等。

安全防范措施包括安全架构、端口接入控制、访问控制和安全连接。

网络安全概念：

两层含义：
1.保证内部局域网的安全
2.保证内网和外网数据交换的安全
关注的内容：
1.保护网络设备、物理线路不会轻易遭受攻击
2.有效识别合法和非法用户
3.访问控制、病毒防范等
目标：

明确要保护什么、明确可能的网络安全威胁、明确可采取的安全防护措施

需要保护的资源：

1.网络设备：路由器、交换机
2.运行信息：路由表、MAC地址表
3.带宽资源：带宽、速率
4.网络终端：服务器、用户主机
5.网络数据：IP包

6.用户信息：用户ID、密码等

园区网常见安全威胁：

网络安全整体架构：

AAA（Authentication, Authorization and Accounting，验证、授权和计费）是对网络安全的一种管理

（华三的网管软件 IMC软件的UMA组件提供3A功能）

两个常用协议RADIUS（Remote Authentication Dial In User Service，远程认证拨号用户服务）较常用。

和TACACS+（Terminal Access Controller Access Control System Plus,终端访问控制器控制系统协议+）

端口接入控制：接入认证

端口接入控制技术包括802.1X、MAC地址认证和端口安全等基于端口的安全技术
        802.1X协议要求主机端安装802.1X客户端软件
        MAC地址认证以主机MAC地址作为用户名进行认证，无需特殊软件

        端口安全是在802.1X和MAC认证基础之上的灵活扩展应用

端口接入控制（接入认证） 认证的对象：用户（人）

访问控制：限制 合法用户 能访问的资源（下发ACL 实现）

EAD 终端接入控制：安全扫描终端PC，发现PC上 是否存在安全漏洞。

         EAD可以实现ACL的下发

Portal认证（网页认证），接入认证的一种。

H3C的安全体系下面，显示端口接入控制（接入认证）----------->>EAD 安全检测-------->>下发ACL

安全连接：
1.针对远程连接攻击，可采用SSH协议进行防范

2.SSH通过加密和认证机制，实现安全的远程访问和文件传输等业务

其他安全防范措施：
1.防火墙是一种高级访问控制设备，根据相应的安全策略控制进出网络的访问行为
2.IPS（Intrusion Protection System，入侵防御系统）主要对网络进行监控，尽可能发现各种攻击行为并进行防御
3.VPN（Virtual Private Network，虚拟专用网）实现在公用网络上构建私人专用网络

查看评论