第6章节路由器安全管理.pptVIP

第6章 路由器安全管理;在目前的网络体系中，路由器是多种网络互联的重要设备，因为路由器一般位于防火墙之外，是边界网络的前沿，所以路由器的安全管理成为了第一道防线。在默认情况下，路由器访问密码存储在固定位置，用第一章讲到的sniffer嗅探器很容易获得登录名和密码，从而使路由器完全受到攻击者控制，从而入侵整个路由器管理的网络。目前的路由器种类繁多，优质的路由器都有自己丰富的安全机制，一般都内置了入侵检测系统，但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。在这一章中，针对路由器使用最多的AAA（验证、授权和审计）、访问控制技术和数据加密和防伪和数据加密技术（VPN技术）进行系统介绍，使管理员有章可循，路由器平台很多，国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台两大阵营，本章以华为的VRP的安全配置命令为例进行介绍。　;针对网络存在的各种安全隐患，路由器必须具有的安全特性包括：身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。可靠性要求主要针对故障恢复、负载能力和主设备运行故障时，备份自动接替工作。负载分担主要指网络流量增大时，备份链路承担部分主用链路的工作，线路安全指的是线路本身的安全性，用于防止非法用户利用线路进行访问。网络安全身份认证包括：访问路由器时的身份认证、Console登陆配置、Telnet登陆配置 、SNMP登陆配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。;6.2 AAA与RADIUS协议原理及配置;1、验证 用户名、口令验证：包括PPP的PAP验证、用户的CHAP验证、EXEC用户验证、FTP拥护验证和拨号的PPP用户可以进行号码验证。 2、授权 服务类型授权包括一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP的隧道属性。验证、授权可以在本地进行，也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法，可以使验证、授权均在本地进行，也可以使用RADIUS服务器。 RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，最初由 Livingston Enterprise公司开发，作为一种分布式的客户机/服务器系统，能提供 AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）;RADIUS服务器对用户的认证过程通常需要利用 NAS等设备的代理认证功能，RADIUS客户端和 RADIUS服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。 RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。 RADIUS的基本消息交互流程如下： ;RADIUS实现AAA的流程如下：;6.2.2 AAA与RADIUS协议配置方法 ;2. 配置认证方案 ·如果配置通过 FTP、Telnet登录到路由器，以及通过各种终端服务方式（如 Console口、Aux口等）进入到路由器进行配置的操作的Login用户认证方案，在系统视图下操作命令如下： aaa authentication-scheme login { default | scheme-name } [ method1 | [ template server-template-name [ method2 ] ] 删除AAA的Login认证方案或恢复 undo aaa authentication-scheme login {default | scheme-name } 其中，method1为认证方法，可以有以下 5种情况： none ，local，radius，radius none，radius local。method2只能为 local或 none。 ;6.2.3 AAA和RADIUS显示与调试 ;6.2.4 AAA和RADIUS典型配置举例;配置步骤 配置 RouterA # 启动 AAA。 [Quidway] aaa enable # 配置 PPP用户的缺省认证方案。 [Quidway] aaa authentication-scheme ppp default radius # 配置 RADIUS服务器 IP地址和端口。 [Quidway] radius server 6 auth-primary acct-primary [Qui