登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

01-安全概述

本章节下载 01-安全概述  (130.13 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/WA2600/Configure/Operation_Manual/H3C_WX_CG-(R1508P11)-6W106/07/201707/1017328_30005_0.htm

01-安全概述

  录

1 安全概述

1.1 网络安全威胁

1.2 网络安全服务

1.3 网络安全技术

1.3.1 身份认证

1.3.2 接入安全

1.3.3 数据安全

 

1 安全概述

网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。

1.1  网络安全威胁

网络系统所面临的安全威胁主要包括以下四个方面:

·     信息泄露:信息被泄露或透露给某个非授权的人或实体。

·     完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。

·     业务拒绝:对信息或其它资源的合法访问被非法阻止。

·     非法使用:某一资源被非授权的人或被以非授权的方式使用。

1.2  网络安全服务

一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:

·     身份认证

身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。

·     接入安全

接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证,它们在AAA的配合下完成对用户的身份认证。

·     数据安全

在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括SSL(Secure Sockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),SSL和SSH为应用层的数据传输提供安全保障。

1.3  网络安全技术

1.3.1  身份认证

1. AAA

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

·     认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。

·     授权:对不同用户赋予不同的权限,限制用户可以使用的服务。

·     计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。

AAA可以通过多种协议来实现,例如RADIUS协议或HWTACACS协议,在实际应用中最常使用的是RADIUS协议。

2. PKI

PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。

目前,设备实现的PKI可为安全协议SSL(Secure Sockets Layer,安全套接层)提供数字证书管理机制。

1.3.2  接入安全

1. 802.1X认证

802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。

2. MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。

3. 端口安全

端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用:通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

4. Portal认证

Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。

未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。

1.3.3  数据安全

1. 公钥管理

公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。

2. SSL

SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。

3. SSH

SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们