一、入侵检测技术

IDS（入侵检测系统）就是对网络、系统的运行状况依照一定的安全策略进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IDS入侵检测系统与防火墙不同，没有也不需要跨接在任何链路上，只是一个旁路监听设备，无须网络流量流经它便可以工作。因此，对IDS的部署的要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在交换式网络中，IDS的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。

这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

IPS的设计思想是要兼有检测入侵和对入侵做出反应两项功能。IPS在设计时，就已经将病毒检测、脆弱性评估、防火墙、入侵检测以及自动阻止攻击的功能融合考虑进去，从而在体系结构层面就避免了上述安全产品之间的相互孤立、缺乏有效联动的被动局面。同时大大节省了分别部署上述产品的资源和空间。IPS一般是以串联的形式直接嵌入到网络流量中的，这有别于IDS的并联方式。

IPS的缺点就是：IPS会对数据包做重组，会对数据的传输层，网络层，应用层中各字段做分析并与签名库做比对，如果没有问题，才转发出去。IPS规划在这个位置会加大网络的延迟。同时，网络中部署一个IPS会存在有单点故障。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。通常使用的方法有异常检测和误用检测两种。

异常检测：又被称为基于行为的检测，其前提是假设所有的入侵行为都是“不同寻常”的。首先要建立系统或用户的正常行为特征，通过比较当前系统或用户的行为是否偏离正常值来判断是否发生了入侵，是一种间接的检测方法。

误用检测：又称为基于知识的检测，其前提是假定所有可能的入侵检测都是能被识别和表示的。对已知的攻击方法用一种特定的模式来表示，称为攻击签名。然后通过判断这些攻击签名是否出现来判断入侵行为是否发生，是一种直接的方法。

二、VPN类型

（1）PPTP VPN：链路层VPN。

（2）L2TP VPN：链路层VPN

L2TP和PPTP有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩，当压缩包头时，系统开销是4字节，而PPTP占用6字节。L2TP支持隧道验证，而PPTP不支持。PPTP包括L2T目前基本已经被L2TP取代。

（3）MPLS VPN：多协议标记交换VPN，使用位于数据链路层和网络层之间的MPLS协议来实现互联。

（4）IPSec VPN：网际协议安全性VPN，在网络层实现互联。

（5）GRE VPN：通用路由封装VPN，在网络层实现互联，支持IP、IPX、Appletalk等多种网络协议。

（6）SSL VPN：安全套接字层VPN，在应用层实现互联。

三、IPSEC VPN

IPSec不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议AH、封装安全负载协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。

1）认证头协议AH不能加密，只对数据报进行验证、保证报文的完整性，不能穿越NAT网络。

在IP包转发过程中，对于IP头中一些部分是变化的（比如服务类型TOS、TTL、分片相关的字段、校验和），因此在计算数据包完整性校验值的时候，必须把这些字段设置为0，其实就是不参与计算。对IP协议包的协议字段是51，表示采用AH。

2）IPsec封装安全负载（ESP）：封装安全有效载荷协议ESP：具有加密性、既可以保证数据包的机密性，对IP协议包的协议字段是50，表示采用ESP，能够穿越NAT网络。

IPSec有两种操作模式：传输模式和隧道模式。

1）在传输模式下，IPsec包头增加在原IP包头和数据之间，在整个传输层报文段的后面和签名添加一些控制字段，构成IPsec数据报。这种方式是把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性；在传输模式中，两个需要通信的终端计算机运行IPsec协议。

2）隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段，构成IPsec数据报。在后面增加新的IP头部，分别是两个站点网关的源地址和目的地址。在隧道模式中，两个安全网关运行IPsec协议，对他们之间要加密的数据达成一致，再运用AH或ESP对数据进行保护。

建立SA的过程分两个阶段。建立加密隧道、传输加密的数据流。

第一阶段IKE SA：

通信双方彼此间建立了一个已通过身份验证和安全保护的通道，包括安全网关之间的认证方法，DH算法，数据完整性的检验，加密算法如DES，3DES，AES。这个阶段就是IKE的第一阶段。在阶段1，IKE提供了两种模式的选择：主模式和野蛮模式。主现在默认采用的都是主模式。

第二个阶段IPsec SA：

用第一阶段建立的安全通道为IPsec协商安全服务，即为IPsec协商具体的安全联盟。IPsec SA用于最终的 IP 数据安全传送。阶段2只有一个模式，快速模式。

所以IPSEC VPN的具体配置流程：

1，配置安全ACL

2，配置安全提议

3，配置IKE

4，配置安全策略

5，在接口应用安全策略

四、MPLS VPN

MPLS VPN网络主要由CE、PE和P等3部分组成：

CE用户网络边缘路由器设备，直接与服务提供商网络相连，它“感知”不到VPN的存在；

PE服务提供商边缘路由器设备，与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者；

P服务提供商核心路由器设备，负责快速转发数据，不与CE直接相连。

在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

MPLS的核心是标签，标签分配的协议有很多种，但标签分发协议LDP协议应用最为广泛，被各大厂商的路由器作为默认的标签分发协议使用。

MPLS VPN顾名思义就是用MPLS技术去实现VPN，MPLS通过对VPN用户分配两层标签，也就是公网标签和私网标签，其中公网标签位于外层，用于在网络中两个PE之间打通一条隧道；而私网标签位于内层，实现对不同VPN用户数据的区分。

1、区分不同公司相同地址的的数据

现在引入VRF：运营商为确保客户信息的安全性为每个VPN用户单独分配一个路由表，即VPN路由与转发表VRF。因为在PE路由器上的路由需要被相互隔离，以确保对每一个用户VPN的私有性，每个VRF和VPN相对应。

为了解决客户地址重叠问题，MPLS VPN除了在PE路由器上使用多个VRF表的方法，还引入了路由标识符RD。RD和VRF表之间建立了一一对应的关系。RD+IP地址就是VPN-IPV4地址。

2、RT路由目标

VRF的标识符是用的RD，而核心网PE到PE的路由取舍用的是Route target，也就是RT。

每个VRF都可以配置export target和import target属性，从而来实现VPN的灵活控制、能够通过配置实现同一个VPN里用户的路由进行交互、而不同的VPN的用户路由不能交互，也就控制了VPN用户之间的互访关系。

3、MP-BGP

如何在PE之间传递各VRF中的路由以及相应的RT，需要用到BGP这个协议。

并且为了适应VPN技术的需求，BGP路由协议进行了一定的扩展，扩展后的BGP叫做MP-BGP。

4、PE向CE的报文转发问题

既然路由发布时已经携带了RD，能否在发送数据包时也在地址前面加上RD呢？

理论上可以，但是RD太长（和RT都是64位），会导致转发效率的降低，另外还需要PE设备升级到支持这种格式的报文，所以最好的方法只需要一个短小、定长的MPLS标记即可。所以在MPLS VPN中IP包带两层标签，公网标签和私网标签。

5、配置MPLS VPN

1）配置公网隧道：首先在公网上使能MPLS，建立公网隧道。

配置公网IGP路由：首先在公网上配置某种IGP路由协议，让公网设备之间IP互通。

配置MPLS：然后在公网设备以及公网接口上使能MPLS和MPLS LDP协议。

2）配置本地VPN：根据用户VPN互访关系，设计本地VPN。

按照用户互访需求创建VPN并配置该VPN的RD和RT值。

配置私网接口和VPN的绑定。

配置PE和CE之间的路由，实现PE和本地VPN用户之间的路由交互。

3）配置MP-BGP：在PE之间建立其MP-BGP邻居，传递私网路由。

配置PE之间普通BGP邻居：PE之间是通过Loopback接口来建立邻居关系。

配置PE之间MP-BGP邻居：在建立普通BGP邻居的基础上，需要进一步使能PE之间的BGP协议传递VPN-IPV4路由的能力，也就是要把PE之间普通的BGP邻居关系转变为MP-BGP邻居关系，这是关键步骤。方法是在BGP试图下进入VPN-IPV4地址族，并使能该邻居。

4）配置本地VPN和MP-BGP之间的路由引入引出：PE和CE之间采用某种路由协议的相互交互路由，这部分路由将学习到PE对应的VPN路由表中，但这些路由并不会自动被MP-BGP路由发布给对端PE，需要在MP-BGP协议中加以引入才行。相反MP-BGP从远端PE学到的私网路由也存在在对应的VPN路由表中，但这部分路由并不会自动通过PE和CE之间运行的路由协议发布给CE，也需要做路由引入。

五、802.1X

使用802.1X的系统为典型的客户端/服务器的体系结构，包括3个实体，分别是客户端、设备端和认证服务器。

（1）客户端：局域网用户终端设备，但必须是支持局域网可扩展认证协议EAPOL的设备，可通过启动客户端设备上安装的802.1x客户端软件（Windows XP系统自带客户端）发起802.1x认证。

（2）设备端：支持802.1x协议的网络设备（如交换机），对所连接的客户端进行认证。它为客户端提供接入局域网的端口。

（3）认证服务器：为设备端802.1x协议提供认证服务的设备，是真正进行认证的设备，实现对用户进行认证、授权和计费，可以是交换机设备端自带的本地认证，但通常为RADIUS服务器或者TACACS服务器。

在设备端PAE和RADIUS服务器之间，802.1X协议可以使用以下两种方式进行交互。

（1）EAP中继方式：

设备端把EAP协议报文以EAPOR封装格式（EAP Over Radius），承载于Radius协议中传送到Radius服务器。Radius服务器来从封装的EAPOR报文中获取客户端认证信息，然后再对客户端进行认证。

这种认证方式的优点是设备端的工作很简单，不需要对来自客户端的EAP报文进行任何处理，只需要用EAPOR对EAP报文进行封装即可，根本不管客户端的认证信息。需要认证服务器支持新的RADIUS属性，能够支持EAP协议。

（2）EAP终结方式：

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。这种认证方式的优点是现有的RADIUS服务器基本均可支持PAP和CHAP认证，无需升级服务器，但设备端的工作比较繁重，因为在这种认证方式中，设备端不仅要从来自客户端的EAP报文中提取客户端认证信息，还要通过标准的RAIUDS协议对这些信息进行封装。

交换机端口对用户的接入控制方式包括基于端口的认证方式和基于MAC地址的认证方式。

（1）基于端口的认证方式

采用基于端口的方式的时候，只要该端口下第一个用户认证成功后，其他接入用户无须认证就可以使用网络资源，但是当第一个用户下线后，其他用户就会被拒绝使用网络。

（2）基于MAC地址的认证方式

当采用基于MAC方式的时候，这个端口下的所有接入用户都需要单独认证，当某个用户下线时候，也就只有这个用户无法使用网络。

六、端口隔离

用户只需要把端口加入到隔离组中，就可以实现二层数据的隔离。

<Switch1>system-view

[Switch1] port-isolate mode l2            //配置全局端口隔离模式为二层隔离，all表示二层和三层都隔离。

[Switch1]interface gigabitethernet 1/0/1

[Switch1- Gigabitethernet 1/0/1]port-isolate enable group1   //使能端口隔离功能，并将端口加入到隔离组group1

[Switch1- Gigabitethernet 1/0/2]port-isolate enable group1

[Switch1- Gigabitethernet 1/0/2]quit

[Switch1]

即Switch1的两个端口实现了二层隔离，注意，需要相互隔离的两个端口一定要加入相同的隔离组。

七、端口绑定

通过MAC+IP+端口绑定功能，实现设备对转发报文的过滤控制，提高安全性。

八、AAA

AAA实现AAA服务器主要使用远程认证拨号用户服务RADIUS协议或终端访问控制器控制系统协议TACACS+协议。

RADIUS协议使用UDP作为传送协议，同时使用了两个UDP端口号分别用于认证和计费。在RADIUS的协议文本RFC 2138和RFC 2139中，规定1812作为认证端口号，1813为计费端口号。

在RADIUS服务器上，通常要维护3个数据库：一个用于存储用户信息（包括用户名、口令以及使用的协议、IP地址等配置），一个用于存储接入服务器的信息（包括所认可的接入服务器以及它们之间的共享密钥），另一个数据库存储的信息用于解释RADIUS报文的属性三元组。

RADIUS报文的数据部分由一个个的属性三元组组成，属性三元组由属性编号、整个属性的长度和属性值构成。用来在请求和响应报文中携带详细的认证、授权、信息和配置细节，来实现认证、授权、计费等功能。

另外AAA还可以使用TACACS协议，和Radius一样，都规定了NAS和服务器之间如何实现对用户认证、授权和计费。结构上都采用服务器/客户端的模式，都用了公共密钥对传输的信息进行加密，具有比较好的灵活性和可扩展性。区别就在于传输协议的使用，信息包加密、认证授权分离、多协议支持等等方面。TACACS协议有更可靠的传输和加密机制，TACACS+应用传输控制协议（TCP）端口号49。

九、等级保护2.0

5月13日，市场监督管理总局、中国标准化管理委员会召开标准新闻发布会，正式发布了《信息安全技术 网络安全等级保护基本要求》，并于2019年12月1日开始正式实施，这标志着等级保护工作正式步入新的阶段——等保2.0时代。

技术要求

技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

1）安全物理环境

安全通用要求中的安全物理环境部分是针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等; 涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

2）安全通信网络

安全通用要求中的安全通信网络部分是针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等; 涉及的安全控制点包括网络架构、通信传输和可信验证。

3）安全区域边界

安全通用要求中的安全区域边界部分是针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等; 涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

4）安全计算环境

安全通用要求中的安全计算环境部分是针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象, 包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等; 涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

5）安全管理中心

安全通用要求中的安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求, 通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

管理要求

管理要求分类体现了从要素到活动的综合管理思想。安全管理需要的“ 机构” 、“ 制度” 和“ 人员” 三要素缺一不可, 同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。

1）安全管理制度

安全通用要求中的安全管理制度部分是针对整个管理制度体系提出的安全控制要求, 涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

2）安全管理机构

安全通用要求中的安全管理机构部分是针对整个管理组织架构提出的安全控制要求, 涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

3）安全管理人员

安全通用要求中的安全管理人员部分是针对人员管理模式提出的安全控制要求, 涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

4）安全建设管理

安全通用要求中的安全建设管理部分是针对安全建设过程提出的安全控制要求, 涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

5）安全运维管理

安全通用要求中的安全运维管理部分是针对安全运维过程提出的安全控制要求, 涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T 22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

（1）云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“ 基础设施的位置” 、“ 虚拟化安全保护” 、“ 镜像和快照保护” 、“ 云计算环境管理” 和“ 云服务商选择” 等。

（2）移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“ 无线接入点的物理位置” 、“ 移动终端管控” 、“ 移动应用管控” 、“ 移动应用软件采购”等。

（3）物联网安全扩展要求针对物联网的特点提出。主要内容包括“ 感知节点的物理防护” 、“ 感知节点设备安全” 、“ 网关节点设备安全” 、“ 感知节点的管理” 和“ 数据融合处理” 等。

（4）工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“ 室外控制设备防护” 、“ 工业控制系统网络架构安全” 、“ 拨号使用控制” 、“ 无线使用控制” 和“ 控制设备安全” 等。