CISP0204网络安全_v3.0

1、网络安全网络安全培训机构名称培训讲师版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容课程内容2网络安全网络安全知识体知识域网络架构安全网络架构安全知识子域网络架构安全基础网络架构安全基础网络架构安全网络架构安全设计设计网络协议安全网络协议安全无线局域网协议安全无线局域网协议安全OSI七层模型及安全架构七层模型及安全架构TCP/IP安全安全网络安全网络安全设备设备其他网络安全设备其他网络安全设备防火墙防火墙入侵检测系统入侵检测系统知识域：网络协议安全知识域：网络协议安全v知识子域：OSI七层模型及安全架构 了解开放系统互联（OSI）模型的七层网络通信结构及通信过程，了解

2、每一层的功能 了解OSI安全架构的核心内容：基于8类安全机制提供5类安全服务3ISO/OSIISO/OSI七层模型结构七层模型结构4表示层表示层应用层（高）应用层（高）数据流层数据流层7654321第一层：物理层第一层：物理层v 作用 定义物理链路的电气、机械、通信规程、功能要求等； 电压，数据速率，最大传输距离，物理连接器； 线缆，物理介质； 将比特流转换成电压；v 典型物理层设备 光纤、双绞线、中继器、集线器等；v 常见物理层标准（介质与速率） 100BaseT, OC-3, OC-12, DS1, DS3, E1, E35表示层表示层第二层：数据链路层第二层：数据链路层v 作用 物理寻址

3、，网络拓扑，线路规章等 错误检测和通告（但不纠错） 将比特聚成帧进行传输 流量控制（可选）v 寻址机制 使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）v 典型数据链路层设备 网卡、网桥和交换机v 数据链路层协议 PPP, HDLC, FR, Ethernet, Token Ring, FDDI6表示层表示层第二层：以太网协议标准（两个子层）第二层：以太网协议标准（两个子层）vLLC（Logical Link Control） IEEE 802.2 为上层提供统一接口； 使上层独立于下层物理介质； 提供流控、排序等服务；vMAC（Media Access Control） IEEE

4、802.3 烧录到网卡ROM； 48比特； 唯一性；7表示层表示层第三层：网络层第三层：网络层v作用 逻辑寻址 路径选择v寻址机制 使用网络层地址进行寻址（如IP地址）v网络层典型设备 路由器 三层交换机8表示层表示层第四层：传输层第四层：传输层v作用 提供端到端的数据传输服务 建立逻辑连接v寻址机制 应用程序的界面端口（如端口号）v传输层协议 TCP UDP SPX9表示层表示层第五层：会话层第五层：会话层v作用 不同应用程序的数据隔离 会话建立，维持，终止 同步服务 会话控制（单向或双向）10表示层表示层第六层：表示层第六层：表示层v作用 数据格式表示 协议转换 字符转换 数据加密/解密

5、数据压缩等v表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG11表示层表示层第七层：应用层第七层：应用层v作用 应用接口 网络访问流处理 流控 错误恢复v应用层协议 FTP, Telnet, HTTP, SNMP, SMTP, DNS12表示层表示层分层结构的优点分层结构的优点v降低复杂性v促进标准化工作v各层间相互独立，某一层的变化不会影响其他层v协议开发模块化v简化理解与学习13数据封装与分用数据封装与分用v数据封装 应用数据发送时从高层向低层逐层加工后传递v数据解封装 数据接收时从低层向高层逐层传递14OSIOSI安安全体系结构全体系结构vOSI安全体系结构定义了系

6、统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务15OSIOSI安全体系结构定义安全体系结构定义的安全服务的安全服务v五类安全服务 鉴别、访问控制、数据机密性、数据完整性、抗抵赖v八种安全服务 加密、数字签名、访问控制、数据完整性、鉴别 流量填充（用于对抗通信流量分析，在加密时才是有效的） 路由控制（可以指定路由选择说明，回避某些特定的链路或子网） 公证16知识域：网络协议安全知识域：网络协议安全v知识子域：TCP/IP安全 了解TCP/IP协议模型及各层典型协议的功能 理解基于TCP/IP的典型安全

7、协议 了解IPv6的安全特点17OSIOSI模型与模型与TCP/IPTCP/IP协议的对应协议的对应18表示层表示层TCP/IPTCP/IP协议协议19应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网网络接口层络接口层v主要协议 ARP RARPv安全问题 损坏：自然灾害、动物破坏、老化、误操作 干扰：大功率电器/电源线路/电磁辐射 电磁泄漏：传输线路电磁泄漏 欺骗：ARP欺骗 嗅探：常见二层协议是明文通信的（以太、arp等） 拒绝服务：mac flooding，arp flooding等20网络互联层网络互联层21应用层

8、传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联网络互联层层协议核心协议协议核心协议-IP-IP协议协议vIP是TCP/IP协议族中最为核心的协议vIP协议的特点 不可靠（unreliable）通信 无连接（connectionless）通信22版本版本包头长度包头长度服务类型服务类型数据包长度数据包长度标识标识标记标记偏移偏移生存期生存期协议类型协议类型包头校验和包头校验和源源IPIP地址地址目的目的IPIP地址地址可选项可选项用户数据用户数据网络互联层网络互联层安全问题安全问题v拒绝服务：分片攻击（teardrop）/

9、死亡之pingv欺骗：IP源地址欺骗v窃听：嗅探v伪造：IP数据包伪造23传输层传输层24应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层协议传输层协议-TCP-TCP协议协议v传输控制协议：提供面向连接的、可靠的字节流服务v提供可靠性服务 数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量 251616源端口号源端口号1616位目的端口号位目的端口号3232位序号位序号3232位确认序号位确认序号偏移量偏移量保留位保留位U A P U A P R S FR S F1616窗口指针窗口指针1616位校验

10、和位校验和1616位紧急指针位紧急指针数据数据传输层协议传输层协议-UDP-UDP协议协议v用户数据报协议：提供面向事务的简单不可靠信息传送服务v特点 无连接、不可靠 协议简单、占用资源少，效率高 261616源端口号源端口号1616位目的端口号位目的端口号16UDP16UDP报文长度报文长度1616位校验和位校验和数据数据传输层安全问题传输层安全问题v拒绝服务：syn flood/udp flood/Smurfv欺骗：TCP会话劫持v窃听：嗅探v伪造：数据包伪造27应用层协议应用层协议v应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文v典型的应用层协议 域名解析：DNS 电子

11、邮件：SMTP/POP3 文件传输：FTP 网页浏览：HTTP 28应用应用层协议安全问题层协议安全问题v拒绝服务：超长URL链接v欺骗：跨站脚本、钓鱼式攻击、cookie欺骗v窃听：数据泄漏v伪造：应用数据篡改v暴力破解：应用认证口令暴力破解等v29基于基于TCP/IPTCP/IP协议簇的安全架构协议簇的安全架构30下一代互联网协议下一代互联网协议-IPv6-IPv6vIPv6安全特性 地址数量大量增加（32-128） 报文头部格式简化，路由表简化、处理速度快 内置安全特性（IPSec） 移动性支持 QoS和性能 良好扩展性 31知识域知识域：网络协议安全：网络协议安全v知识子域：无线局域网

12、协议安全 了解无线局域网的基本组成与特点 了解WEP、802.11i、WAPI等无线局域网安全协议32无线无线局域网网络结构局域网网络结构v无线局域网构成（ 802.11x ） 客户端（station，STA） 无线接入点（access Point，AP） 分布系统（distribution system，DS）33分布系统STASTAAPAP无无线局域网安全问题线局域网安全问题v安全问题 传输信道开放，容易接入v认证机制（802.11i之前） 开放式认证系统 通过易于伪造的SSID识别，无保护、任意接入 MAC、IP地址控制易于伪造 共享密钥认证（使用WEP进行保护） 手动管理密钥存在重大隐

13、患 弱密钥问题 不能防篡改 WEP没有提供抵抗重放攻击的对策34案例：中间人攻击案例：中间人攻击v注：建议讲师此处给学员做演示或案例讲解，中间人攻击35无线局域网安全协议无线局域网安全协议v802.11i WPA（802.11i草案） WPA2(802.11i正式)v802.11i运行四阶段 发现AP阶段 802.11i认证阶段 密钥管理阶段 安全传输阶段36WAPIWAPI无线安全协议无线安全协议vWAPI的构成 WAI，用于用户身份鉴别 WPI，用于保护传输安全vWAPI的安全优势 双向三鉴别（服务器、AP、STA） 高强度鉴别加密算法37知识域：网络安全设备知识域：网络安全设备v知识子域

14、：防火墙 理解防火墙的作用、功能及分类 理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理 掌握防火墙的典型部署方式 理解防火墙的局限性38v控制 在网络连接点上建立一个安全控制点，对进出数据进行限制v隔离 将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护v记录 对进出数据进行检查，记录相关信息防火墙防火墙的作用与功能的作用与功能39安全网域一防火墙的分类防火墙的分类v按按防火墙形态防火墙形态 硬件防火墙硬件防火墙 软件防火软件防火墙墙v按技术实现按技术实现 包过滤（透明模式）包过滤（透明模式） 代代理理v按按体系结构分体系结构分 双宿双宿/ /多宿主机防火墙多宿主机

15、防火墙 屏蔽主机防火墙屏蔽主机防火墙 屏蔽子网防火墙屏蔽子网防火墙v其其他分类方法他分类方法40防火墙的实现技术防火墙的实现技术v包过滤技包过滤技术术v代代理网关技术理网关技术v状状态检测技态检测技术术v自适应代理技自适应代理技术术41防火墙防火墙的实现技术的实现技术- -包包过滤过滤v实现机制：依据数据包的基本标记来控制数据包 网络层地址：IP地址（源地址及目的地址） 传输层地址：端口（源端口及目的端口） 协议：协议类型42安全网域一防火墙防火墙的实现技术的实现技术- -包过滤包过滤v 优优点点: :只对数据包的只对数据包的 IP IP 地址、地址、 TCP/UDP TCP/UDP 协议和端

16、协议和端口进行分析，规则简单，处理速度较快口进行分析，规则简单，处理速度较快 易于配置易于配置对用户对用户透明，用户透明，用户访问时不需要提供额外的访问时不需要提供额外的密码或使用特殊的命令密码或使用特殊的命令v 缺点：缺点：检查和过滤器只在检查和过滤器只在网络层网络层，不能不能识别应用层识别应用层协议或维持连接状态协议或维持连接状态安全性安全性薄弱，不能薄弱，不能防止防止IPIP欺骗等欺骗等43防火墙的实现技术防火墙的实现技术- -代理网关代理网关v每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制v分类 电路级代理 应用代理44防火墙的实现技术防火墙的实现技术- -电路级代理电

17、路级代理v建立回路，对数据包进行转发v优点 能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等 适用面广v缺点 仅简单的在两个连接间转发数据，不能识别数据包的内容45防火墙的实现技术防火墙的实现技术- -应用代理应用代理v工作在应用层v使用代理技术，对应用层数据包进行检查v对应用或内容进行过滤，例如：禁止FTP的 “put”命令46防火墙的实现技防火墙的实现技术术- -应应用代理用代理v优点 可以检查应用层内容，根据内容进行审核和过滤 提供良好的安全性v缺点 支持的应用数量有限 性能表现欠佳47防火防火墙的实现技术墙的实现技术-NAT-NATv什么是NAT 一种将私有（保留）地址转化为合法

18、IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。vNAT技术设计初衷 增加私有组织的可用地址空间 解决现有私有网络接入的IP地址编号问题48防火防火墙的实现技术墙的实现技术-NAT-NATvNAT实现方式 静态地址转换 动态地址转换 端口转换49安全网域一000NATNAT的优缺点的优缺点v优点 管理方便并且节约IP地址资源 隐藏内部 IP 地址信息 可用于实现网络负载均衡v缺点 外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。 50防火墙实现技术防火墙实现技术-状

19、态检测状态检测数据链路层数据链路层物理层物理层网络层网络层表示层表示层会话层会话层传输层传输层检测引擎检测引擎应用层应用层动态状态表动态状态表动态状态表动态状态表动态状态表动态状态表v在数据链路层和网络层之间对数据包进行检测v创建状态表用于维护连接上下文应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层51防火墙实现技术防火墙实现技术-状态检测状态检测v状态检测技术的特点状态检测技术的特点 安全性高，可根据通信和应用程序状态确定是否允许包的通行 性能高，在数据包

20、进入防火墙时就进行识别和判断 适应性好 对用户、应用程序透明52防火墙实现技术防火墙实现技术- -自适应代理技术自适应代理技术v特点 根据用户定义安全规则动态“适应”传输网络数据 代理服务可以从应用层转发，也可以从网络层转发 高安全要求：则在应用层进行检查 明确会话安全细节：则在链路层数据包转发 兼有高安全性和高效率53防火防火墙墙部署方式部署方式v路由模式v透明模式v混合模式54防防火墙的工作模火墙的工作模式式- -路由路由模式模式内部网络内部网络/24/24GW:54GW:54外部网络外部网络202.1

21、01.10.0/24/24GW:GW:防火墙防火墙InternetIntranet/2454/2455防防火墙的工作模火墙的工作模式式- -透明模式透明模式56内部网络内部网络/24GW:54外部网络外部网络路由器路由器InternetIntranet54/24防火墙的工作模式防火墙的工作模式- -混合模式混合模式57内部网络内部网络/24/245

22、454外部网络外部网络/24/24GW:GW:防火墙防火墙InternetIntranetIntranet内部网络内部网络00/2400/24GW:53GW:53路路由模式由模式透明模式透明模式防火墙的典型部署防火墙的典型部署v区域划分：可信网络、不可信网络、DMZ区58可信网络可信网络不可信的网不可信的网络络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区

23、防护墙的策略设置防护墙的策略设置v没有明确允许的就是禁止 先阻止所有数据包 需要的给予开放v没有明确禁止的就是允许 对明确禁止的设置策略59防火墙的策略设置防火墙的策略设置v可信网络可向DMZ区和不可信网络发起连接请求60可信网络可信网络不可信的网不可信的网络络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区防火墙的策略设置防火墙的策略设置vDMZ区可接受可信网络和不可信网络的连接请求vDMZ区不可向可信网络发起连接请求vDMZ区与不可信网络的连接请求根据业务需要确定61可信网络可信网络不可信的网不可信的网络络防火墙防火墙路由器路由器InternetIntra

24、netDMZ非军事化区非军事化区防火墙防火墙部署结构部署结构v防火墙的部署位置 可信网络与不可信网络之间 不同安全级别网络之间 两个需要隔离的区域之间v防火墙的部署方式 单防火墙（无DMZ）部署方式 单防火墙（DMZ）部署方式 双防火墙部署方式62单防火墙（无单防火墙（无DMZDMZ）部署方式）部署方式v区域划分：可信网络、不可信网络v结构简单，易于实施内部网络内部网络/24/24GW:54GW:54外部网络外部网络/24/24GW:G

25、W:防火墙防火墙InternetIntranet/2454/2463单防火墙单防火墙（DMZDMZ）部署方式）部署方式v区域划分：可信网络、不可信网络、DMZ区v提供对外服务安全区域64可信网络可信网络不可信的网不可信的网络络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区双防火墙的部署方式双防火墙的部署方式v能提供更为安全的系统结构v实施复杂性和费用较高65可信网络可信网络不可信的网不可信的网络络防火墙防火墙Internet非军事化区非军事化区防火墙防火墙防火防火墙的不足和局限性墙的不足和

26、局限性v难于管理和配置，易造成安全漏洞v防外不防内，不能防范恶意的知情者v只实现了粗粒度的访问控制v很难为用户在防火墙内外提供一致的安全策略v不能防范病毒66知识域：网络安全设备知识域：网络安全设备v知识子域：入侵检测系统 理解入侵检测系统的作用、功能及分类 了解入侵检测系统的主要技术原理 掌握入侵检测系统的典型部署方式 理解入侵检测系统的局限性67入侵检测系统的作用与功能入侵检测系统的作用与功能v入侵检测系统的作用 防火墙的重要补充 构建网络安全防御体系重要环节 克服传统防御机制的限制v入侵检测系统功能 监测并分析用户和系统的活动 核查系统配置和漏洞 对操作系统进行日志管理，并识别违反安全策

27、略的用户活动 针对已发现的攻击行为作出适当的反应，如告警、中止进程等68入侵检测系统的分类入侵检测系统的分类v按入侵检测形态 硬件入侵检测 软件入侵检测v按目标系统的类型 网络入侵检测 主机入侵检测v按系统结构 集中式 分布式69入侵检测的技术架构入侵检测的技术架构v事件产生器：采集和监视被保护系统的数据v事件分析器：分析数据，发现危险、异常事件，通知响应单元v响应单元：对分析结果作出反应v事件数据库：存放各种中间和最终数据7071入侵检测工作过程入侵检测工作过程数据检测技术数据检测技术v误用检测技术 建立入侵行为模型(攻击特征) 假设可以识别和表示所有可能的特征 基于系统和基于用户的误用v异

28、常检测技术 设定“正常”的行为模式 假设所有的入侵行为是异常的 基于系统和基于用户的异常72误用误用检测检测73v优点 准确率高 算法简单v关键问题 有所有的攻击特征，建立完备的特征库 特征库要不断更新 无法检测新的入侵异异常检测常检测74误报率、漏报率较高v优点 可检测未知攻击 自适应、自学习能力v关键问题 “正常”行为特征的选择 统计算法、统计点的选择v基于网络的入侵检测系统75入侵检测系统布署入侵检测系统布署入侵检测系统布署入侵检测系统布署v基于主机的入侵检测系统76入侵检测系统的局限性入侵检测系统的局限性77v 对用户知识要求较高，配置、操作和管理使用较为复杂v 网络发展迅速，对入侵检

29、测系统的处理性能要求越来越高，现有技术难以满足实际需要v 高虚警率，用户处理的负担重v 由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果v 在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响知识域：网络安全设备知识域：网络安全设备v知识子域：其它网络安全设备 了解安全隔离与信息交换系统的原理、特点及适用场景 了解入侵防御系统（IPS）的原理与特点 了解安全管理平台（SOC）的主要功能 了解统一威胁管理系统（UTM）的功能与特点 了解网络准入控制（NAC）的功能、组成及控制方式78安全隔离与信息交换系统（网闸）安全隔离与信息交换系统（网闸）v组成 外

30、部处理单元、内部处理单元、仲裁处理单元 v特点 断开内外网之间的会话（物理隔离、协议隔离） 同时集合了其他安全防护技术79入侵防御系统入侵防御系统(IPS)(IPS)v接入方式：串行v工作机制：检测+阻断v不足：单点故障、性能瓶颈、误报80可信网络可信网络不可信的网络不可信的网络& &服务服务InternetIntranetIPS安全管理平台（安全管理平台（SOCSOC）vSOC的含义 狭义：安全设备集中管理中心 广义：IT资源集中管理中心vSOC的主要功能 风险管理 服务管理 系统管理 专业安全系统81统一威胁管理系统（统一威胁管理系统（UTMUTM）v接入方式：串行v工作机

31、制：检测+阻断+病毒防护+流控+v不足：单点故障、性能瓶颈、误报、82可信网络可信网络不可信的网络不可信的网络& &服务服务InternetIntranetUTM网络准入控制网络准入控制v作用：对接入终端进行授权v组成：策略服务器、接入设备、终端检查83认证服务器认证服务器Radius Server接入设备终端设备知识域：网络架构安全知识域：网络架构安全v知识子域：网络架构安全基础 理解网络架构安全的含义 理解网络架构安全设计的主要工作v知识子域：网络架构安全设计 理解网络安全域划分应考虑的主要因素 理解IP地址规划方法 理解VLAN划分的作用与策略 理解路由交换设备安全配置常见的要求 理解网络边界访问控制策略的类型 理解网络冗余配置应考虑的因素84网络架构安全网络架构安全v网络是信息系统的基础支撑环境vIATF中“保护网络和基础设施”主要内容85网络架构安全网络架构安全