局域网安全基础技术new

1、3、局域网安全(nqun)基础技术1共三十四页教学(jio xu)目标 介绍局域网的安全问题、安全技术(jsh)与措施，及动态VLAN和PVLAN技术(jsh)的使用分析WLAN的安全问题及技术监测及分析是发现安全问题的前提，介绍Wireshark数据包监测与分析软件的应用通过学习，熟悉局域网的安全方面的相关知识，基本掌握数据包检测与协议分析技术2共三十四页要点(yodin)内容 局域网安全问题局域网安全技术数据包截取(jiq)与协议分析VLAN技术的安全应用WLAN安全问题与安全技术3共三十四页能力(nngl)要求 掌握局域网安全基本(jbn)技术会使用Wireshark软件分析协议基本掌握

2、VLAN的安全应用 能防范和应对WLAN安全问题了解局域网安全解决方案4共三十四页3.1 局域网安全(nqun)问题作为Internet的重要组成单元，局域网的安全问题不仅损害局域网本身，也不可避免地对Internet产生影响局域网的安全性主要包括三个方面：局域网本身的安全性，以太网协议的问题，TCP/IP协议存在的缺陷(quxin)建设不规范带来的安全隐患，来自内部的人为破坏，所用的媒体和设备所存在的问题；当局域网和Internet连接时，受到来自外界恶意的攻击，局域网对不安全站点的访问控制等 5共三十四页局域网安全(nqun)风险 物理设施设备层次的安全(nqun)风险 网络层次的安全风险

3、 应用层次的安全风险 管理层次的安全风险 6共三十四页局域网安全(nqun)特性 局域网一般基于TCP/IP建设(jinsh)，其四层结构简单，实现容易，实用性强。这是成功的关键，也带来了安全隐患：数据容易被窃听和截取 IP地址欺骗 缺乏足够的安全策略 局域网配置的复杂性7共三十四页3.2 局域网安全(nqun)技术物理安全技术：环境安全、设备安全、媒体安全系统安全技术：操作系统及数据库系统的安全性网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全技术：E-mail安全、Web访问安全、内容过滤、应用系统安全数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性认证

4、授权技术：口令(kulng)认证、SSO认证（如Kerberos）、证书及其认证等访问控制技术：防火墙、访问控制列表等审计跟踪技术：入侵检测、日志审计、辨析取证防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份8共三十四页3.2 局域网安全(nqun)技术访问控制技术：包括入网(r wn)访问控制网络权限控制目录级控制以及属性控制 计算机病毒的预防和消除：正版、网络版及时更新，内网服务 9共三十四页3.2 局域网安全(nqun)技术-局域网安全措施 规划网络，针对重要基础服务器、网管设备、特殊和普通用户等划分、设置(shzh)不同的网段，

5、并进行安全策略的配置，严格控制其访问权限定期使用漏洞扫描工具对重要网段进行扫描，并生成扫描报告，用于安全提醒，作为整体信息安全评估的一项重要参考针对无线、有线上网设立有效的安全认证机制，建立切实有效的网络接入认证服务10共三十四页3.2 局域网安全(nqun)技术-局域网安全措施 采用网络行为管理机制，采集流量信息分析，提取有用信息和数据，了解和控制不良信息和网络行为建立安全门户网站，用于安全信息的发布和宣传建立完整的灾难恢复(huf)和备份体系11共三十四页3.2 局域网安全(nqun)技术-局域网安全措施 建立入侵检测系统和预警机制设置专用的VPN设备(shbi)，专门用于网管、内部服务器

6、的管理等，关闭普通的远程管理端口在边界和重要区域部署防火墙系统，以一定的规模或重要性实现安全隔离，防止一个区域的安全问题传播到其他区域 12共三十四页3.2 局域网安全技术(jsh)-局域网安全管理 局域网的安全问题不能只局限于技术，更重要的还在于管理，“三分技术、七分管理”：主要任务是对网络资源、网络性能和网络运行进行管理 安全管理要解决(jiju)组织、制度和人员三方面 13共三十四页3.3 网络监听(jin tn)与协议分析协议分析仪（Protocol Analyser）是能够捕获并分析网络报文的设备，基本功能是捕捉(bzhu)分析网络的流量，以便找出所关心的网络中潜在的问题工作原理：以

7、太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个唯一的硬件地址，即MAC地址 14共三十四页3.3 网络监听与协议(xiy)分析通常一个网络接口只接收两种数据帧：与自己硬件地址相匹配的数据帧和广播帧网卡通常有以下四种接收方式：广播方式：接收网络中的广播信息组播方式：接收组播数据直接方式：只有目的(md)网卡才能接收该数据混杂模式：接收一切通过它的数据，而不管该数据是否是传给它的15共三十四页3.3 网络(wnglu)监听与协议分析基本用途两个使用领域：商业类型的封包探嗅器通常被网管用于维护网络，另一种就是地下类型的封包探嗅

8、器，用来入侵(rqn)他人计算机典型的主要用途包括以下几种：网络环境通信失效分析探测网络环境的通信瓶颈将数据包信息转换成人类易于辩读的格式探测有无入侵者存在于网络上，以防止其入侵从网络中过滤及转换有用的信息，如使用者名字及密码网络通信记录，记录下每一个通信的资料，用于了解入侵者入侵的路径16共三十四页协议(xiy)数据报结构 IPARPICMPIGMPTCPUDP17共三十四页网络(wnglu)监听与数据分析 Wireshark常用功能 网络管理员使用它捕获并分析网络流量，帮助解决网络问题网络安全工程师用它监控网络活动，测试安全问题开发人员用它调试协议的实现(shxin)过程帮助学习网络协议1

9、8共三十四页网络(wnglu)监听与数据分析 -Wireshark界面(jimin)19共三十四页网络(wnglu)监听与数据分析 -Wireshark设置捕获条件：过滤器可以根据物理地址或IP地址和协议选择进行组合筛选链路层捕获，按源MAC和目的MAC地址进行捕获，在过滤框中输入eth.addr=00:19:21:f5:8c:bd，这样截取(jiq)的报文就只与这个MAC地址有关IP层捕获，按源IP地址和目的IP地址进行捕获。在过滤框中输入ip.addr= 0，则捕获的只是有关此IP地址的报文，其他报文将被过滤掉20共三十四页3.4 VLAN安全技术(jsh)与应用VLAN技术是一种通过将局

10、域网内的设备逻辑地而不是物理地划分成一个个网段从而实现(shxin)虚拟工作组的安全技术VLAN在交换机上的实现方法可划分为三类：基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN 21共三十四页动态(dngti)VLAN及其配置 当由端口自己(zj)决定属于哪个VLAN时，就形成了动态的VLAN。它是一个简单的映射，这个映射取决于网络管理员创建的数据库，分配给动态VLAN的端口被激活后，交换机就缓存初始帧的源MAC地址 22共三十四页动态(dngti)VLAN及其配置 VMPS数据库配置文件，放置在TFTP服务器上，文件是一个(y )ASCII码的文本文件 将一台交换机配

11、置成VMPS服务器 将参与动态VLAN的交换机配置成VMPS客户端23共三十四页PVLAN及其配置(pizh) 私有(syu)VLAN24共三十四页PVLAN及其配置(pizh) 所有服务器在同一个子网中，但服务器只能与自己的默认网关通信(tng xn)PVLAN的端口类型 25共三十四页PVLAN及其配置(pizh) PVLAN的端口类型 隔离端口：端口彼此之间不能交换数据(shj)，只能与混杂端口通信，一般用作用户的接入端口团体端口：可以互相通信，也可以与混杂端口通信，主要应用在同一PVLAN中，给那些需要互相通信的一组用户使用混杂端口：可以与同一PVLAN中的所有端口互相通信，通常与路由

12、器或第三层交换机相连接的端口都要配置成混杂端口，它收到的流量可以发往隔离端口和团体端口26共三十四页PVLAN及其配置(pizh) PVLAN的端口类型 隔离端口：端口彼此之间不能交换数据，只能与混杂端口通信，一般用作用户的接入端口团体端口：可以互相通信，也可以与混杂端口通信，主要应用在同一PVLAN中，给那些需要互相通信的一组用户使用(shyng)混杂端口：可以与同一PVLAN中的所有端口互相通信，通常与路由器或第三层交换机相连接的端口都要配置成混杂端口，它收到的流量可以发往隔离端口和团体端口27共三十四页PVLAN及其配置(pizh) PVLAN配置原则把需要第二层隔离的主机放到同一个隔离

13、VLAN或者不同的团体VLAN中把需要第二层通信的主机放到同一个团体VLAN中把公共的服务器或者上联端口放到主VLAN中（即将端口设置为混杂端口）网关可以(ky)在主VLAN上配一个三层地址或者在主VLAN上连接一个路由器交换机的上联端口也可以是Trunk，主VLAN和辅助VLAN都可以通过Trunk链路28共三十四页3.5 无线局域网安全(nqun)技术由于无线局域网采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，因此(ync)对越权存取和窃听的行为也更不容易预防 29共三十四页无线局域网安全(nqun)技术 服务集标识符 SSID物理地址过滤 连线(lin xin)对等保密：WEP

14、 Wi-Fi保护接入 ：Wi-Fi Protected Access WAPI（WLAN Authentication Privacy Infrastructure） 端口访问控制技术（802.1x） 用户认证 30共三十四页3.6 企业(qy)局域网安全解决方案 企业局域网系统(xtng)概况 企业局域网安全风险分析 安全需求与安全目标 网络安全方案总体设计 31共三十四页本章(bn zhn)小结32共三十四页作业(zuy)与实践33共三十四页内容摘要3、局域网安全(nqun)基础技术。监测及分析是发现安全(nqun)问题的前提，介绍Wireshark数据包监测与分析软件的应用。访问控制技术：防火墙、访问控制列表等。防病毒技术：单机