信息安全技术(HCIA-Security)-第二次课-网络基本概念和常见网络设备课件

1、网络基本概念在学习安全技术之前，首先我们应该了解网络的基本概念，如网络的基本通信原理，网络的组成和常见的网络协议等。在了解网络协议的基础上，能够理解网络安全威胁，从而部署安全防御策略。学完本课程后，您将能够：描述TCP/IP的工作原理描述常见协议的工作原理描述常见协议可能存在的安全威胁TCP/IP架构常见网络协议介绍典型园区网络架构核心层汇聚层接入层出口区OSI模型的提出OSI模型提出的目的OSI模型设计原则OSI模型的优点OSI七层模型应用层表示层会话层传输层网络层数据链路层物理层1234567提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供

2、介质访问、链路管理等比特流传输APDUPPDUSPDUSegmentPacketFrameBit上三层下四层对等层通讯每一层利用下一层提供的服务与对等层通信。Host AHost BAPDUPPDUSPDUSegmentPacketFrameBit应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层TCP/IP和OSI的对应关系TCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。OSITCP/IP物理层数据链路层网络层传输层会话层表示层应用层网络接口层网络层传输层应用层TCP/IP协议栈各层作用提供应用程序网络接口建立端到端连接寻址和

3、路由选择物理介质访问HTTP, Telnet, FTP,TFTP, DNS网络接口层网络层传输层应用层Ethernet, 802.3, PPP, HDLC, FRTCP/UDPIPICMP, IGMPARP, RARPTCP/IP协议栈封装解封装过程用户数据APPTCPIPEth1010101101010100101010001110封装过程解封装过程发送方接收方IP用户数据用户数据用户数据APPAPPAPPTCPTCP网络接口层网络层传输层应用层网络接口层网络层传输层应用层五元组SNMPFTPHTTPTelnetSMTPDNSTFTPTCPUDPIP 数 据 包五元组8020/2123255

4、369161源IP地址目的IP地址协议源端口+目的端口TCP/IP架构常见TCP/IP协议介绍网络层协议传输层协议应用层协议常见网络层协议ICMPOSPF/RIPNMSNetstreamARPSNMPPC 1PC 1ARP简介主机A发送一个数据包给主机C之前，首先要获取主机C的MAC地址。/2400-01-02-03-04-AA/2400-01-02-03-04-CC/2400-01-02-03-04-BBARP请求主机 A/2400-01-02-03-04-BB主机 C主机 B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC ：00-01-02-03-

5、04-AA 目的MAC : FF-FF-FF-FF-FF-FFARP目的IP : 源IP : 目的MAC : 00-00-00-00-00-00 源MAC : 00-01-02-03-04-AA操作类型 : RequestETH_IIFCSARP响应 (1)主机 A/2400-01-02-03-04-BB主机 C主机 B/2400-01-02-03-04-CC/2400-01-02-03-04-AAHost Carp -aInternet address Physical address Type 00-01-02-03-04-AA DynamicARP响应 (2)主机 A/2400-01-0

6、2-03-04-BB主机 C主机 B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC ：00-01-02-03-04-CC 目的IP : 源IP : 目的MAC : 00-01-02-03-04-AA 源MAC : 00-01-02-03-04-CC操作类型 : Reply目的MAC ：00-01-02-03-04-AA ARPETH_IIFCS免费ARP免费ARP可以用来探测IP地址是否冲突。主机 A/2400-01-02-03-04-AA目的IP : 源IP : 目的MAC : 00-00-00-00-00-00源MAC : 00-01-02-03-

7、04-AA源MAC ：00-01-02-03-04-AA 目的MAC ：FF-FF-FF-FF-FF-FFARPETH_IIFCSICMP简介ICMP用来传递差错、控制、查询等信息。MessageReturn Message主机 AICMP应用 - Ping (1)Router ARouter B/24/24ping ?STRING IP address or hostname of a remote system-a Select source IP address, the default is the IP address of the output interface-c Specif

8、y the number of echo requests to be sent, the default is 5-d Specify the SO_DEBUG option on the socket being used-f Set Dont Fragment flag in packet (IPv4-only)-h Specify TTL value for echo requests to be sent, the default is 255-i Select the interface sending packetsICMP应用 - Ping (2)Router Aping PI

9、NG : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=340 ms Reply from : bytes=56 Sequence=2 ttl=255 time=10 ms Reply from : bytes=56 Sequence=3 ttl=255 time=30 ms Reply from : bytes=56 Sequence=4 ttl=255 time=30 ms Reply from : bytes=56 Sequence=5 ttl=255 time=30

10、ms - ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 10/88/340 msICMP应用 - Tracert (1)主机A主机BRouter ARouter CRouter B/242/24/24tracert ?STRING IP address or hostname of a remote system-a Set source IP address, the default is the IP address of t

11、he output interface-f First time to live, the default is 1-m Max time to live, the default is 30-name Display the host name of the router on each hop-p Destination UDP port number, the default is 33434-q Number of probe packet, the default is 3-s Specify the length of the packets to be sent. The def

12、ault length is 12 bytesICMP应用 - Tracert (2)Tracert显示数据包在网络传输过程中所经过的每一跳。tracert Tracert to (), max hops:30, packet length:40, press CTRL_C to break 1 130 ms 50 ms 40 ms 2 80 ms 60 ms 80 ms 3 80 ms 60 ms 70 ms 主机A主机BRouter ARouter CRouter B/242/24/24路由协议综述路由是数据通信网络中最基本的要素。路由信息就是指导报文发送的路径信息，路由的过程就是报文转发

13、的过程。路由协议PC 1PC 2OSPF简介无环路收敛快扩展性好支持认证Site BSite ASite COSPFRTBRTARTCOSPFOSPFSNMP简介SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。NMSSNMPSNMP架构SNMP包括NMS，Agent和MIB等。Agent是被管理设备中的一个代理进程。MIB是一个数据库，它包含了被管理设备所维护的变量。AgentMIBSNMPExecuteNotify被管理设备NMS企业网络运维掌握所有分支的流量趋势，主动发现需要扩容的设备和分支。分析分支增加流量的应用分布，找出扩容价值点。 整理分支流量变化，合理分配现有网络资源

14、。IT工程师：分支一 的*设备端口带宽使用饱和，需要购置新设备进行网络扩容。主管：又要扩容？ 是网络优化不彻底，还是确实业务应用发展快？IT工程师：我这里有各分支详细的网络应用发展报告.总部分支一分支二NTA概念及功能基本概念eSight NTA即网流分析系统（Network Traffic Analyzer）是纯软件解决方案，无需硬件探针，不会额外增加用户投资；通过NetFlow、NetStream、sFlow协议，对常见的IP报文进行采集和分析，提供贴近客户的分析报表，能实时准确的监控全网流量，是企业运维管理的一大利器。功能简介eSight NTA提供了一种便捷的网络监控、分析的方法，利用

15、支持NetFlow/NetStream/sFlow等技术的网络设备提供的IP网络流量信息，深入分析全网流量，提供及时的流量分析报告，通过丰富的图表来展示流量分析结果，帮助用户全面了解全网流量，第一时间发现网络异常流量，了解整个网络中的流量分布。NetStream简介NetStream是华为技术有限公司的专利技术，是一种网络流信息的统计与发布技术。NDE把获得的统计信息定期向NSC发送，由NSC进行进一步的处理，然后交给后续的NDA进行数据分析，分析的结果为网络计费与规划提供依据。NDENDENSCNSCNDANetstream流TCP/IP架构常见网络协议介绍网络层协议传输层协议应用层协议常用

16、网络设备介绍建立TCP连接三次握手ClientServerSYN (seq=a)SYN,ACK (seq=b, ack=a+1)ACK (seq=a+1, ack=b+1)断开TCP连接四次挥手ClientServerFIN (seq=a)ACK (seq=b, ack=a+1)ACK (seq=a+1, ack=c+1)FIN,ACK (seq=c, ack=a+1)TCP/IP架构常见网络协议介绍网络层协议传输层协议应用层协议常用网络设备介绍常见应用层协议SIP 服务器WEB 服务器Mail 服务器FTP 服务器DNS 服务器PCFTP原理FTP 提供了一种在服务器和客户机之间上传和下载文

17、件的有效方式。使用FTP传输数据时，需要在服务器和客户机之间建立控制连接和数据连接。用户用户接口控制进程数据传输进程文件系统控制进程数据传输进程文件系统客户端服务器控制连接数据连接FTP传输模式 (1)FTP连接的建立分为主动模式和被动模式，两者的区别在于数据连接是由服务器发起还是由客户端发起。缺省情况下采用主动模式，用户可以通过命令切换。 主动模式下FTP连接建立：临时端口临时端口端口21端口20控制连接数据连接FTP ClientFTP ServerFTP传输模式 (2)被动模式FTP连接建立:临时端口临时端口端口21临时端口控制连接数据连接FTP ClientFTP ServerHTTP

18、/HTTPS - Web应用基本组成部分Web基于客户端（Client）服务器（Server）架构实现，包含三个部分：使用HTML（HyperText Mark-up Language）描述文件使用URL（Uniform Resource Locator）指定文件的所在透过HTTP（HyperText Transfer Protocol）协议与服务器沟通服务器（Server）客户端（Client）访问URL：www.HHTTP/HTTPSHTML文件URL指定服务器文件对客户端显示HTTP工作原理HTTP（Hypertext Transfer Protocol）是一种无状态的协议，基于简单的请

19、求 - 响应模式（requests/responses）。HTTP有两类报文：请求报文从客户端向服务器发送请求报文。响应报文从服务器到客户端的回答。您好！请问有什么事么？我需要XXX文件！GET /http:/class/xxxx HTTP/1.1请问你有通关密语吗？有，&%（#OK，这就是你要的文件！HTTP/1.1 200 OKDNS工作原理域名解析要由专门的域名解析系统（Domain Name System，简称DNS）来完成。在DNS系统中，涉及以下几种类型的服务器：根服务器顶级域名服务器递归服务器缓存服务器客户端缓存服务器我想访问的IP地址是Z.Z.Z.Z这个，我也不清楚，得问问明白

20、人根服务器顶级域名服务器递归服务器对应的IP地址是什么.com的域名服务器IP地址是X.X.X.X对应的IP地址是什么.的域名服务器IP地址是Y.Y.Y.Y对应的IP地址是什么的IP地址是Z.Z.Z.ZIP:X.X.X.XIP:Y.Y.Y.Y客户端缓存服务器我又要访问的IP地址是Z.Z.Z.Z这次我记得第一次访问第二次访问SMTP/POP3/IMAP - 邮件收发机制SMTP定义了计算机如何将邮件发送到SMTP Server，SMTP Server之间如何中转邮件。POP3（Post Office Protocol 3，邮局协议版本3）和IMAP（Internet Mail Access Pr

21、otocol，交互式邮件存取协议）规定计算机如何通过客户端软件管理、下载邮件服务器上的电子邮件。基于该种方式，网络管理员需要在邮件服务器上部署SMTP服务、POP3服务（或IMAP服务）；终端用户需要在PC上安装邮件客户端软件（例如MicroSoft OutLook、FoxMail等邮件管理软件）。以下哪个不属于TCP/IP协议簇？（ ）数据链路层传输层会话层应用层以下哪个报文是TCP三次握手的首包？（ ）SYN+ACKSYNACKFINTCP/IP架构常见网络协议介绍常见网络设备网络设备是网络的基础构成，我们在规划和组建网络时，往往需要部署网络设备，并且需要在网络设备上进行相关配置已连通网络

22、或达到满足网络安全需求的目的。学完本课程后，您将能够：描述华为常见网络基础设备描述网络设备的功能登录网络设备并对网络设备进行基础配置网络基础设备设备初始登录园区网络安全部署场景出差员工分支/合作伙伴病毒DMZ区办公区办公区数据中心NIPvNGFWAnti-DDoSATIC交换机交换机工作在数据链路层，转发数据帧。SWA主机A主机C主机BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交换机的转发行为泛洪（Flooding）转发（Forwar

23、ding）丢弃（Discarding）交换机初始状态初始状态下，交换机MAC地址表为空。MAC地址表MAC接口SWA主机A主机C主机BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3学习MAC地址交换机将收到的数据帧的源MAC地址和对应接口记录到MAC地址表中。MAC接口00-01-02-03-04-AAG0/0/1MAC地址表SWA主机A主机C主机BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-

24、02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARPDec.MacSrc.MacMAC接口00-01-02-03-04-AAG0/0/1转发数据帧当数据帧的目的MAC地址不在MAC表中，或者目的MAC地址为广播地址时，交换机会泛洪该帧。Dec.MacMAC地址表SWA主机A主机C主机BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/300-01-02-03-04-AAFF-F

25、F-FF-FF-FF-FFARPSrc.Mac目标主机回复交换机根据MAC地址表将目标主机的回复信息单播转发给源主机。MAC接口00-01-02-03-04-AAG0/0/100-01-02-03-04-CCG0/0/3Dec.MacSrc.MacMAC地址表SWA主机A主机C主机BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARP00-01-02-03-04-AA00-01-02-03-04-CC路由器功能：在不同的网络之间转发数据包

26、。网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层Router ARouter BRouter C应用层传输层网络层数据链路层物理层Host AHost B应用层传输层网络层数据链路层物理层Router CRouter BRouter A路由选路路由器负责为数据包选择一条最优路径，并进行转发。RTARTBRTCRTD防火墙防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。防火墙与交换机、路由器对比路由器与交换机的本质是转发，防火墙的本质是控制。交换机汇聚组建局域网二/三层快速转发报文防火墙控制报文转发防攻击病毒木马路由器寻址和转发保证网络互联互通防

27、火墙的发展历史198919941995200420052009访问控制代理技术会话机制专用设备多功能叠加DPI技术基于用户+应用+内容进行管控包过滤应用代理状态检测UTM下一代防火墙NGFW防火墙安全区域安全区域（Security Zone），或者简称为区域（Zone）。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。DMZ区域Trust区域Untrust区域防火墙安全区域与接口关系安全区域与接口关系防火墙是否存在两个具有完全相同安全级别的安全区域？ 防火墙是否允许同一物理接口分属于两个不同的安全区域？防火墙的不同接口是否可以属于同一个安全区域？G0/0/2DMZ区域G

28、0/0/3Untrust区域 G0/0/0Trust区域G0/0/1Trust区域网络基础设备设备初始登录基础业务配置基础系统设置VRP简介VRP: Versatile Routing Platform，通用路由平台。网络操作系统支撑多种设备的软件平台提供TCP/IP 路由服务命令行简介系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。 -用户视图system-viewNGFW -系统视图NGFWinterface GigabitEthernet 0/0/1NGFWGigabitEthernet0/0/1quit -

29、接口视图NGFWospf 1 NGFW-ospf-1 -协议视图命令行帮助 - 完全帮助应用完全帮助，系统可以协助您在输入命令行时，给予全部关键字或参数的提示。在任一命令视图下，键入“?”获取该命令视图下所有的命令及其简单描述。键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。?User view commands: anti-ddos Defend against DDoS attacks arp Specify ARP configuration informationdisplay firewall ? blacklist Indicate the b

30、lacklist command group dataplane Indicate dataplane to manageplane defend Indicate attack defense命令行帮助 - 部分帮助应用部分帮助，系统可以协助您在输入命令行时，给予以该字符串开头的所有关键字或参数的提示。键入一字符串，其后紧接“?”，列出以该字符串开头的所有关键字。键入一命令，后接一字符串紧接“?”，列出命令以该字符串开头的所有关键字。d? debugging delete dir display download display b? backup-configuration bfd bgp

31、 bridge buffer bulk-stat命令行帮助 - Tab键如果与不完整的关键字匹配的关键字唯一。如果不匹配或者匹配的关键字不唯一。 NGFWinfo- NGFWinfo-center NGFWinfo-center lNGFWinfo-center loNGFWinfo-center loghostNGFWinfo-center localNGFWinfo-center logbufferNGFWinfo-center logfile配置接口选择“网络 接口”，选择对应接口的编辑。配置接口IP地址，切换接口模式。通过切换接口模式。路由：三层接口交换：二层接口：配置IP地址，子网掩

32、码加入安全区域配置路由选择“网络 路由 静态路由”，单击“新建” 。12设备登录管理综述设备登录管理 Console登录telnet登录SSH登录Web登录通过Console口登录设备 (1)查看本机端口参数通过Console口登录设备 (2)设置连接端口和通信参数参数取值每秒位数（波特率）9600数据位8奇偶校验无停止位1数据流控制（流量控制）无Web登录 - 功能简介设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。 在PC

33、的浏览器中访问，进入Web界面的登录页面。缺省用户名为admin，密码为Admin123.Web登录 - 配置管理 (1)如果需要从业务口通过web方式登录设备，则需要在设备上配置web方式登录的功能。并启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。12Web登录 - 配置管理 (2)配置Web管理员。123Web登录 - 配置管理 (3)配置登录接口。123Telnet登录 - 配置管理 (1)NGFW缺省不允许通过telnet登录，需要配置telnet服务，需要先通过其他方式登录到设备上进行telnet服务配置。启用telnet服务。12Telnet登录 - 配置管理 (2)配置Telnet管理员。123Telnet登录 - 配置管理 (3)配置登录接口。SSH登录 - 配置管理 (1)SSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。配置USG接口SSH设备管理，管理员根据实际的需要打开。配置命令：启用STelnet服务配置USG接口允许SSH管理配置RSA本地密钥对配置VTY用户界面NGFWstelnet