大纲课件v3.0-cispv无线局域网协议安全

机课程网络协议

无线局域网协议设 检测系其 设网络架构安

网络架构安全 2知识域：网络协议安了解开放系统互联OS）构及通信过程，了解每一层的功能 3ISO/OSI七层模型结应用应用 应用层（高543数据链路数据链路214第一应用应用表示定义物理链路的电气、机械、通信表示、功能要求等电压，数据速率，最大传输距物理线缆，物理介质将比特流转换成电网络网络光纤、双绞线、中继器、集线器数据链100BaseT,OC-3,OC-12,数据链物理物理5第二层：数据链路应用应用物理寻址，网络拓扑，线路规错误检测和通告（但不纠错将比特聚成帧进行流量控制（可选使用数据接收设备的硬件地址（物理址）寻址（如MAC地址数据链网卡、网桥和数据链PPP,HDLC,Ethernet,TokenRing,6第二层：以太网协议标准（两个子层应用LLC（LogicalLink应用IEEE为上层提供统一接使上层独立于下层物理介质提供流控、排序等MAC（MediaIEEE烧录到网卡48比特7第三应用应用路径选使用网络层地址进行寻址（IP地址数据链路数据链路三层交换8第四应用应用表示提供端到端的数据传输表示会话建立逻辑会话传输传输数据链数据链物理UDP物理9第五应用应用表示表示会话会话传输传输网网络物物理数据数据链第六应用应用协议转数据加密数据压缩数据链ASCII,MPEG,数据链物物理第七应用应用网 传输传输 net,HTTP,数据链数据链物物理分层结构的优数据封装与分从向低层逐层向逐层传

7往下7

6 66565432.

2.34572.34571数据流的物理传OSI

7654321鉴别服 抗抵赖服

网络

加数访数鉴加数访数鉴业路公密字问据别务由证签控完交流控名制整换填制性充OSI安全体系结构鉴别 知识域：网络协议安了解TCP/IP协议模型及各层典型协议的功理解基于TCP/IP的典型安全协了解IPv6的安全特OSI模型与TCP/IP应用网络互数据链路应用网络互数据链路网络接网络接TCP/IP协应用传输网络互联网络接口网络接口损坏：自 、动物破坏、老化、误操干扰：大功率电器/电源线路/电磁辐电磁泄漏：传输线路电磁泄：常见二层协议是明文通信的（以太、arp等服务：macflooding，arpflooding网络互联应用传输网络互联网络接口网络互联层协 协议-IP协 源IP地目的IP地网络互联层安全问 ：应用传输网络互联网络接口传输层协议-TCP协1616位目的32位序32位确认序UARS1616位校验16位紧急指传输层协议-UDP协无连接、不可1616位目的16UDP16位校数传输层安全问服务：synflood/udp：应用层协解析电子邮件文件传网页浏览应用层协议安全问 基于TCP/IP协议簇的安全架网络用户网络用户IPIP物理介质物理介质（物理安全防护EE-MAISNMPGS/MIMPESES-HTTIKSFTSSX.50DNSSSTLTCUDIPSEC（AHIPSEC（ESPPPTL2TPPL2下一代互联网协议-地址数量大量增加（32-报文头部格式简化，路由表简化、处理速度内置安全特性移动性支QoS和性良好扩展知识域：网络协议安了解无线局域网的基本组成与了解WEP、802.11i、WAPI等无线局域网安全协无线局域网网络结无线局域网构成（802.11x客户端无线接入点（access分布系统（distribution无线局域网安全问传输信道开放开放式认证系通过易 共享密钥认证（使用WEP进行保护•• 案例：中间无线局域网安全协（802.11i草案2(802.11i正式发现AP阶802.11i密钥管理阶安全传输阶

WAPI无线安全协WPI证输安 鉴 钥

鉴别接入鉴别响密钥协商响商法

组播密钥响数据通知识域 设理 的作用、功能及分 掌 的典型部署方理 的局限的作用与功 对进出数据进行检查，记录相关信的分 形硬软按技术滤（透明模式按体系结双宿/多宿主主子其他分类的实现网关状态检测自适 技的实现技术 网络层地址：IP地址（源地址及目的地址传输层地址：端口（源端口及目的端口协议：协议类的实现技术 优点只对数据IPTCP/UDP易于配 缺点安全性薄弱，不能防止 的实现技术 网 电路的实现技术-电路能提供NAT适用面的实现技术-应 的实现技术-应滤提供良好的安全支持的应用数量性能表现欠的实现技术-一种将私有（保留IPInternet增加私有组织的可用地址空解决现有私有网络接入的IP地址编号问的实现技术-动态地址转

NAT管理方便并且节约IP隐藏内部IP址信可用于实现网络外部应用程序却不能方便地与NAT应实现技术--状态 网络

网络状检测状动态状实现技术--状态状态检测技 适应性对用户、应用程序透实现技术-自适 技根据用户定义安全规则动态“适应”传输网络数服务可以从应用层转发，也可以从网络层转兼有高安全性和高效部署方的工作模式-路由

的工作模式-透明

路由 的工作

的典型

防护墙的策略 所有数据需要的给予开 对明 的设置策的策略

的策略

部署结可信网络与不可信网络之不同安全级别网络两个需 的区域之 （无DMZ）部署方 （DMZ）部署方 部署方 （无DMZ）部署方

（DMZ）部署方

的部署方

的不足和局限 控 知识域 设 理 检测系统的作用、功能及分了 检测系统的主要技术原掌 检测系统的典型部署方理 检测系统的局限检测系统的作用与功构 防御体系重要环克服传统防御机监测并分析用户和系统的活核查系统配置 检测系统的分 硬 检软 检网 检主 检集中分布检测的技术架 …）检测工当前系统/

系统系统日应用日网络数审计记其他分误用分误用检异常检历史行特定行为模其？告告警响数据检测技建 行为模型 特征假设可以识别和表示所有可能的特基于系统和基于用户的误设定“正常假设所有 行为是异常基于系统和基于用户的异误用算法简有所有 特征，建立完备的特征特征库要不断更无法检测异常可检测未自适应 习能“正常”行为特征的选统计算法、统计点的选

检测系 用 交换

NIDSNIDS路由检测系统

HIDS分析引擎HIDS检 检 检检 检检测系 知识域 设 了 防御系统（IPS）的原理与特了解安全管理平台（SOC）的主要功了解统 管理系统（UTM）的功能与特了解网络准入控制（C安 与信息交换系统（网闸外部处理单元、内部处理单元、仲裁断开 之间的会话（物 、协 同时集合了其他安全防护技 处 单 交换单

防御系统

安全管理平台狭义 集广义：IT资源集风险管系统管专业安全系统 管理系统

网络准入控

认证服Radius知识域：网络架构安理解网络架构安理解网络架构安全设计的主要工理 域划分应考虑的主要因理解IP地址规划方理解VLAN划分的作用与策理解路由交换设备安全配置常见的要理解网络边 控制策略的类理解网络冗余配置应考虑的因网络架构安

网络架构安全 区 安全域划安全域是遵守相同安全策略的用户和系统的集 IP地址规自顶向下的方为所设计的网络中的节点、网络设备分配合适的综合考虑网络层次规划、路由协议规划、流量规静态IP地址分