您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > 2015版-CISP0204网络安全_v30
网络安全培训机构名称培训讲师版本:3.0发布日期:2014-12-1生效日期:2015-1-1课程内容2网络安全知识体知识域网络架构安全知识子域网络架构安全基础网络架构安全设计网络协议安全无线局域网协议安全OSI七层模型及安全架构TCP/IP安全网络安全设备其他网络安全设备防火墙入侵检测系统知识域:网络协议安全知识子域:OSI七层模型及安全架构了解开放系统互联(OSI)模型的七层网络通信结构及通信过程,了解每一层的功能了解OSI安全架构的核心内容:基于8类安全机制提供5类安全服务3ISO/OSI七层模型结构4物理层网络层传输层会话层表示层应用层数据链路层应用层(高)数据流层7654321第一层:物理层作用定义物理链路的电气、机械、通信规程、功能要求等;•电压,数据速率,最大传输距离,物理连接器;•线缆,物理介质;将比特流转换成电压;典型物理层设备光纤、双绞线、中继器、集线器等;常见物理层标准(介质与速率)100BaseT,OC-3,OC-12,DS1,DS3,E1,E35数据链路层物理层网络层传输层会话层表示层应用层第二层:数据链路层作用物理寻址,网络拓扑,线路规章等错误检测和通告(但不纠错)将比特聚成帧进行传输流量控制(可选)寻址机制使用数据接收设备的硬件地址(物理地址)寻址(如MAC地址)典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI6数据链路层物理层网络层传输层会话层表示层应用层第二层:以太网协议标准(两个子层)LLC(LogicalLinkControl)IEEE802.2为上层提供统一接口;使上层独立于下层物理介质;提供流控、排序等服务;MAC(MediaAccessControl)IEEE802.3烧录到网卡ROM;48比特;唯一性;7LLCMAC物理层网络层传输层会话层表示层应用层第三层:网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址(如IP地址)网络层典型设备路由器三层交换机8数据链路层物理层网络层传输层会话层表示层应用层第四层:传输层作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口(如端口号)传输层协议TCPUDPSPX9数据链路层物理层网络层传输层会话层表示层应用层第五层:会话层作用不同应用程序的数据隔离会话建立,维持,终止同步服务会话控制(单向或双向)10数据链路层物理层网络层传输层会话层表示层应用层第六层:表示层作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG11数据链路层物理层网络层传输层会话层表示层应用层第七层:应用层作用应用接口网络访问流处理流控错误恢复应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS12数据链路层物理层网络层传输层会话层表示层应用层分层结构的优点降低复杂性促进标准化工作各层间相互独立,某一层的变化不会影响其他层协议开发模块化简化理解与学习13数据封装与分用数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递147.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层7.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层层间的逻辑通信每一层执行功能并将信息送往下一层每一层执行功能并将信息送往上一层发送信息的进程接收信息的进程数据流的物理传输OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务151234567物理层数据链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证鉴别服务访问控制服务数据保密性服务数据完整性服务抗抵赖服务OSI参考模型安全机制安全服务OSI安全体系结构定义的安全服务五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充(用于对抗通信流量分析,在加密时才是有效的)路由控制(可以指定路由选择说明,回避某些特定的链路或子网)公证16知识域:网络协议安全知识子域:TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点17OSI模型与TCP/IP协议的对应18物理层网络层传输层会话层表示层应用层数据链路层网络互联层传输层应用层网络接口层TCP/IP协议19应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层主要协议ARPRARP安全问题损坏:自然灾害、动物破坏、老化、误操作干扰:大功率电器/电源线路/电磁辐射电磁泄漏:传输线路电磁泄漏欺骗:ARP欺骗嗅探:常见二层协议是明文通信的(以太、arp等)拒绝服务:macflooding,arpflooding等20网络互联层21应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联层协议核心协议-IP协议IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠(unreliable)通信无连接(connectionless)通信22版本包头长度服务类型数据包长度标识标记偏移生存期协议类型包头校验和源IP地址目的IP地址可选项用户数据网络互联层安全问题拒绝服务:分片攻击(teardrop)/死亡之ping欺骗:IP源地址欺骗窃听:嗅探伪造:IP数据包伪造23传输层24应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层协议-TCP协议传输控制协议:提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量……2516源端口号16位目的端口号32位序号32位确认序号偏移量保留位UAPRSF16窗口指针16位校验和16位紧急指针数据传输层协议-UDP协议用户数据报协议:提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少,效率高……2616源端口号16位目的端口号16UDP报文长度16位校验和数据传输层安全问题拒绝服务:synflood/udpflood/Smurf欺骗:TCP会话劫持窃听:嗅探伪造:数据包伪造27应用层协议应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析:DNS电子邮件:SMTP/POP3文件传输:FTP网页浏览:HTTP……28应用层协议安全问题拒绝服务:超长URL链接欺骗:跨站脚本、钓鱼式攻击、cookie欺骗窃听:数据泄漏伪造:应用数据篡改暴力破解:应用认证口令暴力破解等……29基于TCP/IP协议簇的安全架构30网络用户SNMPE-MAILE-MAILPGPS/MIMEPEMSETIKESSHS-HTTPSFTPX.509DNS安全扩展TCPUDPSSLTLSIPIPSEC(AH)IPSEC(ESP)设备驱动与接入协议PPTPL2TPPPPL2F物理介质(物理安全防护)应用层应用层传输层传输层网络层网络层链路层链路层下一代互联网协议-IPv6IPv6安全特性地址数量大量增加(32-128)报文头部格式简化,路由表简化、处理速度快内置安全特性(IPSec)移动性支持QoS和性能良好扩展性……31知识域:网络协议安全知识子域:无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议32无线局域网网络结构无线局域网构成(802.11x)客户端(station,STA)无线接入点(accessPoint,AP)分布系统(distributionsystem,DS)33分布系统STASTAAPAP无线局域网安全问题安全问题传输信道开放,容易接入认证机制(802.11i之前)开放式认证系统•通过易于伪造的SSID识别,无保护、任意接入•MAC、IP地址控制易于伪造共享密钥认证(使用WEP进行保护)•手动管理密钥存在重大隐患•弱密钥问题•不能防篡改•WEP没有提供抵抗重放攻击的对策34案例:中间人攻击注:建议讲师此处给学员做演示或案例讲解,中间人攻击35无线局域网安全协议802.11iWPA(802.11i草案)WPA2(802.11i正式)802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传输阶段36发现AP阶段802.1x认证阶段密钥管理阶段安全传输阶段SupplicantAuthenticatorAuthenticationServer(AS)WAPI无线安全协议WAPI的构成WAI,用于用户身份鉴别WPI,用于保护传输安全WAPI的安全优势双向三鉴别(服务器、AP、STA)高强度鉴别加密算法37STAAPAS鉴别激活接入鉴别请求证书鉴别请求接入鉴别响应密钥协商请求密钥协商响应组播密钥通告组播密钥响应证书鉴别密钥协商数据通信知识域:网络安全设备知识子域:防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性38控制在网络连接点上建立一个安全控制点,对进出数据进行限制隔离将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护记录对进出数据进行检查,记录相关信息防火墙的作用与功能39安全网域一防火墙的分类按防火墙形态硬件防火墙软件防火墙按技术实现包过滤(透明模式)代理按体系结构分双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙其他分类方法40防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术41防火墙的实现技术-包过滤实现机制:依据数据包的基本标记来控制数据包网络层地址:IP地址(源地址及目的地址)传输层地址:端口(源端口及目的端口)协议:协议类型42安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析,规则简单,处理速度较快易于配置对用户透明,用户访问时不需要提供额外的密码或使用特殊的命令缺点:检查和过滤器只在网络层,不能识别应用层协议或维持连接状态安全性薄弱,不能防止IP欺骗等43防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换,加强了控制分类电路级代理应用代理44防火墙的实现技术-电路级代理建立回路,对数据包进行转发优点能提供NAT,为内部地址管理提供灵活性,隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据,不能识别数据包的内容45防火墙的实现技术-应用代理工作在应用层使用代理技术,对应用层数据包进行检查对应用或内容进行过滤,例如:禁止FTP的“put”命令46防火墙的实现技术-应用代理优点可以检查应用层内容,根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳47防火墙的实现技术-NAT什么是NAT一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题48防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换49
本文标题:2015版-CISP0204网络安全_v30
链接地址:https://www.777doc.com/doc-2955934 .html