2015版-CISP0204网络安全_v30

网络安全培训机构名称培训讲师版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2网络安全知识体知识域网络架构安全知识子域网络架构安全基础网络架构安全设计网络协议安全无线局域网协议安全OSI七层模型及安全架构TCP/IP安全网络安全设备其他网络安全设备防火墙入侵检测系统知识域：网络协议安全知识子域：OSI七层模型及安全架构了解开放系统互联（OSI）模型的七层网络通信结构及通信过程，了解每一层的功能了解OSI安全架构的核心内容：基于8类安全机制提供5类安全服务3ISO/OSI七层模型结构4物理层网络层传输层会话层表示层应用层数据链路层应用层（高）数据流层7654321第一层：物理层作用定义物理链路的电气、机械、通信规程、功能要求等；•电压，数据速率，最大传输距离，物理连接器；•线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E35数据链路层物理层网络层传输层会话层表示层应用层第二层：数据链路层作用物理寻址，网络拓扑，线路规章等错误检测和通告（但不纠错）将比特聚成帧进行传输流量控制（可选）寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI6数据链路层物理层网络层传输层会话层表示层应用层第二层：以太网协议标准（两个子层）LLC（LogicalLinkControl）IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；MAC（MediaAccessControl）IEEE802.3烧录到网卡ROM；48比特；唯一性；7LLCMAC物理层网络层传输层会话层表示层应用层第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址（如IP地址）网络层典型设备路由器三层交换机8数据链路层物理层网络层传输层会话层表示层应用层第四层：传输层作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口（如端口号）传输层协议TCPUDPSPX9数据链路层物理层网络层传输层会话层表示层应用层第五层：会话层作用不同应用程序的数据隔离会话建立，维持，终止同步服务会话控制（单向或双向）10数据链路层物理层网络层传输层会话层表示层应用层第六层：表示层作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG11数据链路层物理层网络层传输层会话层表示层应用层第七层：应用层作用应用接口网络访问流处理流控错误恢复应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS12数据链路层物理层网络层传输层会话层表示层应用层分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习13数据封装与分用数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递147.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层7.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层层间的逻辑通信每一层执行功能并将信息送往下一层每一层执行功能并将信息送往上一层发送信息的进程接收信息的进程数据流的物理传输OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务151234567物理层数据链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证鉴别服务访问控制服务数据保密性服务数据完整性服务抗抵赖服务OSI参考模型安全机制安全服务OSI安全体系结构定义的安全服务五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充（用于对抗通信流量分析，在加密时才是有效的）路由控制（可以指定路由选择说明，回避某些特定的链路或子网）公证16知识域：网络协议安全知识子域：TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点17OSI模型与TCP/IP协议的对应18物理层网络层传输层会话层表示层应用层数据链路层网络互联层传输层应用层网络接口层TCP/IP协议19应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层主要协议ARPRARP安全问题损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等20网络互联层21应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联层协议核心协议-IP协议IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠（unreliable）通信无连接（connectionless）通信22版本包头长度服务类型数据包长度标识标记偏移生存期协议类型包头校验和源IP地址目的IP地址可选项用户数据网络互联层安全问题拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造23传输层24应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层协议-TCP协议传输控制协议：提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量……2516源端口号16位目的端口号32位序号32位确认序号偏移量保留位UAPRSF16窗口指针16位校验和16位紧急指针数据传输层协议-UDP协议用户数据报协议：提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少，效率高……2616源端口号16位目的端口号16UDP报文长度16位校验和数据传输层安全问题拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造27应用层协议应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……28应用层协议安全问题拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：数据泄漏伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……29基于TCP/IP协议簇的安全架构30网络用户SNMPE-MAILE-MAILPGPS/MIMEPEMSETIKESSHS-HTTPSFTPX.509DNS安全扩展TCPUDPSSLTLSIPIPSEC（AH）IPSEC（ESP）设备驱动与接入协议PPTPL2TPPPPL2F物理介质（物理安全防护）应用层应用层传输层传输层网络层网络层链路层链路层下一代互联网协议-IPv6IPv6安全特性地址数量大量增加（32-128）报文头部格式简化，路由表简化、处理速度快内置安全特性（IPSec）移动性支持QoS和性能良好扩展性……31知识域：网络协议安全知识子域：无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议32无线局域网网络结构无线局域网构成（802.11x）客户端（station，STA）无线接入点（accessPoint，AP）分布系统（distributionsystem，DS）33分布系统STASTAAPAP无线局域网安全问题安全问题传输信道开放，容易接入认证机制（802.11i之前）开放式认证系统•通过易于伪造的SSID识别，无保护、任意接入•MAC、IP地址控制易于伪造共享密钥认证（使用WEP进行保护）•手动管理密钥存在重大隐患•弱密钥问题•不能防篡改•WEP没有提供抵抗重放攻击的对策34案例：中间人攻击注：建议讲师此处给学员做演示或案例讲解，中间人攻击35无线局域网安全协议802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传输阶段36发现AP阶段802.1x认证阶段密钥管理阶段安全传输阶段SupplicantAuthenticatorAuthenticationServer（AS）WAPI无线安全协议WAPI的构成WAI，用于用户身份鉴别WPI，用于保护传输安全WAPI的安全优势双向三鉴别（服务器、AP、STA）高强度鉴别加密算法37STAAPAS鉴别激活接入鉴别请求证书鉴别请求接入鉴别响应密钥协商请求密钥协商响应组播密钥通告组播密钥响应证书鉴别密钥协商数据通信知识域：网络安全设备知识子域：防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性38控制在网络连接点上建立一个安全控制点，对进出数据进行限制隔离将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录对进出数据进行检查，记录相关信息防火墙的作用与功能39安全网域一防火墙的分类按防火墙形态硬件防火墙软件防火墙按技术实现包过滤（透明模式）代理按体系结构分双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙其他分类方法40防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术41防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型42安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等43防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理44防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容45防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令46防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳47防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题48防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换49