CISP0204网络安全_v30.pptxVIP

网络安全无线局域网协议安全入侵检测系统OSI七层模型及安全架构网络架构安全设计防火墙网络架构安全基础TCP/IP安全其他网络安全设备课程内容网络协议安全网络安全网络安全设备网络架构安全知识子域知识体知识域知识域：网络协议安全知识子域：OSI七层模型及安全架构了解开放系统互联（OSI）模型的七层网络通信结构及通信过程，了解每一层的功能了解OSI安全架构的核心内容：基于8类安全机制提供5类安全服务ISO/OSI七层模型结构7654321应用层应用层（高）表示层会话层传输层网络层数据流层数据链路层物理层第一层：物理层作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准（介质与速率）100BaseT, OC-3, OC-12, DS1, DS3, E1, E3应用层表示层会话层传输层网络层数据链路层物理层第二层：数据链路层作用物理寻址，网络拓扑，线路规章等错误检测和通告（但不纠错）将比特聚成帧进行传输流量控制（可选）寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP, HDLC, FR,Ethernet, Token Ring, FDDI应用层表示层会话层传输层网络层数据链路层物理层第二层：以太网协议标准（两个子层）应用层表示层会话层传输层网络层LLC MAC物理层LLC（Logical Link Control）IEEE 802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；MAC（Media Access Control）IEEE 802.3烧录到网卡ROM；48比特；唯一性；第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址（如IP地址）网络层典型设备路由器三层交换机应用层表示层会话层传输层网络层数据链路层物理层第四层：传输层作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口（如端口号）传输层协议TCP UDP SPX应用层表示层会话层传输层网络层数据链路层物理层第五层：会话层应用层表示层会话层传输层网络层数据链路层物理层作用不同应用程序的数据隔离会话建立，维持，终止同步服务会话控制（单向或双向）第六层：表示层作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII, MPEG, TIFF,GIF, JPEG应用层表示层会话层传输层网络层数据链路层物理层第七层：应用层作用应用接口网络访问流处理流控错误恢复应用层协议FTP, Telnet, HTTP, SNMP, SMTP, DNS应用层表示层会话层传输层网络层数据链路层物理层分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习数据封装与分用数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务OSI安全体系结构定义的安全服务五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充（用于对抗通信流量分析，在加密时才是有效的）路由控制（可以指定路由选择说明，回避某些特定的链路或子网）公证16知识域：网络协议安全知识子域：TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点OSI模型与TCP/IP协议的对应应用层应用层表示层会话层传输层传输层网络互联层网络层数据链路层网络接口层物理层TCP/IP协议应用协议应用协议应用协议应用协议应用层传输层TCPUDPICMPIPIGMP网络互联层ARP硬件接口RARP网络接口层网络接口层主要协议ARPRARP安全问题损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：mac flooding，arp flooding等网络互联层应用协议应用协议应用协议应用协议应用层传输层TCPUDPICMPIPIGMP网络互联层ARP硬件接口RARP网络接口层网络互联层协议核心协议-IP协议版本包头长度服务类型数据包长度标识标记偏移生存期协议类型包头校验和源IP地址目的IP地址可选项用户数据IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠（unreli