CISP0204协议及网络架构安全详解.ppt

服务集标识符 物理地址过滤 有线对等加密 Wi-Fi保护接入 国家标准WAPI 端口访问控制技术 虚拟专用网络 * 无线局域网安全配置 基本的过滤路由器 经典的双路由器划分DMZ 状态防火墙DMZ设计 现代三接口防火墙设计 多防火墙设计 * 网络安全设备部署-防火墙的部署 结构简单的防火墙部署方式，适用于无对外提供服务的简单网络，通常由路由器实现 依靠基本ACL进行安全防护，需要设置大量端口策略，过严格策略影响应用，简单策略容易被欺骗及穿透 内部网络 基本的ACL 外部网络 * 防火墙部署-基本过滤路由 早期的防火墙部署方式，公共服务器与内部网络的其余部分分开实现双层过滤，根据需要设置不同的安全访问策略 较基本过滤路由方式安全性得到较大提高，使用ACL进行控制仍然无法彻底保证安全 内部网络 详细的ACL 公共服务器 基本的ACL 外部网络 * 防火墙部署-双路由过滤 所有流量都经过防火墙进行，由防火墙根据策略进行控制 防火墙除ACL外，实现状态检测等功能，增强安全防护能力 多接口防火墙可将内部网络、公共服务器互相隔离，可设置更细致策略。 内部网络 公共服务器 状态过滤 基本的ACL 外部网络 * 防火墙部署-多接口防火墙 多接口防火墙的扩展，使用多防火墙实现精细化控制，适用安全域较多，控制策略复杂的情况 解决多接口防火墙策略过于复杂的问题，便于维护 访问量较大的情况下，提高效率 公共服务器 （信任） 内部网络 状态过滤 公共服务器 （半信任） 状态过滤 公共服务器（非信任） 基本ACL 外部网络 * 防火墙部署-多防火墙设计 * 总结 OSI七层模型 TCP/IP 协议及协议安全性 无线局域网安全 网络架构安全 谢谢，请提问题！ * * * * * * * * 1）传统有线网络（局域网）攻击者必须接触到物理设备才能实施攻击；而无线网络只要无线电信号能达到的地方，就能实施攻击； 2）WEP的安全漏洞：成熟的黑客软件5分钟破解、Walker自己也承认、…… * 2001 信产部成立中国宽带无线IP标准工作组,启动我国无线局域网标准起草工作 2003 5月12日信产部向国家标准化管理委员会报送两项无线局域网国际标准，其中包括了WAPI(WLAN Authentication and Privacy Infrastructure) 11月26日，国家质监总局与国家标准化管理委员会联合公告，宣布关于WAPI的两项标准为国家强制性实施标准，于2003年12月1日起开始执行。公告要求，即日起禁止进口、生产和销售不符合强制性国家标准的无线局域网产品。已经生产的产品。至2004年6月1日起全面禁止。 2004 4月国家质监总局与国家标准化管理委员会联合公告，无限期延迟WAPI标准强制实施 7月，中国向国际标准化组织ISO提交了WAPI提案,试图推进其成为国际标准 2005年 2005年11月，发改委等八部委连续召开WAPI部际联席会议，12月财政部等三部委联合 “关于印发无线局域网产品政府采购实施意见的通知” 　　 2006年 1月，国家质检总局颁布了无线局域网修改单，GB 15629.11-2003/XG1-2006及其扩展子项国家标准GB 15629.1101-2006、GB15629.1104-2006、GB/T 15629.1103-2006等三项补篇国家标准，形成了全面采用WAPI技术的WLAN 国家标准体系。 　　3月，国际标准化组织ISO的投票中，WAPI以悬殊的得票率负于美国标准802.11i. 　　6月，质检总局、国标委联合发布《关于发布无线局域网国家标准的公告》 2008年 4月，在ISO/IECJTC1/SC6日内瓦会议上，中国第二次启动WAPI提案。 7月，在包括ISO/IEC总部官员、中方代表、IEEE代表等参加的WAPI特别会议上,IEEE代表和美国代表改变原本坚决反对WAPI提案的立场,达成了WAPI可作为独立标准推进的共识 2009年 4月，中国工信部召集手机厂商开会，宣布今后国内所有2G和3G手机都可以使用WAPI技术 6月1日至5日召开的东京会议上,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。(其中美国代表杰西·沃克既是英特尔的安全架构师,也是802.11i标准的编辑者)，从而获得打破IEEE垄断的希望。 * * * WAPI是一个安全协议， 1）WAPI解决了目前无线局域网国际标准中存在的严重安全问题； 2）传统的网络认证方式，用户与网络的身份不对等，只有网络对用户合法性的鉴别，所以鉴别是单向的； 3）WAPI，是基于身份对等安全架构，用户也要验证网络的合法性，对合法性的鉴别是双向的； 4）WAPI成功解决了“合法用户接入