第2章 低层协议及安全性.ppt

消除欺骗性DNS记录的有效办法是对这些记录进行数字签名。采用DNSsec的机制，可以有效地防止这种欺骗。但目前此协议还存在很多问题，这些问题延缓了DNSsec的推广。 不要把秘密的信息放在主机名中。攻击者可以从主机名中找出有用的信息。 强烈建议那些暴露的主机不要采用基于名称的认证。基于地址的认证虽然脆弱，但要优于前者。 对DNS的防护措施 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 版本 IHL 业务类别 总长度 标识 标记 段偏移 生存时间 协议 报头校验 32bit源地址 32bit目的地址 选项和填充 IPv6简介 0 4 8 16 24 32 0 4 8 16 24 32 IPv4头部介绍 IPv6头部介绍 版本号 业务流类别 流标签 净荷长度 下一头部 跳数限制 128bit源地址 128bit目的地址 IPv6与IPv4一样，它通过IPSec协议来保证IP层的安全，但是两者之间有差别：IPSec是IPv6的一个组成部分，而对IPv4来说是可选的。因此，本质上IPv6并不能比IPv4更安全。要保证IPv6网络的安全性，仍然需要传统的安全设备，如防火墙、IDS等。 目前，IPv6在全球还没有得到广泛应用，所以人们开发了许多协议，以实现从IPv4到IPv6的过渡。如果想让IPv6数据通过防火墙，防火墙就必须支持IPv6。若防火墙不支持IPv6，就要开通IPv6隧道，这些隧道终止于防火墙的外部。 过滤IPv6——IPv6协议的安全性 6to4协议 采用41号端口。在各种BSD操作系统中都有6to4协议的代码。 6over4协议 与6to4协议类似，在IPv4数据包中封装了IPv6的数据流。 Teredo协议 该协议使用3544号UDP端口，并且允许隧道穿过NAT盒。 基于 电路 中继 在发送路由器上，基于路由器的中继代理将每个IPv6的TCP连接映射到IPv4的TCP连接上；在接收路由器上，这个过程恰恰相反，即接收器会将IPv4的TCP连接映射到IPv6的TCP连接上。 目前，许多防火墙不能实现对IPv6的过滤。 过滤IPv6——开凿IPv6隧道的方法 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 网络地址转换 NAT的主要作用是解决当前IPv4地址空间缺乏的问题。 从概念上讲，NAT非常简单：它们监听使用了所谓专用地址空间的内部接口，并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用了ISP为外部接口分配的Internet静态IP地址。对于返回的数据包，它们执行相反的操作。 NAT存在的价值在于IPv4的短缺。协议的复杂性使NAT变得很不可靠。在这种情况下，我们在网络中必须使用真正意义的防火墙，并希望IPv6的应用尽快得到普及。 NAT的安全性 NAT盒可以把数据路由到特定的静态主机和端口，但它们并不能处理任意的应用协议。商用的NAT产品确实能处理一些常用的高层协议，但是NAT盒并不支持一些不常见的应用程序或新的协议。此时，就会产生问题。 有人把NAT盒看作是某种形式的防火墙。在某种意义上，它是一种非常低级的防火墙。最多我们把它看成是某种形式的包过滤器，但它缺少专业防火墙所具有的应用级过滤。 谢谢！ 标题一，做动画 标题一，做动画 * * * * 标题一，做动画 * * * * 标题一，做动画 标题一，做动画 * * 网络安全—技术与实践（第2版） 刘建伟 王育民 编著 清华大学出版社 普通高等教育“十一五”国家级规划教材 教育部2011年精品教材 课件制作人声明 本课件总共有17个文件，版权属于刘建伟所有，仅供选用此教材的教师和学生参考。 本课件严禁其他人员自行出版销售，或未经作者允许用作其他社会上的培训课程。 对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。 课件制作人：刘建伟 2012年2月10日 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 网际协议—IP TCP/IP “传输控制协议/网际协议”的简称。 Internet上的计算机使用的是TCP/IP协议。 每个IP数据包包含有源地址和目的地址； 包含一些比特位选项、头检验和数据净荷； 典型的IP数据包长度有几百个字节，最长可达160,000字节； 它可通过以太网/串行线/Sonet/分组无线电/ATM /Frame Relay等链路进行传输； 在IP级上，不存在虚拟电路或“电话呼叫”的概念；