网络安全Chapter04.pptVIP

第四章 通信网路安全体系结构（一） 内容概要 物理网络风险及安全 局域网LAN的安全 无线网络安全 数据链路层风险及安全 PPP和SLIP的风险 MAC和ARP的风险 网络层风险和安全 IP风险和安全可选方案 匿名 1.物理网络风险及安全 物理网络风险 物理网的攻击集中在物理网部件，攻击包括窃听、回答（重放）、插入和拒绝服务 1.窃听（eavesdropping） 物理连接器允许直接访问网络介质，攻击者通过网络开放的分接头、可访问的分接头或物理访问介质来窃听通过物理介质的数据。 方法： 断开合法结点，插入敌意结点 敌意结点直接连接到分线器，交换机、hub等 切断电缆，插入连接器 侦听监控器、计算机芯片或网络电缆的Rf辐射 1.物理网络风险及安全 物理网络风险 物理网的攻击集中在物理网部件，攻击包括窃听、回答（重放）、插入和拒绝服务 2.回答 网络连接器允许发送，也可以接收，攻击者能主动发送数据到网上 回答攻击是基于记录网上接受的信号，并给网络返回。 恶意的欺诈性的重复或拖延正常的数据传输 假设Alice向Bob认证自己。Bob要求她提供密码作为身份信息。同时，Eve窃听了两人的通讯，并记录了密码。在Alice和Bob完成通讯后，Eve联系Bob，假装自己为Alice，当Bob要求密码时，Eve将Alice的密码发出，Bob认可和自己通讯的人是Alice。 3.插入 类似回答攻击，插入攻击是发送新的数据，这种攻击通常访问目标系统的网络高层 4.拒绝服务 主要指线路、电源的有意的或无意的破坏，以及对无线网络的干扰 1.物理网络风险及安全 物理层安全 物理层提供对物理链路的访问，以及对通过物理介质传输的数据的编码和解码，没有通用的物理层协议直接提供安全，身份鉴别、授权、验证是由数据链路层、网络层或会话层来管理 对物理攻击源的识别能力取决于网络介质、配置和规模。 2.局域网LAN的安全 攻击类型 1.破坏（disruption） 对网络网络连接的破坏包括中断电源和切断电缆 缓解方法：被指备用电源和限制访问核心网络设备 2.干扰（interference） 非授权信号进入传输介质，造成网络设备无法区别数据和噪声。 解决办法：屏蔽介质、采用数据编码技术 3.故意攻击（intentional attacks） 窃听、回答和插入 解决办法：通过网络配置，如防火墙，DMZ专区 2.局域网LAN的安全 防御方法 1.防火墙 防火墙是在网段之间过滤网络通信的系统以及能保护特定的网络的协议 防火墙基本上是和协议底层相联系的，包括物理层、数据链路层、网络层和传输层，缓解方法的选择是基于防火墙能实现的网络通信过滤 防火墙至少将网络可信的LAN和不可信的WAN 软件防火墙：规则修改容易，效率低 硬件防火墙：规则固化，效率高 专门为家庭用户的防火墙：价格低廉，功能有限 2.局域网LAN的安全 防御方法 2.特权区（privileged zones） 单个防火墙在WAN和LAN之间生成壁垒，生成两个特权区 一个组织内部对不同的网段有不同可信度，因此需要网络分段，每一段定义为一个特权区 分段的拓扑可以是不同可信级别的分段串联起来，更为普遍的是采用DMZ、洋葱头拓扑和大蒜头拓扑 2.局域网LAN的安全 防御方法 2.特权区（privileged zones） DMZ LAN和WAN之间的一个隔离的网段 DMZ和LAN之间存在物理连接，但真正的连接依赖诸如路由器和网关这类网络设备在网络高层完成连接 DMZ对网络安全提供的3个关键好处：限制数据流、限制物理连接以及监控访问点 DMZ是非安全区和安全区之间的缓冲区 DMZ可以放一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛 对内网来说，DMZ增加了一道关卡 2.局域网LAN的安全 防御方法 2.特权区（privileged zones） DMZ 外部防火墙抵挡外部网络的攻击，并管理所有外部网络对DMZ的访问 内部防火墙管理DMZ对于内部网络的访问 DMZ访问控制策略 1.内网可以访问外网 2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ 5.DMZ不能访问内网 6.DMZ不能访问外网：此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。 2.局域网LAN的安全 防御方法 2.特权区（privileged zones） DMZ服务配置 1 .地址转换 DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。 2.DMZ安全规则制定 较特殊的