信息安全工程及管理CISP认证培训教程—2—网络安全.ppt

信息安全技术网络安全 中国信息安全产品测评认证中心（CNITSEC） CISP-2-网络安全（培训样稿） 今天的主题 网络基础 网络中面临的威胁 针对网络设备的攻击 拒绝服务（DoS）攻击 欺骗攻击 网络嗅探 网络设备安全 拒绝服务攻击（DoS）的防御策略 IPSec与VPN技术 INTERNET的美妙之处 在于你和每个人都能互相连接 INTERNET的可怕之处 在于每个人都能和你互相连接 网络基础 OSI参考模型 ISO／OSI网络体系结构 网络体系结构分层的目的 OSI参考模型的层次划分 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 OSI层次划分原则 应该把层次分成理论上需要的不同等级，减少过多的层次； 每一层都应该较好地履行其特定的功能； 每一层的功能选定都基于已有成功经验的国际标准协议； 每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方； 把类似的功能集中在同一层内，使之易于局部化； 当在数据处理过程中需要不同级别抽象时，则设立一个层次； 一个层次内的功能或协议更改时不影响其它各层； 只为每一层建立与其相邻的上一层和下一层的接口； 在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。 TCP/IP协议层次模型 TCP/IP协议分层并不完全对应OSI模型 应用层 Telnet FTP DNS SMTP 传输层 TCP UDP 网络层 IP ICMP ARP RARP 网络接口层 X.25 Ethernet 常见黑客攻击方式 应用层：应用程序和操作系统的攻击与破坏 网络层：拒绝服务攻击和数据窃听风险 传输层：拒绝服务攻击 硬件设备与数据链路：物理窃听与破坏 Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策 网络安全的物理范围 网络安全的语义范围 保密性 完整性 可用性 可控性 安全的级别 局域网的特性 局域网典型特性 高数据传输率 短距离 低误码率 常用的局域网介质访问控制技术 载波监听多路访问/冲突检测(CSMA/CD)技术 令牌控制技术 令牌总线控制技术 光纤分布数据接口(FDDI)技术 局域网安全管理 良好的网络拓扑规划 对网络设备进行基本安全配置 合理的划分VLAN 分离广播域 绑定IP地址与Mac地址 配置防火墙和IDS设备 使用内容监控与病毒过滤 良好的网络规划 网络安全规划原则 合理的分配地址 合理的网络拓扑结构 通过VLAN分隔网络 通过域或工作组确定用户权限 建立良好的网络安全制度 网络设备安全配置 关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备硬件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型 广域网的概念和特性 广域网是覆盖地理范围相对较广的数据通信网络。 网络的规模和分类： 局域网(LAN，local area network)可覆盖一个建筑物或一所学校; 城域网(MAN，metropolitan area network)可覆盖一座城市; (WAN，wide area network)可覆盖多座城市、多个国家或洲。 广域网的构成和种类 广域网的参考模型 广域网的构成 广域网的种类 X.25 帧中继 ATM 广域网安全管理 良好的网络拓扑规划 对网络设备进行基本安全配置 确保路由协议安全 使用ACL进行数据过滤 使用AAA加强访问控制和认证 网络中面临的威胁 交换机-Vlan穿越 原因 由于802.1q帧标记插在帧的目的、源MAC地址之后，交换机的端口收到特殊构造的带有802.1q标记的帧后可以正确识别 如果交换机不知道目的MAC，就将帧转发到同一VLAN的所有端口 在CISCO交换机上，端口缺省的VLAN为1，即使设为trunk模式也不会改变 成功攻击的条件 源与目的主机接在不同的交换机上，交换机之间必须通过trunk link连接 源主机必须与trunk端口位于同一vlan 源主机必须知道目的主机的MAC地址 目的主机能够通过三层设备访问源主机 交换机-Vlan穿越 对策 将所有user-end端口都从vlan1中排除 将trunk接口划分到一个单独的vlan中，该vlan中不应包含任何user-end接口 交换机-针对CDP攻击 说明 Cisco专用协议，用来发现周边相邻的网络