网络对抗6安全体系结构和网络安全组建.pptxVIP

安全漏洞可能由以下因素引起：网络物理连接网络电磁耦合网络设备的操作系统网络设备的应用程序网络中的数据库网络用户行为安全体系结构和模型6-网络物理连接与外界连通就有合法者进来，要避免非法者进来网络电磁耦合没有物理连通，但通过电磁辐射可以接收，通过电磁干扰和耦合可以注入网络设备的操作系统有合法者使用，要避免非法者偷用网络设备的应用程序有合法者使用，要避免非法者偷用网络中的数据库有合法读写，要避免组合分析和非法读写网络用户行为安全体系结构和模型6-内联：全内部域内部域内部专用内部域专线DDN帧中继……相对比较安全内联：通过外部域外部租用内部域专线DDN帧中继……相对不安全外联：内部网与外部网互连外部域外部域内部域HackCrack黑客相对更不安全漏洞是不可避免的要“上锁”，提前消除漏洞要“检查”，及时发现漏洞要“监视”，及时发现入侵者积极防御包括：网络安全防护网络安全评估网络安全监测用假目标欺骗安全体系结构和模型6-3.1 OSI安全体系结构安全威胁…网络应用安 全 服 务安全机制安全机制安全机制…安全体系结构和模型6-OSI 规定 14 种服务和 8 种机制1、对等实体鉴别服务2、数据源鉴别服务3、访问控制服务4、连接保密服务5、无连接保密服务6、选择字段保密服务7、业务流保密服务8、可恢复连接完整性服务9、无恢复连接完整性服务10、选择字段连接完整性服务11、无连接完整性服务12、选择字段无连接完整性服务13、带源验证的来源不可否认服务14、带交付验证的交付不可否认服务安全体系结构和模型6-OSI 规定 14 种服务和 8 种机制（1）加密（2）伪装业务流（3）数字签名（4）数据完整性（5）身份鉴别 ①通信对方鉴别 ▲单方鉴别 ▲互相鉴别 ②数据发方鉴别（6）访问控制（7）路由控制（8）第三方公证安全体系结构和模型6-安全管理 使安全机制和安全服务能够正常发挥作用； 支持安全审计和追踪； 安全体系结构和模型6-3.2 动态自适应的安全模型安全策略安全防护安全检测安全响应安全体系结构和模型6-3.4 六层网络安全体系用户安全应用安全存储安全安全审计传输安全信息安全存储安全安全审计传输安全网络级安全链路安全物理安全设备安全介质安全环境安全安全体系结构和模型6-3.5 基于六层体系的网络安全方案1、物理安全保障2、数据链路安全保障3、网络访问安全保障4、身份认证体系5、漏洞扫描和安全评估6、入侵检测和病毒防护7、审计、追踪、取证8、主机系统安全9、桌面应用安全10、应急响应和灾难恢复安全体系结构和模型6-基于TCP/IP的安全体系结构SSL 安全套接字层IPsec 加密的IP安全体系结构和模型6-安全安全服务器FTPDNSNFSSMTPSNTPTELNET商业事务服务器审计与记录5加密解密 及 网络安全控制与过滤（SSL）4TCPUDPIP加密解密防火墙的安全控制与过滤及 IPsec 3IP 路由选择数据报链路层通信安全机制21物理通信网安全体系结构和模型6-安全套接字层协议（SSL） 安全套接字层协议是美国Netscape公司于1996年推出的一种著名安全协议。此协议是一个建立在TCP／IP协议之上提供客户和服务器双方网络应用安全通讯的开放式协议。SSL协议建立在传送层和应用层之间，由记录协议和握手协议组成，其中记录协议在握手协议下端。SL记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。加密过程如图1所示，解密过程如图2所示。 安全体系结构和模型6-安全套接字层协议（SSL） 图1 加密过程图2 解密过程安全体系结构和模型6-安全套接字层协议（SSL）SSL握手协议描述安全连接建立的过程，在客户和服务器传送应用层数据之前，完成加密算法，密钥加密密钥算法的确定，以及交换预主密钥，并最后产生相应的客户和服务器MAC秘密、会话加密密钥等功能，协议由下面不同的连续过程组成： 安全体系结构和模型6-补充 网络的安全组建要堵住所有漏洞安全体系结构和模型6-1、局域网中减少共享合理划分网段 网络层隔离多用交换机少用集线器 避免共享网段 管好映射监测端口 telnet划分VLAN 避免共享 限制广播域 管好VLAN设置 telnet安全体系结构和模型6-2、广域网的拓扑安全 局域网划分网段，MAC层还是全互通的解决办法：构建广域网采用设备：网桥、路由器、网关路由器弱点：篡改路由 路由表被修改 telnet 错误的路由信息报文，RIP传播快 静态路由 OSPF较安全，错误可及时纠正安全体系结构和模型6-外联：经防火墙互连网络防火墙Hack黑客Crack无权用户内部域合法用户有权用户因特网防火墙： 阻止无权用户出入 记录出入审计信息多重防火墙外联：经代理连接Proxy无权用户Hack黑客有权用户 WWW,FTP,SMTP……