6物理层数据链路层安全.pptx

第6章 Internet安全体系结构之一;本章要点;物理层的安全保护方案;物理层的线路窃听技术;计算机网络通信线路屏蔽;计算机网络通信线路屏蔽;物理线路隔离;物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。 一个典型的物理隔离方案（处于完全隔离状态）;物理隔离的定义 物理隔离技术的基本思想是:如果不存在与网络的物理连接，网络安全威胁便可大大降低。 物理隔离技术实质就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。 ;案例：电子政务 一般划分为3个安全等级不同的部分 内部保密专用网络，传送保密信息 业务网络，传送政府业务管理信息 Internet连接网络，建设网站或对外访问 保密网络要求跟其它部分物理隔离 其它部分可以在保证安全性情况下互连;案例：证劵交易网 一般划分为3个安全等级不同的部分 证券交易业务专用网络，传送证券业务信息 企业内综合管理网络，传送办公、财务、VoIP等企业内部管理信息 Internet连接网络，建设网站或对外访问 交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接 其它可以在保证安全性情况下互连;内、外网之间在没有通信要求情况下的断开状态;外网向内网发起非TCP/IP连接;向内网转发数据;完成了外网向内网发送数据的全过程后;向外网发起非TCP/IP连接;这是一种隔离网络之间连接的专用安全技术。 这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆动完成数据传输。 这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时，保持了内外网络的物理断开。 ;每一次数据交换，隔离设备经历了数据的接受，存储和转发三个过程。由于这些规则都是在内存和内核里完成的，因此速度上有保证，可以达到100%的总线处理能力。 物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。 物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。 ;设备和线路冗余;机房和账户安全管理;数据链路层的安全保护方案;数据加密;链路加密 ;节点加密 ;端－端加密 ; 端—端加密具有链路加密和节点加密所不具有的优点： （1）成本低。出于端—端加密在中间任何节点上都不解密，即数据在到达目的地之前始终用密钥加密保护着，所以仅要求发送节点和最终的目标节点具有加密/解密设备，而链路加密则要求处理加密信息的每条链路均配有分立式密钥装置。 （2）端—端加密比链路加密更安全。 （3）端—端加密可以由用户提供，因此对用户来说这种加密方式比较灵活。 ;WLAN SSID安全技术及配置方法;WLAN SSID安全技术及配置方法;WLAN MAC地址过滤;WLAN WEP加密;WLAN WEP解密;WLAN WEP的不足;WPA加密;WPA解密;WPA2;ARP(Address Resolution Protocol) 完成IP地址到MAC地址的映射;为什么要进行IP地址到物理地址的映射？;;ARP运作方式—ARP请求;ARP运作方式—ARP应答;ARP的解析范围;;ARP高速缓存;ARP高速缓存; ARP不是IP协议的一部分，因此ARP数据报不包括IP头，而是直接放在以太网帧的数据部分进行发送。并且，在以太网中定义了一种新的类型来标志ARP数据报。;以太网中ARP协议帧格式;查看ARP高速缓存中的记录;删除ARP高速缓存中的记录;向ARP高速缓存中增加静态记录;RARP：逆地址解析协议;;MAC地址欺骗原理;谁是布什？;我是;我是新来的布什同学;MAC地址欺骗原理;MAC地址欺骗预防;MAC地址欺骗预防;MAC地址欺骗预防;网络嗅探的防护 ;网络嗅探的防护 ;网络嗅探的防护 ;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;VLAN;作业;9、有时候读书是一种巧妙地避开思考的方法。1月-211月-21Friday, January 29, 2021 10、阅读一切好书如同和过去最杰出的人谈话。21:57:2521:57:2521:571/29/2021 9:57:25 PM 11、越是没有本领的就越加自命不凡。1月-2121:57:2521:57Jan-2129-Jan-21 12、越是无能的人，越喜欢挑剔别人的错儿。21:57:2521:57:2521:57Friday, January 29, 2021 13、知人者智，自知者明。胜人者有力，自胜者强。1月-211月