网络与通信安全资料

IP
ARPNET
SATNET
Internet 的安全问题的产生
Internet起于研究项目,安全不是主要的考虑
少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全
网络协议的开放性与系统的通用性
目标可访问性，行为可知性 攻击工具易用性
Internet 没有集中的管理权威和统一的政策
向用户提供一组常用的应用程序 ，如FTP，HTTP，TELNET
等，用户亦可在TCP/UDP基础上定义专有应用。
传输层：
提供应用程序间（即端到端）的通信 ，格式化信息流 、提供 可靠传输 及解决不同应用程序的识别问题
网络互连层：
负责相邻计算机之间的通信
网络接口层：
负责收发数据包并通过网络传输
OSI模型与DOD体系对照
TCP/IP协议安全分析
TCP/IP协议栈 物理层安全
网络层安全
传输层安全 应用层安全
TCP/IP网络的安全来由
力求简单高效的设计初衷使TCP/IP协议集的许多安全因 素未得以完善 安全缺陷的一些表现: TCP/IP协议数据流采用明文传输 TCP/IP协议以IP地址作为网络节点的唯一标识，此
ISO／OSI网络体系结构 网络体系结构分层的目的 OSI参考模型的层次划分 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP协议层次模型 TCP/IP协议分层并不完全对应OSI模型
Байду номын сангаас应用层
Telnet FTP DNS SMTP
传输层
TCP UDP
网络层
IP ICMP ARP RARP
TCP/IP体系架构
TCP/IP 由美国DOD Research Projects Agency—
DARPA）70年代开发。包括了一组协议 ，采用了网络分 层的概念,一般称为DOD体系结构 。 其分为4层，自底向上分别是： 网络接口层、网络互联层、传输层、应用层。
TCP/IP各层功能简述
应用层：
举并不能对节点上的用户进行有效的身份认证
网络与通信安全
—— 绿盟科技
www.nsfocus.com nsfocus.com
© 2013 绿盟科技
议题
网络基础概述 网络体系结构 网络协议安全分析 网络中面临的威胁
针对网络设备的攻击 拒绝服务（DoS）攻击 欺骗攻击 网络嗅探
网络设备安全 网络服务的安全 拒绝服务攻击（DoS）的防御策略
OSI参考模型
局域网安全管理
良好的网络拓扑规划 对网络设备进行基本安全配置
合理的划分VLAN
分离数据广播域 绑定IP地址与Mac地址 配置防火墙和IDS设备 使用内容监控与病毒过滤
良好的网络规划
网络安全规划原则
合理的分配地址
合理的网络逻辑结构
通过VLAN分隔逻辑网络 通过域或工作组确定用户权限
建立良好的网络安全制度
网络设备安全配置
关闭不必要的设备服务
使用强口令或密码
加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型
广域网的概念和特性
广域网是覆盖地理范围相对较广的数据通信网络。
网络的规模和分类：
局域网(LAN，local area network)可覆盖一个建筑物 或一所学校; 城域网(MAN，metropolitan area network)可覆盖一 座城市;
P：提供数据的句法，处理通信双方之间的数据表示问题，如
ASCII S：提供一种经过组织的方法在用户之间交换数据,如SQL
T：资源子网与通信子网的界面和桥梁 ，端到端的通信
N：通信子网与网络高层的界面，用户进人网络、以及网络之间 互连的接口 ，主机到主机的通信，即寻址 D：进行链路上的数据传输 ，物理寻址 P：物理设备间的接口 ，电平信号或光信号
安全政策、计费政策、路由政策
网络安全的语义范围
保密性(Confidentiality) 完整性(Integrity)
可用性(Availability)
局域网的特性
局域网典型特性
高数据传输率
短距离 低误码率
常用的局域网介质访问控制技术
载波监听多路访问/冲突检测(CSMA/CD)技术 令牌控制技术 令牌总线控制技术 光纤分布数据接口(FDDI)技术
分层模型
概念：
网络协议按结构化层次方式组织，每层完成一定的功能，
每层都建在其下层之上，并通过层间接口向上层提供服务，将
服务实现的细节对上层隐蔽。
优点：
减少复杂性 ，维护、修改相对容易 、不同节点之间的对 等层可以通过共享数据格式来进行通信.
网络分层连同其相应协议叫网络体系架构 ,如TCP/IP，OSI等
(WAN，wide area network)可覆盖多座城市、多个国
家或洲。
广域网的构成和种类
广域网的参考模型 广域网的构成
广域网的种类
X.25 帧中继 ATM
广域网安全管理
良好的网络拓扑规划
对网络设备进行基本安全配置
确保路由协议安全 使用ACL进行数据过滤 使用AAA加强访问控制和认证
七层网络体系架构：
网络自底向上分别是：物理层、数据链路层、网络层、传输 层、会话层、表示层和应用层，各层完成一定的功能，每层为其 上层网络提供支持，这种支持表现为数据(信息)的封装： SegmentPacketFrame
OSI模型(2)
OSI模型各层功能简述
A：为应用进程访问OSI环境提供手段，并为应用进程提供服务， 关心数据的语义 ，如WWW
网络接口层
X.25 ARPanet
常见黑客攻击方式
应用层：应用程序和操作系统的攻击与破坏 网络层：拒绝服务攻击和数据窃听风险 传输层：拒绝服务攻击
硬件设备与数据链路：物理窃听与破坏
TCP/IP模型与潜在风险
Telnet TCP FTP DNS UDP SMTP 应用程序攻击 数据监听和窃取 拒绝服务攻击 无线网络 以太网 硬件设备破坏
OSI模型(1)
国际标准组织ISO(International Organization for Standardization)提出了开放式系统互联网络体结架构(Open System Interconnection/Reference Model) OSI 定义了异种机互连的标准框架，为连接分散的“开放”系统提供 了基础——任何两个遵守OSI标准的系统均可实施互连。