局域網(wǎng)安全基礎(chǔ)技術(shù)new

1、3、局域網(wǎng)安全(nqun)基礎(chǔ)技術(shù)1共三十四頁(yè)教學(xué)(jio xu)目標(biāo) 介紹局域網(wǎng)的安全問(wèn)題、安全技術(shù)(jsh)與措施，及動(dòng)態(tài)VLAN和PVLAN技術(shù)(jsh)的使用分析WLAN的安全問(wèn)題及技術(shù)監(jiān)測(cè)及分析是發(fā)現(xiàn)安全問(wèn)題的前提，介紹Wireshark數(shù)據(jù)包監(jiān)測(cè)與分析軟件的應(yīng)用通過(guò)學(xué)習(xí)，熟悉局域網(wǎng)的安全方面的相關(guān)知識(shí)，基本掌握數(shù)據(jù)包檢測(cè)與協(xié)議分析技術(shù)2共三十四頁(yè)要點(diǎn)(yodin)內(nèi)容 局域網(wǎng)安全問(wèn)題局域網(wǎng)安全技術(shù)數(shù)據(jù)包截取(jiq)與協(xié)議分析VLAN技術(shù)的安全應(yīng)用WLAN安全問(wèn)題與安全技術(shù)3共三十四頁(yè)能力(nngl)要求 掌握局域網(wǎng)安全基本(jbn)技術(shù)會(huì)使用Wireshark軟件分析協(xié)議基本掌握

2、VLAN的安全應(yīng)用 能防范和應(yīng)對(duì)WLAN安全問(wèn)題了解局域網(wǎng)安全解決方案4共三十四頁(yè)3.1 局域網(wǎng)安全(nqun)問(wèn)題作為Internet的重要組成單元，局域網(wǎng)的安全問(wèn)題不僅損害局域網(wǎng)本身，也不可避免地對(duì)Internet產(chǎn)生影響局域網(wǎng)的安全性主要包括三個(gè)方面：局域網(wǎng)本身的安全性，以太網(wǎng)協(xié)議的問(wèn)題，TCP/IP協(xié)議存在的缺陷(quxin)建設(shè)不規(guī)范帶來(lái)的安全隱患，來(lái)自?xún)?nèi)部的人為破壞，所用的媒體和設(shè)備所存在的問(wèn)題；當(dāng)局域網(wǎng)和Internet連接時(shí)，受到來(lái)自外界惡意的攻擊，局域網(wǎng)對(duì)不安全站點(diǎn)的訪問(wèn)控制等 5共三十四頁(yè)局域網(wǎng)安全(nqun)風(fēng)險(xiǎn) 物理設(shè)施設(shè)備層次的安全(nqun)風(fēng)險(xiǎn) 網(wǎng)絡(luò)層次的安全風(fēng)險(xiǎn)

3、 應(yīng)用層次的安全風(fēng)險(xiǎn) 管理層次的安全風(fēng)險(xiǎn) 6共三十四頁(yè)局域網(wǎng)安全(nqun)特性 局域網(wǎng)一般基于TCP/IP建設(shè)(jinsh)，其四層結(jié)構(gòu)簡(jiǎn)單，實(shí)現(xiàn)容易，實(shí)用性強(qiáng)。這是成功的關(guān)鍵，也帶來(lái)了安全隱患：數(shù)據(jù)容易被竊聽(tīng)和截取 IP地址欺騙 缺乏足夠的安全策略 局域網(wǎng)配置的復(fù)雜性7共三十四頁(yè)3.2 局域網(wǎng)安全(nqun)技術(shù)物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估應(yīng)用安全技術(shù)：E-mail安全、Web訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性認(rèn)證

4、授權(quán)技術(shù)：口令(kulng)認(rèn)證、SSO認(rèn)證（如Kerberos）、證書(shū)及其認(rèn)證等訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份8共三十四頁(yè)3.2 局域網(wǎng)安全(nqun)技術(shù)訪問(wèn)控制技術(shù)：包括入網(wǎng)(r wn)訪問(wèn)控制網(wǎng)絡(luò)權(quán)限控制目錄級(jí)控制以及屬性控制 計(jì)算機(jī)病毒的預(yù)防和消除：正版、網(wǎng)絡(luò)版及時(shí)更新，內(nèi)網(wǎng)服務(wù) 9共三十四頁(yè)3.2 局域網(wǎng)安全(nqun)技術(shù)-局域網(wǎng)安全措施 規(guī)劃網(wǎng)絡(luò)，針對(duì)重要基礎(chǔ)服務(wù)器、網(wǎng)管設(shè)備、特殊和普通用戶等劃分、設(shè)置(shzh)不同的網(wǎng)段，

5、并進(jìn)行安全策略的配置，嚴(yán)格控制其訪問(wèn)權(quán)限定期使用漏洞掃描工具對(duì)重要網(wǎng)段進(jìn)行掃描，并生成掃描報(bào)告，用于安全提醒，作為整體信息安全評(píng)估的一項(xiàng)重要參考針對(duì)無(wú)線、有線上網(wǎng)設(shè)立有效的安全認(rèn)證機(jī)制，建立切實(shí)有效的網(wǎng)絡(luò)接入認(rèn)證服務(wù)10共三十四頁(yè)3.2 局域網(wǎng)安全(nqun)技術(shù)-局域網(wǎng)安全措施 采用網(wǎng)絡(luò)行為管理機(jī)制，采集流量信息分析，提取有用信息和數(shù)據(jù)，了解和控制不良信息和網(wǎng)絡(luò)行為建立安全門(mén)戶網(wǎng)站，用于安全信息的發(fā)布和宣傳建立完整的災(zāi)難恢復(fù)(huf)和備份體系11共三十四頁(yè)3.2 局域網(wǎng)安全(nqun)技術(shù)-局域網(wǎng)安全措施 建立入侵檢測(cè)系統(tǒng)和預(yù)警機(jī)制設(shè)置專(zhuān)用的VPN設(shè)備(shbi)，專(zhuān)門(mén)用于網(wǎng)管、內(nèi)部服務(wù)器

6、的管理等，關(guān)閉普通的遠(yuǎn)程管理端口在邊界和重要區(qū)域部署防火墻系統(tǒng)，以一定的規(guī)?；蛑匾詫?shí)現(xiàn)安全隔離，防止一個(gè)區(qū)域的安全問(wèn)題傳播到其他區(qū)域 12共三十四頁(yè)3.2 局域網(wǎng)安全技術(shù)(jsh)-局域網(wǎng)安全管理 局域網(wǎng)的安全問(wèn)題不能只局限于技術(shù)，更重要的還在于管理，“三分技術(shù)、七分管理”：主要任務(wù)是對(duì)網(wǎng)絡(luò)資源、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)運(yùn)行進(jìn)行管理 安全管理要解決(jiju)組織、制度和人員三方面 13共三十四頁(yè)3.3 網(wǎng)絡(luò)監(jiān)聽(tīng)(jin tn)與協(xié)議分析協(xié)議分析儀（Protocol Analyser）是能夠捕獲并分析網(wǎng)絡(luò)報(bào)文的設(shè)備，基本功能是捕捉(bzhu)分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題工作原理：以

7、太網(wǎng)的通信是基于廣播方式的，這意味著在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問(wèn)到物理媒體上傳輸?shù)臄?shù)據(jù)，而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址，即MAC地址 14共三十四頁(yè)3.3 網(wǎng)絡(luò)監(jiān)聽(tīng)與協(xié)議(xiy)分析通常一個(gè)網(wǎng)絡(luò)接口只接收兩種數(shù)據(jù)幀：與自己硬件地址相匹配的數(shù)據(jù)幀和廣播幀網(wǎng)卡通常有以下四種接收方式：廣播方式：接收網(wǎng)絡(luò)中的廣播信息組播方式：接收組播數(shù)據(jù)直接方式：只有目的(md)網(wǎng)卡才能接收該數(shù)據(jù)混雜模式：接收一切通過(guò)它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的15共三十四頁(yè)3.3 網(wǎng)絡(luò)(wnglu)監(jiān)聽(tīng)與協(xié)議分析基本用途兩個(gè)使用領(lǐng)域：商業(yè)類(lèi)型的封包探嗅器通常被網(wǎng)管用于維護(hù)網(wǎng)絡(luò)，另一種就是地下類(lèi)型的封包探嗅

8、器，用來(lái)入侵(rqn)他人計(jì)算機(jī)典型的主要用途包括以下幾種：網(wǎng)絡(luò)環(huán)境通信失效分析探測(cè)網(wǎng)絡(luò)環(huán)境的通信瓶頸將數(shù)據(jù)包信息轉(zhuǎn)換成人類(lèi)易于辯讀的格式探測(cè)有無(wú)入侵者存在于網(wǎng)絡(luò)上，以防止其入侵從網(wǎng)絡(luò)中過(guò)濾及轉(zhuǎn)換有用的信息，如使用者名字及密碼網(wǎng)絡(luò)通信記錄，記錄下每一個(gè)通信的資料，用于了解入侵者入侵的路徑16共三十四頁(yè)協(xié)議(xiy)數(shù)據(jù)報(bào)結(jié)構(gòu) IPARPICMPIGMPTCPUDP17共三十四頁(yè)網(wǎng)絡(luò)(wnglu)監(jiān)聽(tīng)與數(shù)據(jù)分析 Wireshark常用功能 網(wǎng)絡(luò)管理員使用它捕獲并分析網(wǎng)絡(luò)流量，幫助解決網(wǎng)絡(luò)問(wèn)題網(wǎng)絡(luò)安全工程師用它監(jiān)控網(wǎng)絡(luò)活動(dòng)，測(cè)試安全問(wèn)題開(kāi)發(fā)人員用它調(diào)試協(xié)議的實(shí)現(xiàn)(shxin)過(guò)程幫助學(xué)習(xí)網(wǎng)絡(luò)協(xié)議1

9、8共三十四頁(yè)網(wǎng)絡(luò)(wnglu)監(jiān)聽(tīng)與數(shù)據(jù)分析 -Wireshark界面(jimin)19共三十四頁(yè)網(wǎng)絡(luò)(wnglu)監(jiān)聽(tīng)與數(shù)據(jù)分析 -Wireshark設(shè)置捕獲條件：過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，在過(guò)濾框中輸入eth.addr=00:19:21:f5:8c:bd，這樣截取(jiq)的報(bào)文就只與這個(gè)MAC地址有關(guān)IP層捕獲，按源IP地址和目的IP地址進(jìn)行捕獲。在過(guò)濾框中輸入ip.addr= 0，則捕獲的只是有關(guān)此IP地址的報(bào)文，其他報(bào)文將被過(guò)濾掉20共三十四頁(yè)3.4 VLAN安全技術(shù)(jsh)與應(yīng)用VLAN技術(shù)是一種通過(guò)將局

10、域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)(shxin)虛擬工作組的安全技術(shù)VLAN在交換機(jī)上的實(shí)現(xiàn)方法可劃分為三類(lèi)：基于端口劃分的VLAN基于MAC地址劃分VLAN基于網(wǎng)絡(luò)層劃分VLAN 21共三十四頁(yè)動(dòng)態(tài)(dngti)VLAN及其配置 當(dāng)由端口自己(zj)決定屬于哪個(gè)VLAN時(shí)，就形成了動(dòng)態(tài)的VLAN。它是一個(gè)簡(jiǎn)單的映射，這個(gè)映射取決于網(wǎng)絡(luò)管理員創(chuàng)建的數(shù)據(jù)庫(kù)，分配給動(dòng)態(tài)VLAN的端口被激活后，交換機(jī)就緩存初始幀的源MAC地址 22共三十四頁(yè)動(dòng)態(tài)(dngti)VLAN及其配置 VMPS數(shù)據(jù)庫(kù)配置文件，放置在TFTP服務(wù)器上，文件是一個(gè)(y )ASCII碼的文本文件 將一臺(tái)交換機(jī)配

11、置成VMPS服務(wù)器 將參與動(dòng)態(tài)VLAN的交換機(jī)配置成VMPS客戶端23共三十四頁(yè)P(yáng)VLAN及其配置(pizh) 私有(syu)VLAN24共三十四頁(yè)P(yáng)VLAN及其配置(pizh) 所有服務(wù)器在同一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的默認(rèn)網(wǎng)關(guān)通信(tng xn)PVLAN的端口類(lèi)型 25共三十四頁(yè)P(yáng)VLAN及其配置(pizh) PVLAN的端口類(lèi)型 隔離端口：端口彼此之間不能交換數(shù)據(jù)(shj)，只能與混雜端口通信，一般用作用戶的接入端口團(tuán)體端口：可以互相通信，也可以與混雜端口通信，主要應(yīng)用在同一PVLAN中，給那些需要互相通信的一組用戶使用混雜端口：可以與同一PVLAN中的所有端口互相通信，通常與路由

12、器或第三層交換機(jī)相連接的端口都要配置成混雜端口，它收到的流量可以發(fā)往隔離端口和團(tuán)體端口26共三十四頁(yè)P(yáng)VLAN及其配置(pizh) PVLAN的端口類(lèi)型 隔離端口：端口彼此之間不能交換數(shù)據(jù)，只能與混雜端口通信，一般用作用戶的接入端口團(tuán)體端口：可以互相通信，也可以與混雜端口通信，主要應(yīng)用在同一PVLAN中，給那些需要互相通信的一組用戶使用(shyng)混雜端口：可以與同一PVLAN中的所有端口互相通信，通常與路由器或第三層交換機(jī)相連接的端口都要配置成混雜端口，它收到的流量可以發(fā)往隔離端口和團(tuán)體端口27共三十四頁(yè)P(yáng)VLAN及其配置(pizh) PVLAN配置原則把需要第二層隔離的主機(jī)放到同一個(gè)隔離

13、VLAN或者不同的團(tuán)體VLAN中把需要第二層通信的主機(jī)放到同一個(gè)團(tuán)體VLAN中把公共的服務(wù)器或者上聯(lián)端口放到主VLAN中（即將端口設(shè)置為混雜端口）網(wǎng)關(guān)可以(ky)在主VLAN上配一個(gè)三層地址或者在主VLAN上連接一個(gè)路由器交換機(jī)的上聯(lián)端口也可以是Trunk，主VLAN和輔助VLAN都可以通過(guò)Trunk鏈路28共三十四頁(yè)3.5 無(wú)線局域網(wǎng)安全(nqun)技術(shù)由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，任何人都有條件竊聽(tīng)或干擾信息，因此(ync)對(duì)越權(quán)存取和竊聽(tīng)的行為也更不容易預(yù)防 29共三十四頁(yè)無(wú)線局域網(wǎng)安全(nqun)技術(shù) 服務(wù)集標(biāo)識(shí)符 SSID物理地址過(guò)濾 連線(lin xin)對(duì)等保密：WEP

14、 Wi-Fi保護(hù)接入 ：Wi-Fi Protected Access WAPI（WLAN Authentication Privacy Infrastructure） 端口訪問(wèn)控制技術(shù)（802.1x） 用戶認(rèn)證 30共三十四頁(yè)3.6 企業(yè)(qy)局域網(wǎng)安全解決方案 企業(yè)局域網(wǎng)系統(tǒng)(xtng)概況 企業(yè)局域網(wǎng)安全風(fēng)險(xiǎn)分析 安全需求與安全目標(biāo) 網(wǎng)絡(luò)安全方案總體設(shè)計(jì) 31共三十四頁(yè)本章(bn zhn)小結(jié)32共三十四頁(yè)作業(yè)(zuy)與實(shí)踐33共三十四頁(yè)內(nèi)容摘要3、局域網(wǎng)安全(nqun)基礎(chǔ)技術(shù)。監(jiān)測(cè)及分析是發(fā)現(xiàn)安全(nqun)問(wèn)題的前提，介紹Wireshark數(shù)據(jù)包監(jiān)測(cè)與分析軟件的應(yīng)用。訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等。防病毒技術(shù)：?jiǎn)螜C(jī)