CISP0204協(xié)議及網(wǎng)絡(luò)架構(gòu)安全教學(xué)課件

課程內(nèi)容1網(wǎng)絡(luò)安全網(wǎng)絡(luò)架構(gòu)安全網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)協(xié)議安全無線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議安全

無線蜂窩網(wǎng)絡(luò)協(xié)議安全

防火墻入侵檢測(cè)系統(tǒng)其它網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)架構(gòu)安全的概念TCP/IP協(xié)議簇安全

網(wǎng)絡(luò)架構(gòu)安全的實(shí)踐知識(shí)體知識(shí)域知識(shí)子域知識(shí)域：網(wǎng)絡(luò)協(xié)議安全知識(shí)子域：TCP/IP協(xié)議安全理解開放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型理解TCP/IP協(xié)議面臨安全威脅及安全對(duì)策理解無線網(wǎng)絡(luò)安全協(xié)議的原理和應(yīng)用了解IPV6的安全優(yōu)勢(shì)

什么是協(xié)議定義協(xié)議是網(wǎng)絡(luò)中計(jì)算機(jī)或設(shè)備之間進(jìn)行通信的一系列規(guī)則的集合理解重點(diǎn)：規(guī)則交通中的紅綠黃燈：紅燈停、綠燈行就是規(guī)則我國(guó)汽車靠右行駛是規(guī)則、香港、西方國(guó)家靠左行駛也是規(guī)則3OSI七層結(jié)構(gòu)模型OSI參考模型的各層ISO/OSI開放互聯(lián)模型4ISO/OSI七層模型結(jié)構(gòu)5物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)鏈路層應(yīng)用層（高）數(shù)據(jù)流層7654321分層結(jié)構(gòu)的優(yōu)點(diǎn)降低復(fù)雜性促進(jìn)標(biāo)準(zhǔn)化工作各層間相互獨(dú)立，某一層的變化不會(huì)影響其他層協(xié)議開發(fā)模塊化簡(jiǎn)化理解與學(xué)習(xí)6數(shù)據(jù)鏈路層作用定義物理鏈路的電氣、機(jī)械、通信規(guī)程、功能要求等；電壓，數(shù)據(jù)速率，最大傳輸距離，物理連接器；線纜，物理介質(zhì)；將比特流轉(zhuǎn)換成電壓；典型物理層設(shè)備光纖、雙絞線、中繼器、集線器等；常見物理層標(biāo)準(zhǔn)（介質(zhì)與速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一層：物理層7物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層作用物理尋址，網(wǎng)絡(luò)拓?fù)?，線路規(guī)章等；錯(cuò)誤檢測(cè)和通告（但不糾錯(cuò)）；將比特聚成幀進(jìn)行傳輸；流量控制（可選）尋址機(jī)制使用數(shù)據(jù)接收設(shè)備的硬件地址（物理地址）尋址（如MAC地址）典型數(shù)據(jù)鏈路層設(shè)備網(wǎng)卡、網(wǎng)橋和交換機(jī)數(shù)據(jù)鏈路層協(xié)議PPP,HDLC,FR,Ethernet,TokenRing,FDDI第二層：數(shù)據(jù)鏈路層8數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第二層：以太網(wǎng)協(xié)議標(biāo)準(zhǔn)（兩個(gè)子層）LLC（LogicalLinkControl）IEEE802.2為上層提供統(tǒng)一接口；使上層獨(dú)立于下層物理介質(zhì)；提供流控、排序等服務(wù)；MAC（MediaAccessControl）IEEE802.3燒錄到網(wǎng)卡ROM；48比特；唯一性；LLCMAC物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層9第三層：網(wǎng)絡(luò)層作用邏輯尋址路徑選擇尋址機(jī)制使用網(wǎng)絡(luò)層地址進(jìn)行尋址（如IP地址）網(wǎng)絡(luò)層典型設(shè)備路由器三層交換機(jī)10數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第四層：傳輸層作用提供端到端的數(shù)據(jù)傳輸服務(wù)；建立邏輯連接；尋址機(jī)制應(yīng)用程序的界面端口（如端口號(hào)）傳輸層協(xié)議TCP(TransmissionControlProtocol)狀態(tài)協(xié)議；按序傳輸；糾錯(cuò)和重傳機(jī)制；Socket；UDP(UserDatagramProtocol)無狀態(tài)協(xié)議；SPX11數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第五層：會(huì)話層作用不同應(yīng)用程序的數(shù)據(jù)隔離；會(huì)話建立，維持，終止；同步服務(wù)；會(huì)話控制（單向或雙向）12數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第六層：表示層作用數(shù)據(jù)格式表示；協(xié)議轉(zhuǎn)換；字符轉(zhuǎn)換；數(shù)據(jù)加密/解密；數(shù)據(jù)壓縮等；表示層數(shù)據(jù)格式ASCII,MPEG,TIFF,GIF,JPEG；13數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第七層：應(yīng)用層作用應(yīng)用接口；網(wǎng)絡(luò)訪問流處理；流控；錯(cuò)誤恢復(fù)；應(yīng)用層協(xié)議FTP,Telnet,HTTP,SNMP,SMTP,DNS；14數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)發(fā)送過程---數(shù)據(jù)封裝SegmentPacketBitsFramePDU數(shù)據(jù)接收過程---數(shù)據(jù)解封OSI安全體系結(jié)構(gòu)定義的安全攻擊OSI安全體系結(jié)構(gòu)定義了被動(dòng)攻擊和主動(dòng)攻擊被動(dòng)攻擊:

監(jiān)聽流量分析主動(dòng)攻擊:

假冒重放篡改拒絕服務(wù)OSI安全體系結(jié)構(gòu)定義的安全服務(wù)OSI安全體系結(jié)構(gòu)定義了系統(tǒng)應(yīng)當(dāng)提供的五類安全服務(wù)，以及提供這些服務(wù)的八類安全機(jī)制；某種安全服務(wù)可以通過一種或多種安全機(jī)制提供，某種安全機(jī)制可用于提供一種或多種安全服務(wù)鑒別；訪問控制；數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；抗抵賴；OSI安全體系結(jié)構(gòu)定義的安全機(jī)制加密；數(shù)字簽名；訪問控制；數(shù)據(jù)完整性；鑒別；流量填充（用于對(duì)抗通信流量分析，在加密時(shí)才是有效的）；路由控制（可以指定路由選擇說明，回避某些特定的鏈路或子網(wǎng)）；公證（notarization）；TCP/IP與OSI模型的對(duì)應(yīng)關(guān)系TCP/IP常用協(xié)議與安全威脅TCP/IP協(xié)議模型20TCP/IP協(xié)議與OSI模型的對(duì)應(yīng)21物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)鏈路層互聯(lián)網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層TCP/IP協(xié)議結(jié)構(gòu)22應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARP網(wǎng)絡(luò)接口層安全損壞干擾電磁泄漏搭線竊聽欺騙23拒絕服務(wù)嗅探網(wǎng)絡(luò)接口層安全損壞：自然災(zāi)害、動(dòng)物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏搭線竊聽：物理搭線欺騙：ARP欺騙嗅探：常見二層協(xié)議是明文通信的（以太、arp等）拒絕服務(wù)：macflooding，arpflooding等24ARP欺騙DAI（DynamicARPInspection）是思科交換機(jī)的一個(gè)安全特性。DAI能夠檢查arp數(shù)據(jù)包的真實(shí)性，自動(dòng)過濾虛假的arp包。利用DAI防御arp欺騙IP是TCP/IP協(xié)議族中最為核心的協(xié)議不可靠（unreliable）通信無連接（connectionless）通信提供分層編址體系（ip地址）IP協(xié)議簡(jiǎn)介27IP報(bào)頭結(jié)構(gòu)IP地址類別 *127(01111111)是保留用于環(huán)回測(cè)試的A類地址，不能將其分配給網(wǎng)絡(luò)。

D類224-23911100000到11101111組播通信地址

E類240-25511110000到11111111保留地址，用于測(cè)試國(guó)際互聯(lián)網(wǎng)私有IP地址范圍類私有地址范圍A

到55B

到55C

到55特點(diǎn)：構(gòu)建在IP報(bào)文結(jié)構(gòu)上，但被認(rèn)為是與IP在同一層的協(xié)議IP報(bào)頭ICMP報(bào)文8位類型8位代碼16位校驗(yàn)和內(nèi)容ICMP協(xié)議31internetICMP查詢報(bào)文網(wǎng)關(guān)ICMP差錯(cuò)報(bào)文pingpingICMP查詢報(bào)文ICMP差錯(cuò)報(bào)文Couldn’tfind傳遞差錯(cuò)報(bào)文及其他需要注意的信息ICMP地址掩碼請(qǐng)求與應(yīng)答ICMP時(shí)間戮請(qǐng)求與應(yīng)答ICMP協(xié)議的作用32IP層安全拒絕服務(wù)欺騙竊聽偽造33互聯(lián)網(wǎng)絡(luò)層安全拒絕服務(wù)：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽：嗅探偽造：IP數(shù)據(jù)包偽造34分片攻擊（teardrop）Teardrop的工作原理是利用分片重組漏洞進(jìn)行攻擊而造成目標(biāo)系統(tǒng)的崩潰或掛起。例如，第一個(gè)分片從偏移0開始，而第二個(gè)分片在tcp首部之內(nèi)。理想的解決方案是對(duì)ip分片進(jìn)行重組時(shí)，保證TCP/IP實(shí)現(xiàn)不出現(xiàn)安全方面的問題。啟用路由器、防火墻、IDS/IPS的安全特性能夠防御teardrop攻擊。35SYNSYN＋ACKACKPSH1:1025……PSH1025:2049……PSH2049:3073……FINACKPSH1:1025……PSH

1000:2049……PSH2049:3073……試圖重組時(shí)主機(jī)崩潰TearDrop36smurf攻擊攻擊者使用廣播地址發(fā)送大量的欺騙icmpecho請(qǐng)求，如果路由器執(zhí)行了三層廣播到二層廣播轉(zhuǎn)換（定向廣播），那么，同一ip網(wǎng)段的大量主機(jī)會(huì)向該欺騙地址發(fā)送icmpecho應(yīng)答，導(dǎo)致某一主機(jī)（具有欺騙地址）收到大量的流量，從而導(dǎo)致了DoS攻擊。防御方法為關(guān)閉路由器或三層交換機(jī)的定向廣播功能。37Smurf攻擊黑客偽裝受害者IP中間網(wǎng)站目標(biāo)子網(wǎng)絡(luò)主機(jī)目標(biāo)子網(wǎng)絡(luò)主機(jī)目標(biāo)子網(wǎng)絡(luò)主機(jī)攻擊信息大量ICMP封包(Layer3)子網(wǎng)絡(luò)主機(jī)子網(wǎng)絡(luò)主機(jī)子網(wǎng)絡(luò)主機(jī)目標(biāo)網(wǎng)站大量廣播(Layer2)38防御IP源地址欺騙（rfc3704過濾）大多數(shù)攻擊都伴隨著ip源地址欺騙。39/12傳輸層體系結(jié)構(gòu)40應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPTCP:傳輸控制協(xié)議作用：TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)功能數(shù)據(jù)包分塊發(fā)送接收確認(rèn)超時(shí)重發(fā)數(shù)據(jù)校驗(yàn)數(shù)據(jù)包排序控制流量……TCP協(xié)議4116位源端口號(hào)16位目的端口號(hào)32位序號(hào)32位確認(rèn)序號(hào)偏移量保留UAPRSF16位窗口大小16位緊急指針16位校驗(yàn)和數(shù)據(jù)TCP包頭數(shù)據(jù)結(jié)構(gòu)TCP首部42URG緊急指針（urgentpointer）有效ACK確認(rèn)序號(hào)有效PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層RST重建連接SYN同步序號(hào)，用來發(fā)起一個(gè)連接。FIN發(fā)送端完成發(fā)送任務(wù)

TCP首部-標(biāo)記位43TCP/UDP通過16bit端口號(hào)來識(shí)別應(yīng)用程序知名端口號(hào)由Internet號(hào)分配機(jī)構(gòu)（InternetAssignedNumbersAuthority,IANA）來管理現(xiàn)狀1－255端口號(hào)分配給知名的網(wǎng)絡(luò)服務(wù)256－1023分配給Unix操作系統(tǒng)特定的服務(wù)1024～5000臨時(shí)分配的端口號(hào)5000以上端口號(hào)保留給應(yīng)用服務(wù)TCP首部-端口號(hào)44TCP建立連接過程——三次握手CTL=TCP報(bào)頭中設(shè)置為1的控制位特點(diǎn)：UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議不具備接收應(yīng)答機(jī)制不能對(duì)數(shù)據(jù)分組、合并不能重新排序 沒有流控制功能協(xié)議簡(jiǎn)單占用資源少，效率高……UDP協(xié)議4616位源端口號(hào)16位目的端口號(hào)16位UDP長(zhǎng)度16位UDP校驗(yàn)和數(shù)據(jù)UDP協(xié)議包頭47相同點(diǎn)同一層的協(xié)議，基于IP報(bào)文基礎(chǔ)上不同點(diǎn)TCP是可靠的，高可用性的協(xié)議，但是復(fù)雜，需要大量資源的開銷UDP是不可靠，但是高效的傳輸協(xié)議UDP與TCP比較48傳輸層安全拒絕服務(wù)欺騙竊聽偽造49傳輸層安全問題拒絕服務(wù)：synflood/udpflood、Smurf欺騙：TCP會(huì)話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造50TCPsynflood攻擊攻擊者使用虛假地址在短時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的tcpsyn連接請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)無法完成tcp三次握手，導(dǎo)致目標(biāo)主機(jī)的連接隊(duì)列被充滿，從而導(dǎo)致目標(biāo)主機(jī)拒絕為合法用戶提供tcp服務(wù)?？梢栽诼酚善?、防火墻或IPS啟用ip源地址過濾（rfc3704），并啟用tcp最大連接數(shù)和連接速率限制等特性進(jìn)行防御。51(syn)Hello,I’mhere(syn+ack)I’mready?I’mwaiting……SYNFlood(syn)Hello,I’mhere?I’mwaiting……(syn)Hello,I’mhere……I’mwaiting……I’mwaiting……I’mwaiting……TCP會(huì)話劫持攻擊者對(duì)兩臺(tái)通信主機(jī)的信息流進(jìn)行監(jiān)視，通過猜測(cè)會(huì)話序列號(hào)可能注入其中一臺(tái)主機(jī)的信息流，當(dāng)合法主機(jī)與網(wǎng)絡(luò)的連接被斷開后，攻擊者使用合法主機(jī)的訪問權(quán)繼續(xù)進(jìn)行會(huì)話。最好的防御方法是使用防火墻或IPS進(jìn)行會(huì)話合法性檢查以及部署加密通信技術(shù)（如ipsec等）。53實(shí)例BAC同步flood攻擊

連接請(qǐng)求偽造B進(jìn)行系列會(huì)話A的序數(shù)規(guī)則54應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁(yè)瀏覽：HTTP網(wǎng)絡(luò)終端協(xié)議:TELENET簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議:SNMP網(wǎng)絡(luò)文件系統(tǒng):NFS

55應(yīng)用層安全拒絕服務(wù)欺騙竊聽偽造暴力破解……56TCP/IP應(yīng)用層服務(wù)的安全問題常用服務(wù)使用明文通信（http，ftp，telnet等）DoS/DDoS攻擊(超長(zhǎng)URL鏈接…)欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：嗅探偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……57應(yīng)用層服務(wù)安全問題-明文通信用戶名：scn密碼：scn432158實(shí)現(xiàn)加密通信59使用ssh替代telnet使用https替代http使用S/MIME安全多用途英特網(wǎng)郵件擴(kuò)展部署ipsecvpn嗅探攻擊利用各種工具收集目標(biāo)網(wǎng)絡(luò)或系統(tǒng)的信息.常用攻擊工具:Sniffers（數(shù)據(jù)包嗅探）端口掃描Ping掃描嗅探攻擊的防御方法用戶和設(shè)備身份鑒別AAA服務(wù)、dot1x、NAC等。數(shù)據(jù)加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交換機(jī)基礎(chǔ)架構(gòu)使用交換機(jī)基礎(chǔ)架構(gòu)能夠減少數(shù)據(jù)包嗅探攻擊。訪問攻擊特點(diǎn)訪問攻擊的目的:獲取數(shù)據(jù)獲取訪問特權(quán)常見的訪問攻擊和工具口令攻擊（各種口令破解工具、嗅探、病毒、木馬）信任關(guān)系利用端口重定向中間人攻擊緩沖區(qū)溢出訪問攻擊的防御方法使用強(qiáng)口令、一次性口令,AAA服務(wù)等部署嚴(yán)格的邊界信任和訪問控制防火墻或路由器Window域或活動(dòng)目錄Linux、Unix部署加密技術(shù)部署IDS/IPS部署路由協(xié)議鑒別AAA服務(wù)Authentication（身份鑒別）Authorization（授權(quán)）Accounting（記賬）DoS攻擊特點(diǎn)DoS攻擊的目的是導(dǎo)致目標(biāo)網(wǎng)絡(luò)、系統(tǒng)或服務(wù)不可用.DistributedDoS攻擊能夠協(xié)同大量的攻擊主機(jī)向同一個(gè)目標(biāo)進(jìn)行集群攻擊。DoS和

DDoS攻擊通常伴隨著ip地址欺騙攻擊，以隱藏攻擊者.DoS攻擊容易實(shí)施，但是非常難以徹底防范，需要所有的互聯(lián)網(wǎng)ISP和所有的企業(yè)和用戶共同防御才能減少其危害（互聯(lián)網(wǎng)公共道德和安全意識(shí)）。DDoS攻擊原理66工具介紹TFN2KTrinoo673133527665

27444

udpmaster

client..主機(jī)列表telnet

betaalmostdone

攻擊指令目標(biāo)主機(jī)nc

拒絕服務(wù)攻擊防御定期掃描過濾不必要的端口與服務(wù)節(jié)點(diǎn)配置防火墻/DDOS設(shè)備過濾IP地址限制SYN/ICMP流量檢查來源68TCP/IP協(xié)議簇的安全架構(gòu)

IPv6安全特性IPv6安全特性支持移動(dòng)性地址數(shù)量大支持端到端業(yè)務(wù)模式支持QoS和性能問題強(qiáng)制IPSEC簡(jiǎn)化的路由表配置簡(jiǎn)單70IPv6與IPv4的地址數(shù)量差異IPv4地址數(shù)量：2^32，共4294967296個(gè)地址IPv6地址數(shù)量：2^128，共3.402823*10^38每個(gè)人可以分配到整個(gè)比原來整個(gè)IPv4還多的地址，地球上每平方米可以分配到一千多個(gè)地址IPv6提供的許多增強(qiáng)功能增強(qiáng)的IP編址簡(jiǎn)化的報(bào)頭移動(dòng)性和安全性多種過渡方式IP地址安全特性71IPv4報(bào)頭具有20個(gè)八位二進(jìn)制數(shù)和12個(gè)基本報(bào)頭字段，然后是選項(xiàng)字段和數(shù)據(jù)部分（通常是傳輸層數(shù)據(jù)段）IPv6報(bào)頭具有40個(gè)八位二進(jìn)制數(shù)、三個(gè)IPv4基本報(bào)頭字段和五個(gè)附加報(bào)頭字段簡(jiǎn)單報(bào)文結(jié)構(gòu)72大多數(shù)應(yīng)用協(xié)議需要進(jìn)行升級(jí)FTP,SMTP,Telnet,Rlogin需要對(duì)下列標(biāo)準(zhǔn)進(jìn)行修改全部51個(gè)Internet標(biāo)準(zhǔn)中27個(gè)20個(gè)草案中的6個(gè)130個(gè)標(biāo)準(zhǔn)建議中的25個(gè)IPv6應(yīng)用問題73知識(shí)域：網(wǎng)絡(luò)協(xié)議安全知識(shí)子域：無線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議安全無線局域網(wǎng)協(xié)議安全

理解802.11無線網(wǎng)絡(luò)協(xié)議原理及其安全特性理解802.11i無線網(wǎng)絡(luò)協(xié)議原理及其安全特性了解WAPI的原理和安全特性無線應(yīng)用協(xié)議安全理解WAP的產(chǎn)生背景、原理和架構(gòu)理解WTLS協(xié)議架構(gòu)理解WAPEND-TO-END安全的實(shí)現(xiàn)原理74無線局域網(wǎng)協(xié)議安全無線網(wǎng)絡(luò)體系及標(biāo)準(zhǔn)無線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)802.11簡(jiǎn)介無線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)802.11安全問題IEEE802.11i無線局域網(wǎng)安全協(xié)議介紹WAPI標(biāo)準(zhǔn)介紹75無線技術(shù)76PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth

802.15.3

UltraWideBand(WiMedia)802.11802.11(Wi-Fi)

802.16(Wi-Max)

802.20GSM,CDMA,SatelliteSpeed<1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-Peer

Device-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices無線局域網(wǎng)的傳輸媒質(zhì)分為無線電波和光波兩類無線電波主要使用無線電波和微波，光波主要使用紅外線無線電波和微波頻率由各個(gè)國(guó)家的無線電管理部門規(guī)定，分為專用頻段和自由頻段。專用頻段需要經(jīng)過批準(zhǔn)的獨(dú)自有償使用的頻段；自由頻段主要是指ISM頻段（Industrical，Scientific，Medical）無線局域網(wǎng)基本概念77802.11局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)78無線局域網(wǎng)安全風(fēng)險(xiǎn)

無線局域網(wǎng)安全問題79傳統(tǒng)無線安全防護(hù)措施服務(wù)集標(biāo)識(shí)符SSID極易暴露和偽造，沒有安全性可言物理地址（MAC）過濾

MAC地址容易偽造，擴(kuò)展性差有線等效加密（WEP）

IEEE802.11定義的WEP保密機(jī)制加密強(qiáng)度不足，在很短的時(shí)間內(nèi)WEP密鑰即可被破解AirSnort的工具程序，利用WEP弱密鑰的缺陷，可以在分析100萬幀之后破解RC4的40位或者104位密鑰。經(jīng)過改進(jìn)，它可以在分析20000幀之后破解。

80問題示例：“中間人”攻擊后臺(tái)AS合法AP偽造AP

用戶（終端）攻擊者攻擊者利用偽造AP進(jìn)行中間人攻擊：偽造AP對(duì)用戶（終端）相當(dāng)于合法AP；對(duì)合法AP相當(dāng)于用戶（終端）81802.11i簡(jiǎn)介在WEP之后，802.11i任務(wù)組完成了提高WLAN安全能力的開發(fā)工作為了盡快提高WLAN的安全能力，Wi-Fi聯(lián)盟頒布了Wi-FiProtectedAccess(WPA)作為Wi-Fi標(biāo)準(zhǔn)802.11i標(biāo)準(zhǔn)的最終版本稱作RSN（RobustSecurityNetwork）。Wi-Fi的WPA2完整的實(shí)現(xiàn)了802.11i標(biāo)準(zhǔn)。WAPI標(biāo)準(zhǔn)簡(jiǎn)介WAPI(WLANAuthenticationandPrivacyInfrastructure)是我國(guó)自主研發(fā)的，擁有自主知識(shí)產(chǎn)權(quán)的無線局域網(wǎng)安全技術(shù)標(biāo)準(zhǔn)832019201920192019201920192009啟動(dòng)標(biāo)準(zhǔn)編制標(biāo)準(zhǔn)推出并準(zhǔn)備強(qiáng)制啟用無限期退出強(qiáng)制執(zhí)行并申請(qǐng)國(guó)際標(biāo)準(zhǔn)政府發(fā)文促進(jìn)標(biāo)準(zhǔn)體系完善，國(guó)際標(biāo)準(zhǔn)投票失敗啟動(dòng)第二次國(guó)際標(biāo)準(zhǔn)申請(qǐng)，可能成為獨(dú)立標(biāo)準(zhǔn)標(biāo)準(zhǔn)化組織達(dá)成共識(shí)，推動(dòng)成為獨(dú)立標(biāo)準(zhǔn)計(jì)算機(jī)

WAPIGB15629.11-2019GB15629.11-2019/XG1-2019GB15629.1102-2019GB15629.1101-2019GB15629.1104-2019GB/T15629.1103-2019……5.8GHz54Mbps2.4GHz11Mbps不同國(guó)家之間漫游2.4GHz54Mbps2019年6月頒布四項(xiàng)新的無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)。形成全面采用WAPI我國(guó)無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)體系基于WAPI的無線局域網(wǎng)標(biāo)準(zhǔn)體系84基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問控制方法可普遍適用于無線、有線網(wǎng)絡(luò)

WAPI目的：“合法用戶接入合法網(wǎng)絡(luò)”用戶網(wǎng)絡(luò)合法合法WAPI的技術(shù)思想85WLAN（AP）終端終端終端WMAN（基站）有線連接2公里50米LAN（交換機(jī)/路由器）后臺(tái)網(wǎng)絡(luò)終端接入點(diǎn)后臺(tái)AS全I(xiàn)P架構(gòu)下的接入網(wǎng)三元結(jié)構(gòu)86WEP802.1x+EAP(802.11i)、WiMAXWAPI二元安全架構(gòu)對(duì)應(yīng)二物理實(shí)體單向鑒別無法保證安全三元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體接入點(diǎn)/基站有獨(dú)立身份完整雙向認(rèn)證有效保證安全“元”在網(wǎng)絡(luò)安全接入領(lǐng)域指具有認(rèn)證功能的功能體二元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體AP無獨(dú)立身份，易被攻擊仍無法保證安全WAPI構(gòu)筑三元安全架構(gòu)87STA其他網(wǎng)絡(luò)設(shè)備AS服務(wù)器AP鑒別激活接入鑒別請(qǐng)求證書鑒別請(qǐng)求證書鑒別響應(yīng)接入鑒別響應(yīng)訪問網(wǎng)絡(luò)資源（鏈路加密）通信過程身份鑒別過程密鑰協(xié)商請(qǐng)求組播密鑰響應(yīng)密鑰協(xié)商響應(yīng)組播密鑰通告WAPI-WLAN安全接入?yún)f(xié)議采用公鑰證書機(jī)制，通過雙向身份鑒別和密鑰協(xié)商過程實(shí)現(xiàn)安全接入控制和保密通信。WAPI安全協(xié)議流程88知識(shí)域：網(wǎng)絡(luò)架構(gòu)安全知識(shí)子域：網(wǎng)絡(luò)架構(gòu)安全的概念理解網(wǎng)絡(luò)架構(gòu)安全的含義理解網(wǎng)絡(luò)架構(gòu)的安全需求（安全域、安全邊界、用戶接入控制、數(shù)據(jù)安全訪問和控制等）89網(wǎng)絡(luò)架構(gòu)安全的含義網(wǎng)絡(luò)架構(gòu)的定義：定義一：指對(duì)網(wǎng)絡(luò)系統(tǒng)中物理部件的規(guī)劃、規(guī)格描述以及布署定義二：為設(shè)計(jì)、構(gòu)建和管理一個(gè)通信網(wǎng)絡(luò)提供一個(gè)構(gòu)架和技術(shù)基礎(chǔ)的藍(lán)圖。定義三：指對(duì)由軟件、互聯(lián)設(shè)備、通信協(xié)議和傳輸模式等構(gòu)成的網(wǎng)絡(luò)的結(jié)構(gòu)和布署，用以確保可靠的信息傳輸，滿足的業(yè)務(wù)需要。網(wǎng)絡(luò)架構(gòu)安全是網(wǎng)絡(luò)架構(gòu)在安全方面的考慮，是網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)的重要內(nèi)容之一網(wǎng)絡(luò)安全域

定義安全域是遵守相同安全策略的用戶和系統(tǒng)的集合安全域劃分的目的把大規(guī)模系統(tǒng)安全問題化解為更小區(qū)域的安全保護(hù)問題安全域的分類按區(qū)域劃分按組織架構(gòu)劃分按信息資產(chǎn)劃分按業(yè)務(wù)類型劃分91同級(jí)別安全域

同級(jí)別安全域之間的邊界-同級(jí)別安全域之間的安全防護(hù)主要是安全隔離和可信互訪不同級(jí)別安全域

不同級(jí)別安全域之間的邊界－實(shí)際設(shè)計(jì)實(shí)施時(shí)又分為高等級(jí)安全域和低等級(jí)安全域的邊界和防護(hù)遠(yuǎn)程連接用戶

遠(yuǎn)程連接的用戶－對(duì)于遠(yuǎn)程接入用戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的方式進(jìn)行邊界防護(hù)同級(jí)別安全域之間的邊界遠(yuǎn)程接入邊界的安全網(wǎng)絡(luò)安全域防護(hù)92網(wǎng)絡(luò)邊界的概念具有不同安全級(jí)別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界網(wǎng)絡(luò)常見邊界：內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間組織機(jī)構(gòu)各部門之間重要部門與其他部門之間組織機(jī)構(gòu)總部與分支機(jī)構(gòu)之間網(wǎng)絡(luò)邊界安全是最基本的網(wǎng)絡(luò)安全防護(hù)根據(jù)安全域防護(hù)需求，經(jīng)常使用路由器、防火墻、IDS等設(shè)備進(jìn)行安全防護(hù)。

93網(wǎng)絡(luò)邊界防護(hù)目的

實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級(jí)保護(hù)作用把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題依據(jù)信息資產(chǎn)安全策略級(jí)別安全區(qū)域確定區(qū)域94網(wǎng)絡(luò)邊界劃分基本安全防護(hù)

采用常規(guī)的邊界防護(hù)機(jī)制，如基本的登錄/連接控制等，實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)，采用路由器或者三層交換機(jī)。較嚴(yán)格安全防護(hù)

采用較嚴(yán)格的安全防護(hù)機(jī)制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過濾、邊界完整性檢查等嚴(yán)格安全防護(hù)

根據(jù)當(dāng)前信息安全對(duì)抗技術(shù)的發(fā)展，采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄/連接機(jī)制，高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過濾、邊界完整性檢查等特別安全防護(hù)

采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時(shí)可以采用物理隔離安全機(jī)制，實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)95邊界安全防護(hù)機(jī)制96邊界安全防護(hù)技術(shù)防火墻負(fù)載均衡IDS/IPSUTM隔離網(wǎng)閘抗拒絕服務(wù)攻擊……內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界防護(hù)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界防護(hù)內(nèi)部網(wǎng)絡(luò)與分支機(jī)構(gòu)邊界防護(hù)內(nèi)部網(wǎng)絡(luò)重要部門邊界防護(hù)97邊界安全防護(hù)實(shí)施需要考慮的問題是否需要對(duì)外提供服務(wù)，提供什么服務(wù)IP數(shù)量，如何使用IP（NAT或直接服務(wù)）帶寬問題互聯(lián)網(wǎng)病毒傳播問題采取的防護(hù)措施路由器防火墻流量管理防病毒網(wǎng)關(guān)UTM……內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界防護(hù)98需要考慮的問題相互的服務(wù)提供及數(shù)據(jù)交換情況（在保證應(yīng)用的情況下隔離）病毒傳播問題采取的防護(hù)措施路由器防火墻防病毒網(wǎng)關(guān)隔離網(wǎng)閘……內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界防護(hù)99需要考慮的問題連接的方式（VPN或直接網(wǎng)絡(luò)訪問）病毒傳播問題采取的防護(hù)措施VPN防火墻防病毒網(wǎng)關(guān)……100內(nèi)部網(wǎng)絡(luò)與分支機(jī)構(gòu)邊界防護(hù)需要考慮的問題防護(hù)的程度和標(biāo)準(zhǔn)病毒傳播問題非法訪問問題采取的防護(hù)措施VLAN劃分防火墻防病毒網(wǎng)關(guān)……101內(nèi)部網(wǎng)絡(luò)重要部門邊界防護(hù)102線路冗余的價(jià)值防止單點(diǎn)故障可以提高網(wǎng)絡(luò)的健全性、穩(wěn)定性線路冗余的風(fēng)險(xiǎn)廣播風(fēng)暴多幀復(fù)制地址表的不穩(wěn)定線路冗余的解決方法生成樹協(xié)議避免環(huán)路網(wǎng)絡(luò)線路冗余知識(shí)域：網(wǎng)絡(luò)架構(gòu)安全知識(shí)子域：網(wǎng)絡(luò)架構(gòu)安全實(shí)踐掌握網(wǎng)絡(luò)總體設(shè)計(jì)掌握IP地址規(guī)劃、VLAN劃分的基本安全原則掌握網(wǎng)絡(luò)設(shè)備安全功能和安全配置的基本原則掌握網(wǎng)絡(luò)安全設(shè)備部署和配置的基本原則103網(wǎng)絡(luò)總體架構(gòu)（模塊化、層次化）廣域網(wǎng)設(shè)計(jì)105園區(qū)網(wǎng)功能區(qū)域內(nèi)部設(shè)計(jì)106園區(qū)網(wǎng)基礎(chǔ)架構(gòu)設(shè)計(jì)IP地址規(guī)劃從IP地址規(guī)劃中可以看出一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、甚至可以反映出網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)。108為什么需要進(jìn)行IP規(guī)劃提高路由協(xié)議的運(yùn)行效率確保網(wǎng)絡(luò)的性能確保網(wǎng)絡(luò)可擴(kuò)展確保網(wǎng)絡(luò)可管理唯一性連續(xù)性擴(kuò)展性實(shí)意性節(jié)約性IP地址規(guī)劃的原則109核心設(shè)備使用相對(duì)較小的地址所有網(wǎng)關(guān)地址使用相同的末位數(shù)字，如.254都是網(wǎng)關(guān)或.1都是網(wǎng)關(guān)IP地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。IP地址規(guī)劃的技巧110IP地址塊的劃分分層規(guī)劃IP地址核心層需要規(guī)劃的地址匯聚層需要規(guī)劃的地址接入層需要規(guī)劃的地址確定地址塊劃分的總體原則先縱向劃分，再橫向劃分。即：按照業(yè)務(wù)先將地址劃分為公網(wǎng)、VPN1——VPNn。然后再按照地域在每一個(gè)地址塊中為每一個(gè)地域劃分一個(gè)地址塊。先橫向劃分，再縱向劃分。即：按照地域?qū)⒌刂穭澐譃槎鄩K。然后再按照業(yè)務(wù)將每個(gè)地市的地址塊劃分為：公網(wǎng)、VPN1——VPNn。111非體系化的ip編址主干網(wǎng)和每個(gè)分支網(wǎng)絡(luò)需要維護(hù)全網(wǎng)的詳細(xì)IP網(wǎng)段，路由表?xiàng)l目數(shù)明顯增多，明顯增加了路由協(xié)議運(yùn)行開銷。體系化的ip編址主干網(wǎng)只需維護(hù)每個(gè)分支網(wǎng)絡(luò)的一條匯總路由每個(gè)分支網(wǎng)絡(luò)只需要維護(hù)本網(wǎng)絡(luò)區(qū)域的詳細(xì)IP網(wǎng)段，對(duì)于其他每個(gè)分支網(wǎng)絡(luò)只需維護(hù)一條匯總路由。路由表題目數(shù)量很少，明顯減少了路由協(xié)議運(yùn)行開銷。VLAN定義

VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。114VLAN規(guī)劃VLAN定義

VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。115VLAN規(guī)劃VLAN特性劃分廣播域靈活組網(wǎng)

安全隔離3rdFloor2ndFloor1stFloorSalesHRENGAVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLANTrunkSwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN

Trunk實(shí)現(xiàn)分布在多個(gè)交換機(jī)上相同vlan的透明連通維持不同vlan的隔離性FastEthernet劃分VLAN的作用提高網(wǎng)絡(luò)性能實(shí)現(xiàn)二層安全域VLAN的規(guī)劃方法基于端口劃分的VLAN基于MAC地址劃分VLAN為每個(gè)vlan規(guī)劃一個(gè)ip網(wǎng)段118VLAN特點(diǎn)End-to-EndVLAN實(shí)現(xiàn)方法與用戶物理位置無關(guān)的vlan規(guī)劃PVLAN即私有VLAN（PrivateVLAN），PVLAN采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機(jī)或IPDSLAM設(shè)備的每個(gè)端口化為一個(gè)（下層）VLAN，則實(shí)現(xiàn)了所有端口的隔離。

pVLAN通常用于企業(yè)內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。盡管各設(shè)備處于不同的pVLAN中，它們可以使用相同的IP子網(wǎng)。120VLAN實(shí)施-PVLAN防止對(duì)交換機(jī)的未經(jīng)授權(quán)的訪問

配置系統(tǒng)口令和AAA鑒別、授權(quán)服務(wù)。防止非法接入用戶及設(shè)備和mac泛洪、arp欺騙攻擊

配置NAC、交換機(jī)端口安全和DAI功能。防止針對(duì)生成樹協(xié)議的攻擊

配置交換機(jī)生成樹安全功能（BPDUguard、rootguard、loopguard等）。配置網(wǎng)管安全：使用ssh、https或vpn進(jìn)行網(wǎng)管。關(guān)閉空閑的物理端口。交換機(jī)安全配置原則121防止對(duì)路由器的未經(jīng)授權(quán)的訪問--配置系統(tǒng)口令和AAA服務(wù)防止對(duì)網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問--配置NAC和AAA服務(wù)防止網(wǎng)絡(luò)數(shù)據(jù)竊聽