網(wǎng)絡(luò)安全培訓(xùn)課程課件

1、網(wǎng)絡(luò)安全培訓(xùn)課程,LOGO,重慶網(wǎng)安計(jì)算機(jī)技術(shù)服務(wù)中心,網(wǎng)絡(luò)安全培訓(xùn)課程,網(wǎng)絡(luò)安全培訓(xùn)課程,2,目錄,認(rèn)識信息安全等級保護(hù),1,了解網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù),2,學(xué)習(xí)網(wǎng)絡(luò)故障排查-實(shí)例,3,網(wǎng)絡(luò)安全培訓(xùn)課程,3,信息安全等級保護(hù)簡介,信息安全等級的劃分與適用范圍,我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分細(xì)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，根據(jù)細(xì)則將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個安全保護(hù)等級： 第一級：用戶自主保護(hù)級。用戶自主保護(hù)級通過身份鑒別，自主訪問控制機(jī)制，要求系統(tǒng)提供每一個用戶具有對自身所創(chuàng)造的數(shù)據(jù)進(jìn)行安全保護(hù)的能力。適用于普通內(nèi)聯(lián)網(wǎng)用戶。 第二級：系統(tǒng)審計(jì)保

2、護(hù)級。在用戶自主保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)系統(tǒng)的審計(jì)功能，要求通過審計(jì)、資源隔離等安全機(jī)帛，使每一個用戶對自己的行為負(fù)責(zé)。適用于內(nèi)聯(lián)/國際互聯(lián)網(wǎng)需要保密商務(wù)活動的用戶。 第三級：安全標(biāo)記保護(hù)級。在系統(tǒng)審計(jì)保護(hù)的基礎(chǔ)上，從安全功能的設(shè)置和安全強(qiáng)度的要求方面均有明顯的提高。首先，增加了標(biāo)記和強(qiáng)制訪問控制功能。同時(shí)，對身份鑒別、審計(jì)、數(shù)據(jù)完整性等安全功能均有更進(jìn)一步的要求。如要求使用完整性敏感性標(biāo)記，確保信息在網(wǎng)絡(luò)傳輸?shù)耐暾?。一般黨政機(jī)關(guān)、金融機(jī)構(gòu)、大型商業(yè)工業(yè)用戶。 第四級：結(jié)構(gòu)化保護(hù)級。在安全標(biāo)記保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)通過結(jié)構(gòu)化設(shè)計(jì)方法使得所具有的安全功能具有更高的安全要求。適用于國家機(jī)關(guān)、中

3、央金融機(jī)構(gòu)、尖端科技和國防應(yīng)用系統(tǒng)單位。 第五級：訪問控制保護(hù)級。訪問驗(yàn)證保護(hù)級重點(diǎn)強(qiáng)調(diào)”訪問“監(jiān)控器本身的可驗(yàn)證性，也是從安全功能的設(shè)計(jì)和實(shí)現(xiàn)方面提出更高要求。適用于國防關(guān)鍵應(yīng)用以及國家特殊隔離信息系統(tǒng)使用單位。,網(wǎng)絡(luò)安全培訓(xùn)課程,4,信息安全等級保護(hù),網(wǎng)絡(luò)安全培訓(xùn)課程,5,信息安全系統(tǒng)定級,系統(tǒng)定級,需要特別說明的是,定級是等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級測評等后續(xù)工作都失去了針對性。,信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)

4、評估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。,網(wǎng)絡(luò)安全培訓(xùn)課程,6,系統(tǒng)定級一般流程,信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全。信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。,業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等

5、級稱系統(tǒng)服務(wù)安全等級。,由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。,網(wǎng)絡(luò)安全培訓(xùn)課程,7,系統(tǒng)定級一般流程,網(wǎng)絡(luò)安全培訓(xùn)課程,8,信息安全等級保護(hù)制度是國家信息安全保障的基本制度、基本策略、基本方法 ；是當(dāng)今發(fā)達(dá)國家的通行做法，也是我國多年來信息安全工作經(jīng)驗(yàn)的總結(jié) 。,信息安全等級保護(hù)工作的重要意義,開展信息安全等級保護(hù)工作：有利于同步建設(shè) ；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任 ；有利于產(chǎn)業(yè)發(fā)展。,網(wǎng)絡(luò)安全培訓(xùn)課程,9,網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù),網(wǎng)絡(luò)基礎(chǔ)與OSI模型,1,TCP-IP編址,2,交換原理和VLAN,網(wǎng)絡(luò)安全培訓(xùn)課程,10,網(wǎng)絡(luò)基礎(chǔ)與OSI模型

6、,計(jì)算機(jī)網(wǎng)絡(luò)定義：通過通信線路和通信設(shè)備將不同地理位置上的計(jì)算機(jī)系統(tǒng)互連起來的一個計(jì)算機(jī)系統(tǒng)的集合，通過運(yùn)行特定的操作系統(tǒng)和通信協(xié)議來實(shí)現(xiàn)數(shù)據(jù)通信和資源共享。 計(jì)算機(jī)網(wǎng)絡(luò)組成：通信線路、通信設(shè)備、計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、通信協(xié)議、通信子網(wǎng)、資源子網(wǎng)。 計(jì)算機(jī)網(wǎng)絡(luò)類型：局域網(wǎng)、廣域網(wǎng)。,網(wǎng)絡(luò)安全培訓(xùn)課程,11,計(jì)算機(jī)網(wǎng)絡(luò)組成,網(wǎng)絡(luò)安全培訓(xùn)課程,12,計(jì)算機(jī)網(wǎng)絡(luò)類型,運(yùn)行在有限的地理區(qū)域；允許網(wǎng)絡(luò)設(shè)備同時(shí)訪問高帶寬的介質(zhì)； 通過局部管理控制網(wǎng)絡(luò)的權(quán)限；提供全時(shí)的局部服務(wù)； 連接物理上相鄰的設(shè)備。,通常指幾公里以內(nèi)的，可以通過某種介質(zhì)互聯(lián)的計(jì)算機(jī)、打印機(jī)或其它 設(shè)備的集合。目前,大多數(shù)網(wǎng)絡(luò)都使用某些形

7、式的以太網(wǎng)。,1,距離短、延遲小、 數(shù)據(jù)速率高、傳輸可靠,特點(diǎn),設(shè)計(jì)目標(biāo),局域網(wǎng),2,網(wǎng)絡(luò)安全培訓(xùn)課程,13,計(jì)算機(jī)網(wǎng)絡(luò)類型,運(yùn)行在廣闊的地理區(qū)域；通過低速串行鏈路進(jìn)行訪問； 網(wǎng)絡(luò)控制服從公共服務(wù)的規(guī)則；提供全時(shí)的或部分時(shí)間的連接； 連接物理上分離的、遙遠(yuǎn)的、甚至全球的設(shè)備,在大范圍區(qū)域內(nèi)提供數(shù)據(jù)通信服務(wù)，主要用于互連局域網(wǎng)。,1,公用電話網(wǎng)：PSTN 綜合業(yè)務(wù)數(shù)字網(wǎng)：ISDN 數(shù)字?jǐn)?shù)據(jù)網(wǎng)：專線 幀中繼：Frame Relay 異步傳輸模式：ATM,分類,設(shè)計(jì)目標(biāo),廣域網(wǎng),2,網(wǎng)絡(luò)安全培訓(xùn)課程,14,OSI七層參考模型,OSI模型：1984年由國際標(biāo)準(zhǔn)化組織ISO國際標(biāo)準(zhǔn)化組織提出。 目的：提

8、供一個大家共同遵守的標(biāo)準(zhǔn)，解決不同網(wǎng)絡(luò)之間的兼容性和互操作性問題。 分層標(biāo)準(zhǔn)：依據(jù)功能來劃分。 OSI七層參考模型的優(yōu)點(diǎn)： 促進(jìn)標(biāo)準(zhǔn)化工作,允許各個供應(yīng)商進(jìn)行開發(fā). 各層間相互獨(dú)立,把網(wǎng)絡(luò)操作分成低復(fù)雜性單元. 靈活性好,某一層變化不會影響到別層. 各層間通過一個接口在相鄰層上下通信.,網(wǎng)絡(luò)安全培訓(xùn)課程,15,OSI分層結(jié)構(gòu),數(shù)據(jù)流層,傳輸層,數(shù)據(jù)鏈路層,網(wǎng)絡(luò)層,物理層,應(yīng)用層 (高),會話層,表示層,應(yīng)用層,負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸,負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸,網(wǎng)絡(luò)安全培訓(xùn)課程,16,OSI分層結(jié)構(gòu),規(guī)定通信設(shè)備的機(jī)械的、電氣的、功能的和規(guī)程的特性。主要涉及比特的傳輸，網(wǎng)絡(luò)接口卡和網(wǎng)絡(luò)連接等.,沒有智能

9、性，只能對bit 流進(jìn)行簡單的處理。如傳輸，放大，復(fù)制等。,網(wǎng)線：bit 流的傳輸. 中繼器：信號的放大. 集線器：信號的放大和復(fù)制.,網(wǎng)絡(luò)安全培訓(xùn)課程,17,OSI分層結(jié)構(gòu),在相鄰節(jié)點(diǎn)之間建立鏈路，傳送數(shù)據(jù)幀。工作在同一個網(wǎng)段。主要涉及介質(zhì)訪問控制、連接控制、流量控制和差錯控制等。,定義物理地址，標(biāo)識節(jié)點(diǎn)。 將bit流組合成數(shù)據(jù)幀。,交換機(jī)：能識別數(shù)據(jù)幀中的MAC地址信息，在同一網(wǎng) 段轉(zhuǎn)發(fā)數(shù)據(jù)。有智能，進(jìn)行定向轉(zhuǎn)發(fā)。,網(wǎng)絡(luò)安全培訓(xùn)課程,18,OSI分層結(jié)構(gòu),是一座橋梁，將不同規(guī)范的網(wǎng)絡(luò)互連起來。在不同網(wǎng)段路由數(shù)據(jù)包。,定義IP地址，由32bit的二進(jìn)制數(shù)組成，點(diǎn)分十進(jìn)制表示。 路由轉(zhuǎn)發(fā)，通過

10、路由表實(shí)現(xiàn)三層尋址.,MAC地址（二層） 物理地址 平面結(jié)構(gòu) 身份 IP地址 （三層） 邏輯地址 層次結(jié)構(gòu) 位置,網(wǎng)絡(luò)安全培訓(xùn)課程,19,OSI分層結(jié)構(gòu),實(shí)現(xiàn)終端用戶到終端用戶之間的連接?？梢詫?shí)現(xiàn)流量控制、負(fù)載均衡。,分段，使數(shù)據(jù)的大小適合在網(wǎng)絡(luò)上傳遞。 區(qū)分服務(wù)，端口號標(biāo)識上層的通信進(jìn)程。,網(wǎng)絡(luò)安全培訓(xùn)課程,20,OSI分層結(jié)構(gòu),在兩個應(yīng)用程序之間建立會話，管理會話，終止會話。一旦建立連接，會話層的任務(wù)就是管理會話。 主要由操作系統(tǒng)來完成，把不同的應(yīng)用程序設(shè)置內(nèi)存區(qū)間，分配相應(yīng)的內(nèi)存，CPU資源，保持不同的應(yīng)用程序的數(shù)據(jù)獨(dú)立性。,將數(shù)據(jù)轉(zhuǎn)換成接收設(shè)備可以了解的格式. 翻譯數(shù)據(jù)格式，加密，壓縮

11、.,網(wǎng)絡(luò)安全培訓(xùn)課程,21,OSI分層結(jié)構(gòu),為具體的應(yīng)用程序提供服務(wù)，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用（WWW FTP QQ SMTP POP3）。 我們說某個應(yīng)用程序的界面是否友好，就是應(yīng)用層完成的。應(yīng)用層為用戶和計(jì)算機(jī)會話提供一個界面。 計(jì)算機(jī)有他的語言，人有人的語言，人要和計(jì)算機(jī)交流，必須有一個窗口來把信息傳遞出來。,網(wǎng)絡(luò)安全培訓(xùn)課程,22,數(shù)據(jù)的封裝與解封裝,數(shù)據(jù)封裝,解封裝,數(shù)據(jù)要通過網(wǎng)絡(luò)進(jìn)行傳輸，要從高層逐層的向下傳送，如果一個主機(jī)要傳送數(shù)據(jù)到別的主機(jī)，先把數(shù)據(jù)裝到一個特殊協(xié)議報(bào)頭中，這個過程叫封裝。,上述的逆向過程。,網(wǎng)絡(luò)安全培訓(xùn)課程,23,封裝過程,TCP 頭,LLC 頭,IP 頭,MAC 頭

12、,網(wǎng)絡(luò)安全培訓(xùn)課程,24,解封裝過程,TCP 頭,IP 頭,LLC 頭,MAC 頭,網(wǎng)絡(luò)安全培訓(xùn)課程,25,數(shù)據(jù)傳輸過程,網(wǎng)絡(luò)安全培訓(xùn)課程,26,沖突域和廣播域,沖突域：一個支持共享介質(zhì)的網(wǎng)段。,廣播域：廣播幀傳輸?shù)木W(wǎng)絡(luò)范圍，一般是路由器來設(shè)定邊界 （因?yàn)閞outer不轉(zhuǎn)發(fā)廣播）。,沖突：在以太網(wǎng)中，當(dāng)兩個節(jié)點(diǎn)同時(shí)傳輸數(shù)據(jù)時(shí)，從兩個設(shè)備發(fā)出的幀將會碰撞， 在物理介質(zhì)上相遇，彼此數(shù)據(jù)都會被破壞。,網(wǎng)絡(luò)安全培訓(xùn)課程,27,OSI模型的缺陷及意義,提供了網(wǎng)絡(luò)間互連的參考模型。 成為實(shí)際網(wǎng)絡(luò)建模、設(shè)計(jì)的重要參考工具和理論依據(jù)。 為我們提供了進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)與分析的方法。,許多功能在多個層次重復(fù)，有冗余感（

13、如流2.3.4層都有，差錯控制等，數(shù)據(jù)鏈路層有流控）。 各層功能分配不均勻（鏈路、網(wǎng)絡(luò)層任務(wù)重，會話層任務(wù)輕）。 功能和服務(wù)定義復(fù)雜，很難產(chǎn)品化。,OSI模型的缺陷,OSI模型的意義,網(wǎng)絡(luò)安全培訓(xùn)課程,28,TCP/IP與OSI,TCP/IP與OSI的比較: TCP/IP 分四層，OSI分的是七層。 TCP/IP網(wǎng)絡(luò)實(shí)踐上的標(biāo)準(zhǔn)，OSI網(wǎng)絡(luò)理論的標(biāo)準(zhǔn)。 TCP/IP定義每一層功能如何實(shí)現(xiàn),OSI定義每一層做什么。 TCO/IP的每一層都可以映射到OSI模型中去。,網(wǎng)絡(luò)安全培訓(xùn)課程,29,TCP/IP與OSI,應(yīng)用層,表示層,會話層,傳輸層,網(wǎng)絡(luò)層,數(shù)據(jù)鏈路層,物理層,應(yīng)用層,傳輸層,網(wǎng)絡(luò)層,網(wǎng)

14、絡(luò)接口層,網(wǎng)絡(luò)安全培訓(xùn)課程,30,TCP/IP應(yīng)用層,應(yīng)用層,傳輸層,網(wǎng)絡(luò)層,文件傳輸 - TFTP * - FTP * E-Mail - SMTP 遠(yuǎn)程登陸 - Telnet * - SSH* 網(wǎng)絡(luò)管理 - SNMP * 名稱管理 - DNS*,網(wǎng)絡(luò)接口層,網(wǎng)絡(luò)安全培訓(xùn)課程,31,TCP/IP傳輸層,傳輸控制協(xié)議(TCP) 面向連接 用戶數(shù)據(jù)報(bào)協(xié)議(UDP) 非面向連接,應(yīng)用層,傳輸層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)接口層,網(wǎng)絡(luò)安全培訓(xùn)課程,32,端口號,TCP,端口號,FTP,TELNET,DNS,SNMP,TFTP,SMTP,UDP,應(yīng)用層,21,23,25,53,69,161,RIP,520,傳輸層,網(wǎng)

15、絡(luò)安全培訓(xùn)課程,33,端口號作用,源端口,目標(biāo)端口,Host A,1028,23,SP,DP,Host Z,Telnet Z,目標(biāo)端口 = 23.,端口號標(biāo)識上層通信進(jìn)程。 小于1024 為周知端口、1024-5000為臨時(shí)端口、大于5000為其他服務(wù)預(yù)留。,網(wǎng)絡(luò)安全培訓(xùn)課程,34,TCP 確認(rèn)機(jī)制,發(fā)送方,發(fā)送 1,接收 1,發(fā)送 ACK 2,發(fā)送 2,接收 2,發(fā)送 ACK 3,發(fā)送 3,接收 3,接收 ACK 4,滑動窗口 = 1,接收方,網(wǎng)絡(luò)安全培訓(xùn)課程,35,TCP 三次握手,發(fā)送 SYN (seq=100 ctl=SYN),接收 SYN,發(fā)送 SYN, ACK (seq=300 a

16、ck=101 ctl=syn,ack),建立會話 (seq=101 ack=301 ctl=ack),Host A,Host B,接收 SYN,TCP連接建立,網(wǎng)絡(luò)安全培訓(xùn)課程,36,IP地址組成,IP地址為32Bit二進(jìn)制數(shù)組成，用點(diǎn)分十進(jìn)制表示。 （例如：/24）,IP地址=網(wǎng)絡(luò)位+主機(jī)位,用來標(biāo)識一個IP地址哪些是網(wǎng)絡(luò)位, 哪些是主機(jī)位。 用1 標(biāo)識網(wǎng)絡(luò)為，用0標(biāo)識主機(jī)位。,網(wǎng)絡(luò)安全培訓(xùn)課程,37,IP地址分類,A類 （1-126） 前8位表示網(wǎng)絡(luò)位，后24位表示主機(jī)位。,B類 （128-191） 前16位表示網(wǎng)絡(luò)位，后16位表示主機(jī)位。,C類 （192-223）

17、前24位表示網(wǎng)絡(luò)位，后8位表示主機(jī)位。,D類 （224-239） 用于組播地址。,5類IP,E類 （240-255） 科研使用。,網(wǎng)絡(luò)安全培訓(xùn)課程,38,特殊IP地址,本地回環(huán)(loopback)測試地址,廣播地址,代表任何網(wǎng)絡(luò),,,55,主機(jī)位全為1: 代表該網(wǎng)段的所有主機(jī)。,網(wǎng)絡(luò)安全培訓(xùn)課程,39,私有IP地址,1,256,16,C類256個： /24 - /24,A類1個：/8,B類16個： /16 -/16,網(wǎng)絡(luò)安全培訓(xùn)課程,

18、40,子網(wǎng)劃分的核心思想,“借用”主機(jī)位來“制造”新的“網(wǎng)絡(luò)”,16,網(wǎng)絡(luò),主機(jī),60,,172,2,0,10101100,11111111,10101100,00010000,11111111,00010000,11111111,00000010,10100000,00000000,00000000,00000010,子網(wǎng)（借位）,網(wǎng)絡(luò)號,128 192 224 240 248 252 254 255,網(wǎng)絡(luò)安全培訓(xùn)課程,41,劃分子網(wǎng)方法,所選擇的子網(wǎng)掩碼將會產(chǎn)生多少個子網(wǎng)?: 2的x 次方(x代表借掩碼位數(shù))。 每個子網(wǎng)能有多少主機(jī)?: 2的y 次方-2(y代表當(dāng)前主機(jī)位數(shù))。 每個子網(wǎng)的廣播地址是?: 廣播地址=下個子網(wǎng)號-1 每個子網(wǎng)的有效主機(jī)分別是?: 忽略全為0和全為1的地址，剩下的就是有效主機(jī)地址。,網(wǎng)絡(luò)安全培訓(xùn)課程,42,子網(wǎng)劃分優(yōu)點(diǎn),