CISP0204协议及网络架构安全.pptx

网络协议及架构安全 培训机构名称 讲师名字 课程内容 2 知识域：网络协议安全 v知识子域：TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协议体系结构和工作原理及其安全威胁 了解IPV6的安全优势 什么是协议 v定义 协议是网络中计算机或设备之间进行通信的一系 列规则的集合 v 理解重点：规则 交通中的红绿黄灯：红灯停、绿灯行就是规则 我国汽车靠右行驶是规则、香港、西方国家靠左 行驶也是规则 4 vOSI七层结构模型 vOSI参考模型的各层 ISO/OSI开放互联模型 5 ISO/OSI七层模型结构 6 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据链路层数据链路层 应用层（高） 数据流层 7 6 5 4 3 2 1 分层结构的优点 v降低复杂性 v促进标准化工作 v各层间相互独立，某一层的变化不会影响其他层 v协议开发模块化 v简化理解与学习 7 数据链路层数据链路层 v 作用 定义物理链路的电气、机械、通信规程 、功能要求等； 电压，数据速率，最大传输距离， 物理连接器； 线缆，物理介质； 将比特流转换成电压； v 典型物理层设备 光纤、双绞线、中继器、集线器等； v 常见物理层标准（介质与速率） 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3； 第一层：物理层 8 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 v 作用 物理寻址，网络拓扑，线路规章等； 错误检测和通告（但不纠错）； 将比特聚成帧进行传输； 流量控制（可选） v 寻址机制 使用数据接收设备的硬件地址（物理地址 ）寻址（如MAC地址） v 典型数据链路层设备 网卡、网桥和交换机 v 数据链路层协议 PPP, HDLC, FR, Ethernet, Token Ring, FDDI 第二层：数据链路层 9 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第二层：以太网协议标准（两个子层） vLLC（Logical Link Control） IEEE 802.2 为上层提供统一接口； 使上层独立于下层物理介质； 提供流控、排序等服务； vMAC（Media Access Control） IEEE 802.3 烧录到网卡ROM； 48比特； 唯一性； LLCLLC MAC MAC 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 10 第三层：网络层 v 作用 逻辑寻址 路径选择 v 寻址机制 使用网络层地址进行寻址（如IP地址） v 网络层典型设备 路由器 三层交换机 11 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第四层：传输层 v 作用 提供端到端的数据传输服务； 建立逻辑连接； v 寻址机制 应用程序的界面端口（如端口号） v 传输层协议 TCP (Transmission Control Protocol) 状态协议； 按序传输； 纠错和重传机制； Socket； UDP (User Datagram Protocol) 无状态协议； SPX 12 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第五层：会话层 v作用 不同应用程序的数据隔离； 会话建立，维持，终止； 同步服务； 会话控制（单向或双向） 13 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第六层：表示层 v作用 数据格式表示； 协议转换； 字符转换； 数据加密/解密； 数据压缩等； v表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG； 14 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第七层：应用层 v作用 应用接口； 网络访问流处理； 流控； 错误恢复； v应用层协议 FTP, Telnet, HTTP, SNMP, SMTP, DNS； 15 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据发送过程-数据封装 Segment Packet Bits Frame PDU 数据接收过程-数据解封 OSI安全体系结构定义的安全服务 vOSI安全体系结构定义了系统应当提供的五类安全 服务，以及提供这些服务的八类安全机制；某种 安全服务可以通过一种或多种安全机制提供，某 种安全机制可用于提供一种或多种安全服务 鉴别； 访问控制； 数据机密性； 数据完整性； 抗抵赖； OSI安全体系结构定义的安全机制 加密； 数字签名； 访问控制； 数据完整性； 鉴别； 流量填充（用于对抗通信流量分析，在加密时才是有 效的）； 路由控制（可以指定路由选择说明，回避某些特定的 链路或子网）； 公证（notarization）； vTCP/IP与OSI模型的对应关系 vTCP/IP 常用协议与安全威胁 TCP/IP协议模型 20 TCP/IP协议与OSI模型的对应 21 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据链路层数据链路层 互联网络层互联网络层 传输层传输层 应用层应用层 网络接口层网络接口层 TCP/IP协议结构 22 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP 网络接口层安全 损坏干扰电磁泄漏 搭线窃听 欺骗 23 拒绝服务 嗅探 网络接口层安全 v损坏：自然灾害、动物破坏、老化、误操作 v干扰：大功率电器/电源线路/电磁辐射 v电磁泄漏：传输线路电磁泄漏 v搭线窃听：物理搭线 v欺骗：ARP欺骗 v嗅探：常见二层协议是明文通信的（以太、arp等） v拒绝服务：mac flooding，arp flooding等 24 ARP 欺骗 DAI（Dynamic ARP Inspection） 是思科交换机的一个安全特性。 DAI能够检查arp数据包的真实性 ，自动过滤虚假的arp包。 利用DAI防御arp欺骗 互联网络层体系结构 27 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP vIP是TCP/IP协议族中最为核心的协议 v不可靠（unreliable）通信 v无连接（connectionless）通信 v提供分层编址体系（ip地址） IP协议简介 28 IP 报头结构 IP 地址类别 *127 (01111111) 是保留用于环回测试的 A 类地址，不能将其分配给网络。 D类 224-2391110 0000 到 1110 1111 组播通信地址 E类 240-2551111 0000 到 1111 1111保留地址，用于测 试 国际互联网私有IP地址范围 类私有地址范围 A 到 55 B 到 55 C 到 55 v特点：构建在IP报文结构上，但被认为是 与IP在同一层的协议 IP报头ICMP报文 8位类型8位代码16位校验和 内容 ICMP协议 32 internet ICMP查询报文 网关 ICMP差错报文 ping ping ICMP查询报文 ICMP差错报文 Couldnt find v传递差错报文及其他需要注意的信息 vICMP地址掩码请求与应答 vICMP时间戮请求与应答 ICMP协议的作用 33 IP层安全 拒绝服务欺骗窃听 伪造 34 互联网络层安全 v拒绝服务：分片攻击（teardrop）/死亡之ping v欺骗：IP源地址欺骗 v窃听：嗅探 v伪造：IP数据包伪造 35 分片攻击（teardrop） vTeardrop的工作原理是利用分片重组漏洞进行攻 击而造成目标系统的崩溃或挂起。 v例如，第一个分片从偏移0开始，而第二个分片在 tcp首部之内。 v理想的解决方案是对ip分片进行重组时，保证 TCP/IP实现不出现安全方面的问题。启用路由器 、防火墙、IDS/IPS的安全特性能够防御tear drop攻击。 36 smurf攻击 v攻击者使用广播地址发送大量的欺骗icmp echo请 求，如果路由器执行了三层广播到二层广播转换 （定向广播），那么，同一ip网段的大量主机会 向该欺骗地址发送icmp echo 应答，导致某一主 机（具有欺骗地址）收到大量的流量，从而导致 了DoS攻击。 v防御方法为关闭路由器或三层交换机的定向广播 功能。 37 防御IP源地址欺骗（rfc3704过滤） v大多数攻击都伴随着ip源地址欺骗。 38 /12 传输层体系结构 39 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP vTCP:传输控制协议 v作用：TCP提供一种面向连接的、可靠的字节流服务 v功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 TCP协议 40 16位源端口号16位目的端口号 32位序号 32位确认序号 偏移量保留U A P R S F 16位窗口大小 16位紧急指针16位校验和 数 据 TCP包头数据结构 TCP首部 41 U R G 紧急指针（u rgent pointer ）有效 A C K 确认序号有效 P S H 接收方应该尽快将这个报文段交给应用层 R S T 重建连接 S Y N 同步序号，用来发起一个连接。 F I N 发送端完成发送任务 TCP首部-标记位 42 vTCP/UDP 通过16bit端口号来识别应用程序 知名端口号由Internet号分配机构（Internet Assigned Numbers Authority,IANA）来管理 v现状 1255端口号分配给知名的网络服务 2561023分配给Unix操作系统特定的服务 10245000 临时分配的端口号 5000以上端口号保留给应用服务 TCP首部-端口号 43 TCP建立连接过程三次握手 CTL = TCP 报头中设置为 1 的控制位 v特点：UDP是一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资源少，效率高 UDP协议 45 16位源端口号16位目的端口号 16位UDP长度16位UDP校验和 数据 UDP协议包头 46 v相同点 同一层的协议，基于IP报文基础上 v不同点 TCP是可靠的，高可用性的协议，但是复杂， 需要大量资源的开销 UDP是不可靠，但是高效的传输协议 UDP与TCP比较 47 传输层安全 拒绝服务欺骗窃听 伪造 48 传输层安全问题 v拒绝服务：syn flood/udp flood、Smurf v欺骗：TCP会话劫持 v窃听：嗅探 v伪造：数据包伪造 49 TCP syn flood攻击 v攻击者使用虚假地址在短时间内向目标主机发送 大量的tcp syn连接请求，导致目标主机无法完成 tcp三次握手，导致目标主机的连接队列被充满， 从而导致目标主机拒绝为合法用户提供tcp服务。 v可以在路由器、防火墙或IPS启用ip源地址过滤（ rfc3704），并启用tcp最大连接数和连接速率限 制等特性进行防御。 50 TCP会话劫持 v攻击者对两台通信主机的信息流进行监视，通过 猜测会话序列号可能注入其中一台主机的信息流 ，当合法主机与网络的连接被断开后，攻击者使 用合法主机的访问权继续进行会话。 v最好的防御方法是使用防火墙或IPS进行会话合法 性检查以及部署加密通信技术（如ipsec等）。 51 TCP 序列号和确认号 应用层协议 v域名解析：DNS v电子邮件：SMTP/POP3 v文件传输：FTP v网页浏览：HTTP v 53 应用层安全 拒绝服务欺骗窃听伪造暴力破解 54 应用层协议的安全问题 v 拒绝服务：超长URL链接、 v 欺骗：跨站脚本、钓鱼式攻击、cookie欺骗 v 窃听：嗅探 v 伪造：应用数据篡改 v 暴力破解：应用认证口令暴力破解等 v 55 应用层协议安全问题-明文 用户名：scn 密码：scn4321 56 实现加密通信 57 v 使用ssh替代telnet v 使用https替代http v 使用S/MIME安全多用途英特网邮件扩展 v 部署ipsec vpn 嗅探攻击 利用各种工具收集目标网络或系统的信息. 常用攻击工具: Sniffers（数据包嗅探） 端口扫描 Ping扫描 嗅探攻击的防御方法 用户和设备身份鉴别 AAA服务、dot1x、NAC等。 数据加密 IPSec、SSL、SSH、WAPI、802.11i等。 部署IDS/IPS 部署交换机基础架构 使用交换机基础架构能够减少数据包嗅探攻击。 访问攻击特点 访问攻击的目的: 获取数据 获取访问特权 常见的访问攻击和工具 口令攻击（各种口令破解工具、嗅探、病毒、木马） 信任关系利用 端口重定向 中间人攻击 缓冲区溢出 访问攻击的防御方法 使用强口令、一次性口令,AAA服务等 部署严格的边界信任和访问控制 防火墙或路由器 Window域或活动目录 Linux、Unix 部署加密技术 部署IDS/IPS 部署路由协议鉴别 AAA 服务 Authentication（身份鉴别） Authorization（授权） Accounting（记账） DoS 攻击特点 DoS攻击的目的是导致目标网络、系统或服务不可 用. Distributed DoS 攻击能够协同大量的攻击主机向 同一个目标进行集群攻击。 DoS 和 DDoS 攻击通常伴随着ip地址欺骗攻击，以 隐藏攻击者. DoS攻击容易实施，但是非常难以彻底防范，需要 所有的互联网ISP和所有的企业和用户共同防御才 能减少其危害（互联网公共道德和安全意识）。 Distributed DoS 示例 DoS 攻击的防御方法 在路由器和防火墙部署防ip源地址欺骗 在路由器和防火墙启用防御DoS安全特性 路由器Tcp拦截、常用acl策略 防火墙tcp连接监控 部署网络和主机IDS/IPS检测和防御DoS攻击 在互联网服务提供商（ISP）部署流量限速 IPv6安全特性 IPv6安全特性 支持移动性支持移动性 地址数量大地址数量大 支持端支持端到端业到端业 务务模式模式 支持支持QoSQoS和性和性 能问题能问题 强制强制IPSECIPSEC 简化的简化的路由表路由表 配置简单配置简单 66 vIPv6与IPv4的地址数量差异 IPv4地址数量：232，共4294967296个地址 IPv6地址数量：2128，共3.402823*1038 每个人可以分配到整个比原来整个IPv4还多的地址，地球上 每平方米可以分配到一千多个地址 vIPv6 提供的许多增强功能 增强的 IP 编址 简化的报头 移动性和安全性 多种过渡方式 IP地址安全特性 67 IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段， 然后是选项字段和数据部分（通常是传输层数据段） IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字 段和五个附加报头字段 简单报文结构 68 v大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin v需要对下列标准进行修改 全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个 IPv6应用问题 69 知识域：网络协议安全 v知识子域：无线网络安全 理解802.11和WAPI无线网络协议原理及其安全特性 v知识子域：移动通信网络安全 了解3G网络（TD-CDMA、CDMA2000、WCDMA）原理及安 全特性 70 无线网络及移动通讯 v无线网络体系及标准 v无线局域网国际标准802.11x安全问题 vWAPI标准介绍 v3G技术概述 71 无线技术 72 PAN (Personal Area Network) LAN (Local Area Network) WAN (Wide Area Network) MAN (Metropolitan Area Network) PANLANMANWAN Standards Bluetooth 802.15.3 UltraWideBan d (WiMedia) 802.11 802.11 (Wi-Fi) 802.16 (Wi- Max) 802.20 GSM, CDMA, Satellite Speed 1 Mbps11 to 54 Mbps 10-100+ Mbps 10 Kbps2 Mbps RangeShortMediumMedium-LongLong Application s Peer-to-Peer Device-to- Device Enterprise Networks Last Mile Access Mobile Data Devices v无线局域网的传输媒质分为无线电波和光波两类 v无线电波主要使用无线电波和微波，光波主要使用 红外线 v无线电波和微波频率由各个国家的无线电管理部门 规定，分为专用频段和自由频段。专用频段需要经 过批准的独自有偿使用的频段；自由频段主要是指 ISM频段（Industrical，Scientific，Medical） 无线局域网基本概念 73 无线局域网网络结构 AP STA v无线站点（station，STA） 无线网的端头设备，例如笔记 本、掌上电脑等 v无线接入点（Access Point ，AP） 专用的无线接入设备 v分布系统（distribution system，DS） 其他网络，无线或者有线网络 DS 74 无线局域网 安全风险 无线局域网安全问题 75 传统无线安全防护措施 v服务集标识符SSID 极易暴露和伪造，没有安全性可言 v物理地址（MAC）过滤 MAC地址容易伪造，扩展性差 v有线等效加密（WEP） IEEE802.11定义的WEP保密机制加密强度不足， 在很短的时间内WEP密钥即可被破解 WEP机制本身存在安全漏洞，密钥长度增加无法解 决问题，目前各种基于WEP的改进措施（WPA） 等安全性仍然没有得到根本解决。 76 问题示例：“中间人”攻击 后台后台AS AS 合法合法AP AP 伪造伪造APAP 用户（终端）用户（终端） 攻击者攻击者 攻击者利用伪造AP进行中间人攻击： 伪造AP对用户（终端）相当于合法AP；对合法AP相当于用户（终端） 77 WAPI标准简介 vWAPI(WLAN Authentication and Privacy Infrastructure)是我国自主研发的，拥有自主知 识产权的无线局域网安全技术标准 78 2001200320042005200620082009 启动标 准编制 标准推 出并准 备强制 启用 无限期退 出强制执 行并申请 国际标准 政府发文 促进 标准体系 完善，国 际标准投 票失败 启动第 二次国 际标准 申请， 可能成 为独立 标准 标准化组 织达成共 识，推动 成为独立 标准 计算机 WAPIGB 15629.11-2003 GB 15629.11-2003 /XG1-2006 GB 15629.1102 -2003 GB 15629.1101 -2006 GB 15629.1104 -2006 GB/T 15629.1103 -2006 5.8 GHz 54 Mbps 2.4 GHz 11 Mbps 不同国家 之间漫游 2.4 GHz 54 Mbps 2006年6月颁布四项新的无线 局域网国家标准。 形成全面采用WAPI我国无线局 域网国家标准体系 基于WAPI的无线局域网标准体系 79 2009-3-09 v基于三元结构和对等鉴 别的访问控制方法 v 可普遍适用于无线、 有线网络 v WAPI目的：“合法用 户接入合法网络” 用户 网络 WAPI的技术思想 80 WLANWLAN（APAP） 终端终端 终端终端 终端终端 WMANWMAN（基站）（基站） 有线连接有线连接 2 2公里公里 5050米米 LANLAN（交换机（交换机/ /路由器）路由器） 后台网络后台网络 终端终端 接入点接入点 后台后台AS AS 全IP架构下的接入网三元结构 81 WEPWEP 802.1x+EAP(802.11i) 802.1x+EAP(802.11i) 、WiMAXWiMAX WAPIWAPI 二元安全架构对应 二物理实体 单向鉴别 无法保证安全 三元安全架构对 应三物理实体 接入点/基站有独立身份 完整双向认证 有效保证安全 “元”在网络安全接入领域指具有认证功能的功能体 二元安全架构对应 三物理实体 AP无独立身份， 易被攻击 仍无法保证安全 WAPI构筑三元安全架构 82 STA 其他网络设备 AS 服务器 AP 鉴别激活 接入鉴别请求 证书鉴别请求 证书鉴别响应 接入鉴别响应 访问网络资源 （链路加密） 通 信 过 程 身 份 鉴 别 过 程 密钥协商请求 组播密钥响应 密钥协商响应 组播密钥通告 WAPI-WLAN安全接入协议采用公钥证书机制， 通过双向身份鉴别和密钥协商过程实现安全接入 控制和保密通信。 WAPI安全协议流程 83 应用层 表示层 TCP/IP 链路层（MAC） 物理层 ISO 7ISO 7层模型层模型 标准标准 通信协议：模块化构成特征 84 互相啮合，而非叠加或拼凑 必然存在于芯片中 应用层 表示层 TCP/IP 链路层（MAC） 物理层 ISO 7ISO 7层模型层模型 标准标准 通信协议：模块化构成特征 85 WAPI取代802.11中的WEP/TKIP 802.11i(802.1x+EAP) 示例：WAPI与无线局域网技术地位 86 3G概述 v第三代移动通信系统（3G）:IMT2000 采用宽带码分多址(CDMA)，实现移动宽带多媒体通信 IMT2000:2000年，在2000M频段实现2000K的数据通信 v3G对数据通信速率的要求 室内环境至少2Mbps 室内外步行环境至少384kbps 室外车辆运动中至少144kbps 卫星移动环境至少9.6Kbps vIMT2000推荐的3种制式： WCDMA、CDMA2000、TD-SCDMA 87 WCDMA技术特性 vWCDMA（宽带分码多工存取） vWCDMA的版本 Release 99(R99)release 4(R4)、release 5、 release6（R6） v各版本的特点 R99：兼容性好、技术成熟、风险小，但语音质量差、 核心网采用过时TDM技术，效率低且网管复杂 R4：全新协议和技术，风险较大 R5：R4的一个补充，用于满足IP多媒体业务 88 CDMA2000技术特性 vCDMA2000的阶段 CDMA2000 1XEV-DO 语音分离的信道传输数据 CDMA2000 1XEV-DO 数据信道语音信道合一 vCMDA2000网络安全 无线链路采用伪随机码对信号进行扩频，很难监听 安全协议依赖64bit认证密钥和终端序列号 网络对接入终端认证，终端不认证网络 89 v特点 TDD技术 基于智能天线； 采用软件无线电技术； 采用1.6MHz载频间隔； v优点 频段使用灵活；采用1.6MHz带宽，在5MHz内可有三个载频 ，系统应用灵活 适应于非对称数据传输，适合无线Internet业务 频谱效率高，容量大； 成本低； TD-CDMA的技术优势和特点 90 3G安全的威胁来自哪里 v智能终端及多种接入方式带来的风险 v无线、移动接入的风险 v漫游带来的风险 v消息和业务带来的风险 v互联网访问及下载带来的风险 91 3G安全目标 v确保用户相关的信息安全 v确保网络资源和业务安全 v确保安全特征的充分标准化 v确保给用户和业务提供者提供的安全水平高于当 前正在使用的固定网络和移动网络 v安全确保3G安全特征的可扩展性 92 3G安全架构 v网络接入安全 确保3G服务接入的安全，重点考虑无线链路上的安 全问题，例如用户信息保密（身份、位置、行政） ，认证信息保密、用户数据与信令数据的保密及消 息认证。 v网络域安全 3G提供者域节点直接的数据交换安全，重点是有线 网络上的攻击，包括相互之间实体身份认证、数据 加密、 主要保证提供者域的节点之间能够安全交换数据， 并对抗有线网络上的攻击。包括网络实体间身份认 证、数据加密、消息认证、以及对欺骗信息的收集 93 3G架构安全 v用户域安全 确保移动台的安全接入，只有获得授权才可以访问 移动终端 v应用域安全 确保用户应用与提供者应用之间安全的交换信息， 重点包括针对应用数据攻击的检测和应用数据完整 性保护等 94 3G网络接入安全 v增强的用户身份保密 v认证和密钥协商 v机密性保护 v完整性保护 v2G和3G网络共存时的用户鉴权 95 知识域：网络架构安全 v知识子域：网络架构安全基础 理解网络安全域的含义 理解网络边界防护的含义 理解网络冗余等安全措施的作用 96 网络安全域 v定义 安全域是遵守相同安全策略的用户和系统的集合 v安全域划分的目的 把大规模负责系统安全问题化解为更小区域的安全 保护问题 v安全域的分类 按信息资产划分 按业务类型划分 按区域划分 按组织架构划分 97 v同级别安全域 同级别安全域之间的边界-同级别 安全域之间的安全防护主要是安全 隔离和可信互访 v不同级别安全域 不同级别安全域之间的边界实 际设计实施时又分为高等级安全域 和低等级安全域的边界和防护 v远程连接用户 远程连接的用户对于远程接入用户 通常采用VPN结合用户认证授权的 方式进行边界防护 同级别安全域之间的边界 远程接入边界的安全 网络安全域防护 98 v网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网 络边界 v网络常见边界： 内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间 99 网络边界防护 v目的 实现大规模复杂信息系统安全等级保护 v作用 把一个大规模复杂系统的安全问题，化解为更小区域的 安全保护问题 v依据 信息资产安全策略级别安全区域 确定区域 100 网络边界划分 v基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息 系统边界安全防护，采用路由器或者三层交换机。 v较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防 火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等 v严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格 的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防御、信息 过滤、边界完整性检查等 v特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制， 实现特别安全要求的边界安全防护 101 边界安全防护机制 102 边界安全防护技术 v防火墙 v负载均衡 vIDS/IPS vUTM v隔离网闸 v抗拒绝服务攻击 v v内部网络与互联网边界防护 v内部网络与外部网络边界防护 v内部网络与分支机构边界防护 v内部网络重要部门边界防护 103 边界安全防护实施 v需要考虑的问题 是否需要对外提供服务，提供什么服务 IP数量，如何使用IP（NAT或直接服务） 带宽问题 互联网病毒传播问题 v采取的防护措施 路由器 防火墙 流量管理 防病毒网关 UTM 内部网络与互联网边界防护 104 v需要考虑的问题 相互的服务提供及数据交换情况（在保证应用的情况下 隔离） 病毒传播问题 v采取的防护措施 路由器 防火墙 防病毒网关 隔离网闸 内部网络与外部网络边界防护 105 v需要考虑的问题 连接的方式（VPN或直接网络访问） 病毒传播问题 v采取的防护措施 VPN 防火墙 防病毒网关 106 内部网络与分支机构边界防护 v需要考虑的问题 防护的程度和标准 病毒传播问题 非法访问问题 v采取的防护措施 VLAN划分 防火墙 防病毒网关 107 内部网络重要部门边界防护 108 v线路冗余的价值 防止单点故障 可以提高网络的健全性、稳定 性 v线路冗余的风险 广播风暴 多帧复制 地址表的不稳定 v线路冗余的解决方法 生成树协议避免环路 网络线路冗余 知识域：网络架构安全 v知识子域：网络安全规划实践 掌握IP地址规划、VLAN划分的基本安全原则 掌握网络设备安全配置（交换机、路由器、无线局 域网）的基本原则 掌握网络安全设备部署和配置的基本原则 109 IP地址规划 从IP地址规划中可以看出 一个网络的规划质量、 甚至可以反映出网络设 计师的技术水准。 110 v为什么需要进行IP规划 提高路由协议的运行效率 确保网络的性能 确保网络可扩展 确保网络可管理 v唯一性 v连续性 v扩展性 v实意性 v节约性 IP地址规划的原则 111 v核心设备使用相对较小的地址 v所有网管地址使用相同的末位数字，如 .254都是网关或.1都是网关 vIP地址通常要聚合后发布，在规划时要充 分考虑使用连续的可聚合地址。 IP地址规划的技巧 112 IP地址块的划分 v分层规划IP地址 核心层需要规划的地址 汇聚层需要规划的地址 接入层需要规划的地址 v确定地址块划分的总体原则 先纵向划分，再横向划分。即：按照业务先将地址 划分为公网、VPN1VPNn。然后再按照地域在每 一个地址块中为每一个地域划分一个地址块。 先横向划分，再纵向划分。即：按照地域将地址划 分为多块。然后再按照业务将每个地市的地址块划 分为：公网、VPN1VPNn。 113 非体系化的ip编址 主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明 显增多，明显增加了路由协议运行开销。 体系化的ip编址 主干网只需维护每个分支网络的一条汇总路由 每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分 支网络只需维护一条汇总路由。 路由表题目数量很少，明显减少了路由协议运行开销。 vVLAN定义 VLAN（Virtual Local Area Network）的中文名为“虚 拟局域网“。VLAN是一种将局域网设备从逻辑上划分 成一个个网段，从而实现虚拟工作组的新兴数据交换 技术。 116 VLAN规划 v划分VLAN的作用 有效的宽带利用 安全性 多路径负载均衡 隔离故障域 vVLAN的分类 基于端口划分的VLAN 基于MAC地址划分VLAN PVLAN（private vlan） 117 VLAN实施 End-to-End VLAN 实现方法 与用户物理位置无关的vlan规划 Local VLAN 实现方法 Local VLANs 内的用户都终止于一个共同的物理边界。 VLA