网络安全培训课程PPT课件

LOGO，重庆网络安全计算机技术服务中心，网络安全培训课程，第2页，目录，了解信息安全等级保护，第1页，了解网络基础和安全保护，第2页，学习网络故障排除-示例，第3页，第3页，信息安全等级保护简介，信息安全等级的分类和适用范围，我国计算机信息系统安全保护等级划分细则于1999年9月13日获得国家质量技术监督局的批准和正式批准。根据本细则，计算机信息系统安全防护能力分为五个安全防护等级：一级：用户独立防护等级。用户自我保护级别要求系统为每个用户提供通过身份认证和自我访问控制机制安全保护自己创建的数据的能力。适合普通内部网用户。级别2:系统审计保护级别。基于用户的独立保护级别，强调系统的审计功能，要求每个用户通过审计、资源隔离和其他安全机制对自己的行为负责。它适用于需要在内部网/互联网上进行机密商业活动的用户。等级3:安全标志保护等级。在系统审计保护的基础上，安全功能的设置和安全强度的要求有了明显的改进。首先，增加了标记和强制访问控制的功能。同时，对身份认证、审计、数据完整性和其他安全功能还有进一步的要求。例如，要求使用完整性敏感标记来确保网络上信息传输的完整性。一般党政机关、金融机构、大型商业工业用户。级别4:结构化保护级别。在安全标志保护级别的基础上，重点通过结构化设计方法使安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。级别5:访问控制保护级别。访问验证保护级别侧重于“访问”监视器本身的可验证性，这也对安全功能的设计和实现提出了更高的要求。适用于重点国防应用和特殊国家隔离信息系统用户。第4页，信息安全级别保护，第5页，信息安全系统分级，系统分级。需要特别指出的是，分级是等级保护的主要环节，是开展信息系统建设、整改、评估、备案、监督检查等后续工作的重要依据。信息系统安全水平不确定，系统建设、整改、归档、等级评定等后续工作失去了针对性。信息系统的安全防护水平是信息系统的客观属性。它不是基于已经采取或将要采取的安全保护措施，也不是基于风险评估，而是基于信息系统的重要性以及信息系统被破坏后对国家安全、社会稳定和人民合法权益的损害程度。第6页，系统分级的一般流程，信息系统安全，包括业务信息安全和系统服务安全。信息安全是指确保信息系统中信息的机密性、完整性和可用性。系统服务安全是指确保信息系统能够及时有效地提供服务，以完成预定的业务目标。业务信息安全和系统服务安全可能与不同的被侵害对象和侵害对象的程度有关。因此，信息系统的分类也应该由业务信息安全和系统服务安全来决定。从业务信息安全角度反映的信息系统安全防护等级称为业务信息安全等级。从系统服务安全角度反映的信息系统安全防护等级称为系统服务安全等级。业务信息安全级别和系统服务安全级别中的较高者决定了评级对象的安全保护级别。第7页，系统分类的一般过程，第8页，信息安全等级第9页，网络基础和安全保护，网络基础和现场视察模型，1，TCP-IP寻址，2，交换原理和VLAN，第10页，网络基础和现场视察模型，计算机网络定义：通过通信线路和通信设备将不同地理位置的计算机系统互连起来，并通过运行特定的操作系统和通信协议实现数据通信和资源共享的计算机系统集合。计算机网络由通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网和资源子网组成。计算机网络类型：局域网、广域网。第11页，计算机网络组成，第12页，计算机网络类型，在有限的地理区域内运行；允许网络设备同时访问高带宽媒体；通过本地管理控制网络的权限；提供全职本地服务；连接物理上相邻的设备。通常指的是几公里范围内的计算机、打印机或其他设备的集合，它们可以通过某种媒介相互连接。目前，大多数网络使用某种形式的以太网。短距离、小延迟、高数据率、可靠传输、特性、设计目标、局域网，2，第13页，计算机网络类型，运行在广阔的地理区域。通过低速串行链路访问；网络控制受制于公共服务规则；提供全职或兼职连接；连接物理上分离的远程设备，甚至全球设备，在广泛的区域提供数据通信服务，主要用于互连局域网。公共电话网公共电话网综合业务数字网综合业务数字网数字数据网专用帧中继异步传输模式自动柜员机分类设计目标广域网开放系统互连七层参考模型开放系统互连模型由国际标准化组织于1984年提出。目的：提供一个通用标准来解决不同网络之间的兼容性和互操作性问题。分层标准：按功能划分。OSI七层参考模型的优势：促进标准化工作，允许每个供应商发展。每一层都是相互独立的，并将网络操作分成低复杂度的单元。它具有很好的灵活性，一层的变化不会影响其他层。每一层通过一个接口与相邻层上下通信。第15页，OSI分层结构，数据流层，传输层，数据链路层，网络层，物理层，应用层(高层)，会话层，表示层和应用层负责主机之间的数据传输，网络数据传输，第16页，OSI分层结构，规定通信设备的机械，电气，功能和程序特性。它主要涉及位传输、网络接口卡和网络连接等。它没有智能，只能简单地处理比特流。如传输、放大、复制等。网络电缆：比特流传输。中继器：信号的放大。中枢：信号的放大和复制。第17页，OSI分层结构、在相邻节点之间建立链路以传输数据帧。在同一个网段工作。它主要包括媒体访问控制、连接控制、流量控制和错误控制。定义物理地址并标识节点。比特流被组合成数据帧。交换机：可以识别数据帧中的MAC地址信息，并在同一网段上转发数据。智能定向转发。第18页，现场视察分层结构，是连接不同规格网络的桥梁。在不同的网段上路由数据包。它定义了一个IP地址，由32位二进制数组成，用小数点表示。路由转发通过路由表实现三层寻址。媒体访问控制地址(第2层)物理地址平面结构身份IP地址(第3层)逻辑地址层次结构位置，第19页，开放系统互连层次结构，实现最终用户和最终用户之间的连接。可以实现流量控制和负载平衡。分段，使数据的大小适合通过网络传输。区分服务，端口号标识上层的通信过程。第20页，OSI层次结构，在两个应用程序之间建立会话，管理会话，并终止会话。一旦建立了连接，会话层的任务就是管理会话。它主要由操作系统完成，将不同的应用程序设置成内存间隔，分配相应的内存和CPU资源，并保持不同应用程序的数据独立性，将数据转换成接收设备能够理解的格式，转换数据格式，加密，压缩，第21页，OSI分层结构，为特定的应用程序提供服务，并实现各种网络应用(wwftpqqsmtpop 3.)。我们说应用程序的界面是否友好是由应用层决定的。应用层为用户和计算机会话提供接口。电脑有自己的语言和别人的语言。要与计算机交流，必须有一个窗口来传递信息。第22页，数据封装和解封装，数据封装，解封装，要通过网络传输的数据，要自上而下逐层传输，如果一台主机要向其他主机传输数据，首先将数据加载到一个特殊的协议报头中，这个过程称为封装。相反的过程。第23页，封装过程，TCP报头，LLC报头，IP报头，MAC报头，第24页，解封装过程，TCP报头，IP报头，LLC报头，MAC报头，第25页，数据传输过程，第26页，冲突域和广播域，冲突域：支持共享媒体的网段。广播域：传输广播帧的网络范围。路由器通常设置边界(因为路由器不转发广播)。冲突：在以太网中，当两个节点同时传输数据时，从两个设备发送的帧会发生冲突，在物理介质上相遇，并且彼此的数据会被破坏。第27页，开放系统互连模型的缺陷和意义，为网络间的互连提供了一个参考模型。它已成为实际网络建模和设计的重要参考工具和理论基础。它为我们提供了一种网络设计和分析的方法。许多功能在多个级别重复，并具有冗余感(例如，流程2.3.4、错误控制等)。数据链路层具有流量控制)。各层的功能分布不均匀(链路层和网络层任务繁重，而会话层任务较轻)。功能和服务的定义很复杂，很难产生。OSI模型的缺陷，OSI模型的含义，第28页，TCP/IP和OSI，TCP/IP和OSI的比较：TCP/IP分为四层，OSI分为七层。网络实践标准，开放系统互连网络理论标准。TCP/IP定义了每一层的功能，OSI定义了每一层的功能。每一层总拥有成本/知识产权都可以映射到现场视察模型中。第29页，TCP/IP和OSI，应用层，表示层，会话层，传输层，网络层，数据链路层，物理层，应用层，传输层，网络层，网络接口层，第30页，TCP/IP应用层，应用层，传输层，网络层，文件传输-TFTP *-FTP *电子邮件-SMTP远程登录-Telnet*-SSH*网络管理-SNMP*名称管理-DNS*，网络接口层，第31页，TCP/IP传输层，传输控制协议(TCP)连接第32页，端口号，TCP，端口号，FTP，telnet，DNS，SNMP，TFTP，SMTP，UDP，应用层，21，23，25，53，69，161，rip，520，传输层，第33页，端口号功能，源端口，目标端口，hosta，1028，23，sp，DP，hostz，telnetz，目标端口=23。端口号标识上层通信过程。小于1024是已知端口，1024-5000是临时端口，超过5000是为其他服务保留的端口。第34页，传输控制协议确认机制，发送方，发送方1，接收方1，发送方ACK2，发送方2，接收方2，发送方ACK3，发送方3，接收方3，接收方ACK4，滑动窗口=1，接收方，第35页，传输控制协议三次握手，发送方SYN(seq=100ctl=SYN)，接收方SYN，发送方SYN，确认(seq=300ack=101ctl=syn，确认)，建立会话(seq=101ack=301tl=确认)，主机a(例如，/24)，IP地址=网络位主机位，用于识别哪个IP地址是网络位，哪个是主机位。使用1将网络标识为，使用0标识主机位。类别A (1-126)的前8位代表网络位，后24位代表主机位。B类(128-191)的前16位代表网络位，后16位代表主机位。C类(192-223)的前24位代表网络位，后8位代表主机位。D类(224-239)用于多播地址。五级知识产权，五级(240-255)，用于科学研究。第38页，特殊IP地址，本地环回测试地址，广播地址第39页，私有IP地址、1，256，16、C类中的256:192 . 168 . 0 . 0/24-192 . 168 . 255 . 0/24，a类中的1:10 . 0 . 0/8，b类中的16:172 . 16 . 0 . 0/16-172 . 31 . 0 . 0/16，第40页，子网划分的核心思想，“借用”主机位至“主机”:2的x次方(x代表借用掩码位数)。每个子网可以有多少台主机？2 -2的Y次方(Y代表当前主机位数)。每个子网的广播地址是多少？广播地址=下一个子网号-1每个子网的有效主机是什么？忽略所有0和1地址，只留下有效的主机地址。第42页，子网划分的优势，子网划分可以解决IP地址不足的问题。子网划分可以解决广播问题，划分广播域。例如，一个C类网络有254台主机可用。当我们分配到一个公司，但该公司没有这么多主机，地址是一个很大的浪费。IP地址可以通过子网划分来保存。第43页，交换机概述，交换机定义，交换机工作原理，是全双工的，可以发送和接收。可以识别数据帧中的媒体访问控制信息，并根据地址信息将数据交换到特定接口。交换机根据数据帧中封装的目的MAC地址决定转发数据。交换机的MAC表，是目的MAC和交换机接口的映