《国家信息安全测评中心CISP培训201007》由会员分享,可在线阅读,更多相关《国家信息安全测评中心CISP培训201007(149页珍藏版)》请在金锄头文库上搜索。
1、国家信息安全测评中心CISP培训主讲:樊山 QQ:86485660 电话:15918780740 E_Mail:大纲n网络与通信安全基础 n网络安全应用(防火墙、入侵检测技术、漏洞 扫描) 大纲nKA(知识域):电信和网络安全nSA:OSI 分层模型和TCP/IP 协议族;n理解 OSI 的七层模型、TCP/IP 协议族及其特征,理解OSI 分层模型和TCP/IP 协议族的对应关系;n理解各种相关协议同 OSI 和TCP/IP 的对应关系。nSA:通信和网络技术n理解各种物理介质(例如:光纤/同轴电缆/双绞线等)的特 征;n理解各种链路层协议和技术,例如:HDLC/SDLC/帧中继等 。n理解
2、各种网络拓扑结构(总线/星型/环型)等的特征;n理解各种局域网/城域网/广域网的各种通信网络,例如:帧 中继/ATM 网络等的特征;n理 解 各 种 远 程 拨 号 访 问 协 议 和 技 术 , 例 如 : RADIUS/TACACS/TACACS+/Diameter 等。大纲nSA:互联网技术和服务n理解 TCP/IP 协议族中的相关基础协议, 包括: SLIP/PPP/CHAP/PAP 协议,ARP/RARP 协议,IP 协议, TCP/UDP协议;n理解各种网络设备分类及其特征,包括:复用器/集线器/交 换机/路由器/网关等;n理解 IP 地址划分和编址技术,理解RIP/OSPF 等路
3、由协议 和技术;n理解 DNS/SNMP/Telnet/SMTP/WWW 等互联网重要协议的 原理和应用;n理解 SSL/S/MIME/SSL/SET/PEM 等重要的安全协议;n理解各种VPN 技术,例如PPTP、MPLS 等VPN 技术( IPSec VPN技术在密码系统及其应用中详细讨论)。大纲nSA:网络安全设备:防火墙/入侵检测和入侵 防御系统等n理解各种网络安全设备的概念和基本原理;n理解防火墙的分类、应用和实践。网络与通信安全基础OSI模型和TCP/IP协议簇 通信和网络技术 互联网技术与服务 主要网络安全协议和机制 OSI模型和TCP/IP协议簇nOSI模型,即开放式通信系统互
4、联参考模型(Open System Interconnection),是国际标准化组织(ISO)提出的一个试图 使各种计算机在世界范围内互连为网络的标准框架,简称 OSI。nOSI模型-层次划分nOSI将计算机网络体系结构(architecture)划分为以下七层:q7 应用层:Application Layer q6 表示层:Presentation Layer q5 会话层:Session Layer q4 传输层:Transport Layer q3 网络层:Network Layer q2 数据链路层:Data Link Layer q1 物理层:Physical Layer OSI模
5、型和TCP/IP协议簇OSI模型和TCP/IP协议簇n7 应用层:老板 n6 表示层:相当于公司中简报老板、替老板写 信的助理 n5 会话层:相当于公司中收寄信、写信封与拆 信封的秘书 n4 传输层:相当于公司中跑邮局的送信职员 n3 网络层:相当于邮局中的排序工人 n2 数据链路层:相当于邮局中的装拆箱工人 n1 物理层:相当于邮局中的搬运工人 OSI模型和TCP/IP协议nOSI模型-历史q在制定计算机网络标准方面,起着重大作用的两大国际组织是:国 际电报与电话咨询委员会(CCITT),与国际标准化组织(ISO), 虽然它们工作领域不同,但随着科学技术的发展,通信与信息处理 之间的界限开始
6、变得比较模糊,这也成了CCITT和ISO共同关心的 领域。1974年,ISO发布了著名的ISO/IEC 7498标准,它定义了 网络互联的7层框架,也就是开放式系统互连参考模型。nOSI模型-影响qOSI是一个定义良好的协议规范集,并有许多可选部分完成类似的 任务。q它定义了开放系统的层次结构、层次之间的相互关系以及各层所包 括的可能的任务。是作为一个框架来协调和组织各层所提供的服务 。qOSI参考模型并没有提供一个可以实现的方法,而是描述了一些概 念,用来协调进程间通信标准的制定。即OSI参考模型并不是一个 标准,而是一个在制定标准时所使用的概念性框架。OSI模型和TCP/IP协议OSI模型
7、和TCP/IP协议n物理层定义物理链路的电气、机械、通信规程 、功能要求等;q电压,数据速率,最大传输距离,物理连接器;q线缆,物理介质;q将比特流转换成电压;n物理层设备qRepeater, Hub, Multiplexers, NIC;n物理层协议q100BaseT, OC-3, OC-12, DS1, DS3, E1, E3; OSI模型和TCP/IP协议n物理层考虑的是怎样才能在连接各种计算机的传输媒 体上传输数据的比特流,而不是指连接计算机的具体 的物理设备或具体的传输媒体。现有的计算机网络中 的物理设备和传输媒体的种类繁多,而通信手段也有 许多不同方式。物理层的作用正是要尽可能地屏
8、蔽掉 这些差异,使物理层上面的数据链路层感觉不到这些 差异,这样可使数据链路层只需要考虑如何完成本层 的协议和服务,而不必考虑网络具体的传输媒体是什 么。n功能特性:主要定义各条物理线路的功能 规程特性:主要定义各条物理线路的工作规程和时序 关系 OSI模型和TCP/IP协议n数据链路层q物理寻址,网络拓扑,线路规章等;q错误检测和通告(但不纠错);q将比特聚成帧进行传输;q流量控制(可选);n数据链路层设备q网桥和交换机;n数据链路层协议qPPP, HDLC, F.R, Ethernet, Token Ring, FDDI, ISDN, ARP, RARP, L2TP, PPTP. OSI模
9、型和TCP/IP协议n两个子层MAC(Media Access Control)物理 地址;q烧录到网卡ROM;q48比特;q唯一性;nLLC(Logical Link Control)为上层提供统一 接口;q使上层独立于下层物理介质;q提供流控、排序等服务;OSI模型和TCP/IP协议n数据链路层是OSI参考模型中的第二层,介乎于物理层和 网络层之间。数据链路层在物理层提供的服务的基础上向 网络层提供服务,其最基本的服务是将源机网络层来的数 据可靠地传输到相邻节点的目标机网络层。n为达到这一目的,数据链路必须具备一系列相应的功能, 主要有:q如何将数据组合成数据块,在数据链路层中称这种数据块
10、为帧( frame),帧是数据链路层的传送单位;q如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调 节发送速率以使与接收方相匹配;q在两个网络实体之间提供数据链路通路的建立、维持和释放的管理 。OSI模型和TCP/IP协议n网络层逻辑寻址;n路径选择;n网络问题管理(如拥塞);nMTU;n网络层设备q路由器,三层交换机;n网络层协议qIP, IPX, RIP, OSPF, EIGRP, IS-IS, ICMP;OSI模型和TCP/IP协议n网络层是OSI参考模型中的第三层,介于运输 层和数据链路层之间,它在数据链路层提供的 两个相邻端点之间的数据帧的传送功能上,进 一步管理网络中的数
11、据通信,将数据设法从源 端经过若直干个中间节点传送到目的端,从而 向运输层提供最基本的端到端的数据传送服务 。主要内容有:虚电路分组交换和数据报分组 交换、路由选择算法、阻塞控制方法、X.25协 议、综合业务数据网(ISDN)、异步传输模 式(ATM)及网际互连原理与实现。OSI模型和TCP/IP协议OSI模型和TCP/IP协议n传输层q端到端数据传输服务;q建立逻辑连接;n传输层协议qTCP (Transmission Control Protocol)状态协议;n按序传输;n纠错和重传机制;nSocket;qUDP (User Datagram Protocol)无状态协议;qSPXOSI
12、模型和TCP/IP协议n传输层是OSI中最重要,最关键的一层,是唯一负责总 体的数据传输和数据控制的一层。传输层提供端到端 的交换数据的机制,传输层对会话层等高三层提供可 靠的传输服务,对网络层提供可靠的目的地站点信息。n传输层功能的最终目的是为会话提供可靠的,无误的 数据传输.传输层的服务一般要经历传输连接建立阶段 ,数据传送阶段,传输连接释放阶段3个阶段才算完 成一个完整的服务过程.而在数据传送阶段又分为一般 数据传送和加速数据传送两种。传输层服务分成5种 类型.基本可以满足对传送质量,传送速度,传送费用的 各种不同需要。 OSI模型和TCP/IP协议n会话层不同应用的数据隔离;q会话建立
13、,维持,终止;q同步服务;q名称标识和识别;q会话控制(单向或双向);n会话层协议qNFS, SQL, RPC;qSSL/TLS,SSH;OSI模型和TCP/IP协议n会话层(Session)提供的服务可使应用建立和维 持会话,并能使会话获得同步。会话层使用校 验点可使通信会话在通信失效时从校验点继续 恢复通信。这种能力对于传送大的文件极为重 要。OSI模型和TCP/IP协议n表示层数据格式表示;q协议转换;q字符转换;q数据加密/解密;q数据压缩等;n表示层数据格式qASCII, MPEG, TIFF,GIF, JPEG;OSI模型和TCP/IP协议n表示层的作用之一是为异种机通信提供一种公
14、 共语言,以便能进行互操作。这种类型的服务 之所以需要,是因为不同的计算机体系结构使 用的数据表示法不同。例如,IBM主机使用 EBCDIC编码,而大部分PC机使用的是ASCII 码。在这种情况下,便需要会话层来完成这种 转换。 OSI模型和TCP/IP协议OSI模型和TCP/IP协议n应用层应用接口;q网络访问流处理;q流控;q错误恢复;n应用层协议qFTP, Telnet, HTTP, SNMP, SMTP, DNS;OSI模型和TCP/IP协议n应用层也称为应用实体(AE),它由若干个 特定应用服务元素(SASE)和一个或多个公 用应用服务元素(CASE)组成。每个SASE 提供特定的应
15、用服务,例如文件运输访问和管 理(FTAM)、电子文电处理(MHS)、虚拟 终端协议(VAP)等。nCASE提供一组公用的应用服务,例如联系控 制服务元素(ACSE)、可靠运输服务元素( RTSE)和远程操作服务元素(ROSE)等。 OSI模型和TCP/IP协议物理层 提供传输 介质;将数据转换为 与传输 介质相应的传输 信号;在传输 介质中 发送信号;包括网络的物理布局;监视传输错误 ;确定数据信号传输 的电压级 并同步传输 ;确定信号类型是数字信号还是模拟信号。数据链路层 使用网络适当的格式构造数据帧;创建CRC信息,使用CRC信息检查错误 ,如 果出现错误 就重新传输 数据;初始化通信链
16、接,并且为了结点到结点的可靠性, 要保证链 接不被中断;检验设备 地址;确认接收到了帧。网络层 确定路由包的网络路径;帮助减少网络阻塞;建立虚拟电 路;将帧路由到 其 他网络,在需要时对 包的传输进 行重新排序;在协议间转换 。传输层 确保结点与结点间包传输 的可靠性;确保数据发送和接收时顺 序相同;当包 接收到后,给出确认信息;监控包传输错误 ,再发坏了的包;将大的数据单元分 割成小的单元,对于采用不同协议 的网络,要在接收端重构这些单元。会话层 初始化通信链接;确保通信链接受到维护 ;确定在各个点上,要哪个结点及 时传输 数据;通信会话结 束后,断开连接;转换结 点地址。表示层 将数据转换为 接收结点理解的格式;执行数据加密;执行数据压缩 。应用层 使得可以共享远程驱动 器;使得可以共享远程打印机;处理电子邮件消息; 提供文件传输 服务;提供文件管理服务;提供终端仿真服务。OSI模型和TCP/IP协议OSI模型和TCP/IP协议n认证;n访问控制;n数据机密性;n数据完整性;n抗抵赖;OSI
