《培训课件:网络安全防范》由会员分享,可在线阅读,更多相关《培训课件:网络安全防范(65页珍藏版)》请在金锄头文库上搜索。
1、复旦大学复旦大学 凌力凌力网络协议 Network Protocols 与Network Security 网络安全网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security主要内容 网络安全认识 网络安全防范技术分类 网络安全防范技术 网络安全防范体系2第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security俗语说 矛盾 亡羊补牢 树欲静风不止 明枪易躲暗箭难防 道高一尺魔高一丈 千里之堤毁于蚁穴 一朝被蛇咬十年怕井绳安全威 胁安全防 范 3
2、第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security网络安全认识 网络安全防范十分必要并相当迫切 不存在绝对安全的网络和信息系统 用发展的眼光看待网络安全 注重网络安全体系的全面性 从需求特点出发部署网络安全设施 把握网络安全与投入成本的平衡点4第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security【网络安全命题一】从来就没有安全的网络, 今后也不会有。5第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Net
3、work Protocols & Network Security【网络安全命题二】不存在为安全而构筑的网络。6第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security【网络安全命题三】网络安全无小事。7第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security网络安全防范技术分类 嵌入式安全防范(Embedded Defence) 安全协议 安全设备 主动式安全防范(Active Defence) 安全措施 安全补丁 被动式安全防范
4、(Passive Defence) 安全侦查 安全防御8第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecuritySubnet子网 Sub-network AutonomousDomain(自治域、自治网络) 构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理 Intranet和Extranet 把内部网络与Internet隔离开,通常使用NAT、Firewall等设备来完成 DMZ 使用双防火墙机制,将内部网络分为内网和外网两个层次 VLAN 把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路
5、由器完成 VPN 使用安全协议和数据加密技术,构造安全的访问体系 Interconnection Host 采用特殊设计的业务互连主机,将业务网络与其它系统进行互连,只传输指定数 据 Physical Isolation 物理隔离子网9第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVLAN概要 VLAN的划分 基于端口(Port) 基于MAC地址 基于IP地址 VLAN作用 把数据交换限制在各个虚拟网的范围内,提高了 网络的传输效率; 减少整个网络范围内广播包的传输,防止广播风 暴(Broadcast
6、Storm)的产生; 各虚拟网之间不能直接进行通信,而必须通过路 由器转发,起到了隔离端口的作用,为高级安全 控制提供了可能,增强了网络的安全性。10第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVLAN的逻辑分组特性传统的LAN子网 (物理分隔的冲突域)11第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security基于端口的VLAN 根据以太网交换机的端口来划分VLAN, 可以跨交换机进行。优点是定义VLAN成 员时非常简
7、单,只需将所有的端口都设定 一遍;缺点是如果VLAN的某个用户离开 了原来的端口,连接到了一个新的端口, 那么就必须重新定义12第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security基于MAC地址的VLAN 根据每个主机的MAC地址来划分VLAN, 所以也可称为基于用户的VLAN。优点就 是当用户物理位置移动时,即使移动到另 一个交换机,VLAN也不用重新配置;缺 点是初始化时,所有的用户都必须进行配 置,如果用户很多,配置的工作量非常大 。此外,这种划分的方法也导致了交换机 执行效率的降低,因为在每一个交换机
8、的 端口都可能存在很多个VLAN组的成员, 这样就无法有效限制广播包。如果网卡可 能经常更换,VLAN就必须不停地更新13第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Security基于协议的VLAN 通过第二层报文中的协议字段,判断出上 层运行的网络层协议,如IP协议或者是 IPX协议。当一个物理网络中存在多种第 三层协议运行的时候,可采用这种VLAN 的划分方法。但是现有的系统中一般仅有 IP协议,所以基于协议的VLAN很少有机 会使用14第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Netw
9、ork Protocols & Network Security基于子网的VLAN 根据报文中的IP地址决定报文属于哪个 VLAN,同一个IP子网的所有报文属于 同一个VLAN。优点是可以针对具体应 用的服务来组织用户,用户可以在网络 内部自由移动而不用重新配置自己的设 备;缺点是效率较低,因为检查每一个 报文的IP地址很耗时。同时由于一个端 口也可能存在多个VLAN的成员,对广 播报文也无法有效抑制15第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVPN Virtual Private Network
10、 虚拟专用网络 在“不安全”的网络上建立安全的互连关系 VPN主要应用目的 用户通过Internet安全接入Intranet Intranet之间通过Internet的安全互连 通过Internet构造安全的Extranet 通过Internet的对等设备安全互连16第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVPN安全隧道 安全隧道(Secure Tunnel)17第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Securit
11、yIntranet组网18第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityExtranet组网19第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVPN安全隧道协议 点对点隧道协议(Point-to-Point Tunnel Protocol,PPTP ) PPTP协议允许对IP、IPX或NetBEUI数据流进行加密,然 后封装在IP包头中,通过Intranet或Internet相互通信 第2层隧道协议(Layer-
12、2 Tunnel Protocol,L2TP) L2TP协议允许对IP、IPX或NetBEUI数据流进行加密,然 后通过支持点对点数据报通信的任意网络发送,如IP、X.25 、FrameRelay或ATM 安全IP(Secure IP,IPsec) IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP 包头中通过Intranet或Internet相互通信 安全套接层(Secure Socket Layer,SSL) 使用SSL协议,实现移动用户远程安全接入内部网络。尤其 是对于基于Web的应用访问,SSL-VPN方式有更强的灵活 性优势20第十二讲 网络安全防范网络协议与网络安全网络协
13、议与网络安全凌力凌力Network Protocols & Network SecurityIPsec IP的安全子层(3.5层),包括两部分: AH(Authentication Header) ESP(Encapsulating Security Payload) AH的认证模式: 传输模式(Transport Mode) 不改变IP地址,插入一个AH 隧道模式(Tunnel Mode) 生成一个新的IP头,把AH和原来的整个IP包放到新IP包的载荷数据中21第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network Secur
14、ityAH报头22第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityESP报头23第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityVPN应用方式 客户端方式 由用户自行配置VPN设备和系统,ISP及 Internet只提供普通的IP互连服务(网络透明方式) 服务端方式 由ISP提供VPN服务,用户端使用普通IP互连设备(用户透明方式)24第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network
15、Protocols & Network SecurityNAT 网络地址转换Network Address Translator25第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityNAT方法 静态翻译(Static Translation) 内部和外部地址一一对应(映射) 动态翻译(Dynamic Translation) 复用外部地址,按需映射 端口复用(Port-Multiplexing) IP地址TCP/UDP端口号26第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityNAT-PAT 端口地址翻译Port Address Translator,PAT27第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityFW 防火墙 FireWall28第十二讲 网络安全防范网络协议与网络安全网络协议与网络安全凌力凌力Network Protocols & Network SecurityFW
