收藏
下载资源

数据传输安全性的规划、部署和故障排除2823a10

上传人:tian****1990 文档编号:74432317 上传时间:2019-01-28 格式:PPT 页数:62 大小:1.81MB
返回 下载 相关 举报
数据传输安全性的规划、部署和故障排除2823a10_第1页
第1页 / 共62页
数据传输安全性的规划、部署和故障排除2823a10_第2页
第2页 / 共62页
数据传输安全性的规划、部署和故障排除2823a10_第3页
第3页 / 共62页
数据传输安全性的规划、部署和故障排除2823a10_第4页
第4页 / 共62页
数据传输安全性的规划、部署和故障排除2823a10_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《数据传输安全性的规划、部署和故障排除2823a10》由会员分享,可在线阅读,更多相关《数据传输安全性的规划、部署和故障排除2823a10(62页珍藏版)》请在金锄头文库上搜索。

1、第 10 章 数据传输安全性的规划、部署和故障排除,第1章 规划和配置授权和身份验证策略 第2章 安装、配置和管理证书颁发机构 第3章 配置、部署和管理证书 第4章 智能卡证书的规划、实现和故障诊断 第5章 加密文件系统的规划、实现和故障排除 第6章 规划、配置和部署安全的成员服务器基线 第7章 为服务器角色规划、配置和部署安全基线 第8章 规划、配置、实现和部署安全客户端计算机基线 第9章 规划和实现软件更新服务 第10章 数据传输安全性的规划、部署和故障排除 第11章 部署配置和管理SSL 第12章 规划和实施无线网络的安全措施 第13章 保护远程访问安全,网络安全的实现和管理 -以Win

2、dows Server 2003和ISA Server 2004为例,网络安全的实现和管理 -以Windows Server 2003和ISA Server 2004为例,第14章 Microsoft ISA Server 概述 第15章 安装和维护 ISA Server 第16章 允许对 Internet 资源的访问 第17章 配置 ISA Server 作为防火墙 第18章 配置对内部资源的访问 第19章 集成 ISA Server 2004和Microsoft Exchange Server 第20章 高级应用程序和Web筛选 第21章 为远程客户端和网络配置虚拟专用网络访问 第22章

3、实现缓存 第23章 监视ISA Server2004,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法 IPSec 简介 规划数据传输安全性(网络通信图) 实现安全数据传输方法 IPSec 通信故障排除,企业的敏感数据保护应该从哪几个方面去考虑?,安全数据传输方法,安全数据传输面临的威胁 SSL 和 TLS SSL/TLS 保护数据安全的方法 PPTP PPTP 保护数据安全的方法 SMB 签名 LDAP 签名 WEP 确保数据保密性的方法 WPA 确保数据保密性的方法,10.1 安全数据传输方法,安全数据传输面临的威胁,电子欺骗,重现,中间人,拒绝服务,数据包嗅探,10.

4、1.1 安全数据传输面临的威胁,SSL 和 TLS(secure sockets layer、transport layer security),提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证 (对称和非对称算法都用了) 保护客户端与服务器通信免受窃听、篡改数据和消息伪造 OSI(Open Standard Interconnect,开放互连)模型的传输层与应用层间,身份验证 保密性 消息完整性,加密特点,SSL 和 TLS,10.1.2 SSL 和 TLS,10.1.3 SSL/TLS 保护数据安全的方法,SSL/TLS 保护数据安全的方法,(书P215),在 Web 服务器

5、上启用 SSL 的方法,演示: 如何在 Web 服务器上启用 SSL 的方法,10.4.4 在 Web 服务器上启用 SSL 的方法,PPTP(Point to Point Tunneling Protocol ),PPTP 加密特点,用于LAN、WAN 或 Internet 进行客户端到服务器的安全数据传输 使用拨号连接中的点对点协议(PPP)来在连接中建立终结点 PPTP 位于 OSI 模型的第二层,身份验证(pap、ms-chap、eap):服务器验证客户 保密性(40位的mppe:即microsoft 点对点加密,或128位的RC4) 支持通过mppc( microsoft 点对点压缩

6、)数据压缩 不提供消息完整性或数据源身份验证 (GFG-微软),10.1.4 PPTP,PPTP 安全流程,PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE(Generic Routing Encapsulation)对PPP帧进行封装。 封装前,PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。 PPTP控制连接(P217-218) 控制隧道中的会话建立、释放和维护逻辑连接 封装数据 建立控制连接后,PPP数据用GRE协议来封装,10.1.5 PPTP 保护数据安全的方法,PPTP 保护数据安全的方法,VPN通过PPTP拔入,演示: 为远程客户提供V

7、PN拔入服务,SMB 签名(SMB, Server Message Block,也称为CIFS),SMB 签名,使用带有密钥的哈希(keyed hash)来保护每个 SMB 数据包的完整性的数字签名方法 保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻击 使用消息摘要(MD5)算法对通信进行数字签名,特点,相互的身份验证 消息完整性,10.1.6 SMB 签名,启用 SMB 签名的方法,演示: 如何启用 SMB 签名的方法,10.4.2 启用 SMB 签名的方法,计算机配置windows设置安全设置本地策略安全选项 Microsoft网络客户端:数字签名的通信 Microsoft网络服务

8、器:数字签名的通信,LDAP 签名,LDAP 签名,确保数据来自已知的来源 数据未被篡改 数据不以明文传输,双向身份验证 消息完整性,加密特点,10.1.7 LDAP 签名,启用LDAP签名的方法,演示: 如何启用 LDAP 签名的方法,10.4.2 启用 SMB 签名的方法,计算机配置windows设置安全设置本地策略安全选项 域控制器: LDAP 服务器签名要求 网络安全: LDAP 客户端签名要求,WEP(wired equivalent privacy),802.11委员会为无线网络数据安全传输提出的一个协议 三种密钥长度:40位、128位、256位(RC4) 在工作站和无线路由器(或

9、AP)间提供数据加密 特点 数据加密 数据完整性,WEP 加密过程,客户端启动与无线接入点的连接 客户端使用循环冗余校验 32(CRC-32,Cyclic Redundancy Check-32)算法创建数据的校验和,并将该值附到数据帧的末尾 数据包经过 RC4 算法加密并在无线网络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 CRC-32 并在 LAN 上发送数据包,1,2,3,4,5,10.1.8 WEP 确保数据保密性的方法,WEP 确保数据保密性的方法,WEP:wired equivalent privacy,密钥交换过程不安全,WPA(Wi-Fi protected

10、 Aceess, Wi-Fi 保护访问),在802.11i中对无线局域网安全性改进的一个协议 相对WEP来说,WPA通过TKIP(Temporal key Integrity Potocol,临时密钥完整性协议)每发送10K数据就动态改变加密密钥,而WEP没提供安全交换加密密钥的机制 WPA采用Michael算法来生成消息完整性码(MIC,message integrity code)来保证数据完整性 特点 数据加密 数据完整性 可防重放功击,WPA:TKIP+802.1X+EAP WPA2:CCMP+802.1X+EAP,WPA 加密过程(密钥动态变换),客户端启动与无线接入点的连接 客户端

11、使用 Michael 消息完整性代码(MIC)创建数据的校验和,并将该值附到数据帧的末尾 数据包经过 RC4 或 AES 算法加密并在无线网络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 MIC 并在 LAN 上发送数据包,1,2,3,4,5,10.1.9 WPA 确保数据保密性的方法,WPA 确保数据保密性的方法,WPA:Wi-Fi Protected Access P书220下,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法 IPSec 简介 规划数据传输安全性 实现安全数据传输方法 IPSec 通信故障排除,IPSec 简介,IPSec 概述 IP

12、Sec 的功能和特点 用于加密功能的 IPSec 模式 使用 IPSec 进行身份验证的方法 IPSec 策略,10.2 IPSec 简介,IPSec 概述,IPSec:Internet Protocol Security (Internet协议安全) 工作在网络层以保护数据传输安全 它是一个开放的协议,可采用各种不同的算法来保证数据的保密性和完整性。 通过ISAKMP (Internet Security Association and Key Management Protocol ,Internet 安全关联和密钥管理协议)服务和IKE ( Internet 密钥交换)来实现安全密钥交换

13、 对上层协议和应用程序是透明的,IPSec 的功能,功能,数据包筛选 保护特定路径的主机到主机通信 保护到服务器的通信 VPN 连接的 L2TP/IPSec 站点到站点隧道,包括策略的结果集(RSOP,Resultant Set of Policy)的 IPSec 扩展 能够穿越网络地址转换(NAT)服务器 -,Windows Server 2003 IPSec 新特性,10.2.1 IPSec 的功能和特点,L2TP:Layer 2 Tunneling Protocol,能够使用 ESP来加密传输或使用 AH 来进行数据包签名,路由器,路由器,隧道模式,能够在两个主机之间使用传输模式,能够在

14、两个网络间使用隧道模式进行数据加密,ESP,AH,路由器,传输模式,10.2.2 用于加密功能的 IPSec 模式,用于加密功能的 IPSec 模式,ESP:Encapsulation Security payload,封装安全有效负载;AH:Authentication Header,身份验证头,IPSEC特点,身份验证 保密性 消息完整性 不可抵赖性 AH: Authentication Header,身份验证头,提供了消息完整性和不可抵赖性保障,AH可使用SHA-1或MD5算法 ESP:Encapsulation Security payload,封装安全有效负载,提供消息保密性、完整性

15、检查和不可抵赖性保障,可使用DES或3DES等加密算法 有两种模式:传输模式和遂道模式,IKE协商,IKE协商过程,AH数据包结构,ESP数据包结构,10.2.3 使用 IPSec 进行身份验证的方法,使用 IPSec 进行身份验证的方法,IPSec 策略:定义IPSEC规则使用要求,IPSec 使用策略和规则来保障网络传输安全 规则基本组件: 要匹配的通信类型(筛选器列表,也就是对于什么数据流) 当通信匹配时做些什么(对选定的数据流要做的操作) 身份验证方法 隧道或传输模式 规则应用的网络类型 缺省策略包含: 客户端(仅响应)、服务器(请求安全)、安全服务器(需要安全) 自定义策略: Win

16、dows Server 2003 允许方便的构建并部署自定义 IPSec 策略以允许对计算机的公开程度和安全进行非常细致的控制,IPSec策略,每台计算机只能使用一条IPSEC策略 一条策略可包含多条规则,同一策略中的规则必须使用相同的身份验证方法。 一条规则是由一个筛选器列表+操作+身份验证等组成 一条筛选器列表可包含多个筛选器,同一筛选器列表中的多个筛选器必须使用相同的筛选器操作。,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法 IPSec 简介 规划数据传输安全性 IPSec 通信故障排除,规划数据传输安全性,确定数据传输安全要求的指导方针 需要安全数据传输的计算机 网络传输图 创建网络通信图的注意事项,10.3 规划数据传输安全性,确定数据传输安全要求的指导方针,分析保护数据传输安全的业务和技术要求 (哪些数据需要加密、完整性保护),1,确定保护数据传输安全的方法,4,确定对操作系统的要求以及操作系统与应用程序的兼容性,3,确定加密要求和限制 (加密强度等),5

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号