收藏
下载资源

网络安全20666

上传人:suns****4568 文档编号:83799305 上传时间:2019-03-01 格式:PPT 页数:89 大小:1.90MB
返回 下载 相关 举报
网络安全20666_第1页
第1页 / 共89页
网络安全20666_第2页
第2页 / 共89页
网络安全20666_第3页
第3页 / 共89页
网络安全20666_第4页
第4页 / 共89页
网络安全20666_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《网络安全20666》由会员分享,可在线阅读,更多相关《网络安全20666(89页珍藏版)》请在金锄头文库上搜索。

1、网络安全知识,概要,网络基础知识 网络安全规划 常用网络设备 NAT、VPN及VLAN技术,一、网络基础知识,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,RJ45、各种电缆、串口、并口、Hub、接线设备,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,交换机、网桥 ATM,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,路由器、三层交换机 IP、IPX、X.25,ISO

2、开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,TCP、SPX,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,为会话实体提供会话(一般是进程),ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,提供数据和信息表示变换方法。如:加密、压缩等,ISO开放式系统互联参考模型,物理安全,数据链路层,网络层,传输层,会话层,表示层,应用层,常见应用,如:FTP、WWW、Telnet等,TCP/IP模型,应用层,传输层,互联网络层,网络接口层,TCP/IP对应关系,TCP/IP对应

3、关系,常见应用,Telnet:提供远程登录(终端仿真)服务,好象比较古老的BBS就是用的这个登陆; FTP :提供应用级的文件传输服务; SMTP:电子邮件协议; TFTP:提供小而简单的文件传输服务,实际上从某个角度上来说是对FTP的一种替换(主要是用在网络设备更新); SNTP:简单网络管理协议; DNS:域名解析服务,也就是如何将域名映射成IP地址的协议; HTTP:超文本传输协议,现在网上的图片,动画,音频,等等,TCP/IP协议漏洞示例,第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,

4、结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。 第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。,ARP病毒原理,TCP/IP协议漏洞示例,TCP ftp proxy扫描,实现原理:FTP代理连接选项,其目的是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据。然而,在大部分实现中,实际上能够使得FTP服务器发送文件到Internet的任何地方。该方法正是利用了这个缺陷,其扫描步骤如下: 1:假定S是扫描机,T是扫描目标,F是一

5、个ftp服务器,这个服务器支持代理选项,能够跟S和T建立连接。 2:S与F建立一个ftp会话,使用PORT命令声明一个选择的端口(称之为pT)作为代理传输所需要的被动端口。 3:然后S使用一个LIST命令尝试启动一个到pT的数据传输。 4:如果端口pT确实在监听,传输就会成功(返回码150和226被发送回给S),否则S回收到“425无法打开数据连接“的应答。 5:S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕。,IP地址,IP地址是TCP/IP网络中用来唯一标识每台主机或设备的地址 IP地址由32位(共四个八位组)的二进制组成,IP地址分为两部分,左边网络编号部分用来标识主机

6、所在的网络;右边部分用来标识主机本身 由于二进制数字太长阅读起来不是很方便,所以它被转换为0到255之间的十进制数字,IP地址,A类保留给政府机构,范围:1.0.0.1126.255.255.254 B类分配给中等规模的公司,范围:128.0.0.1191.255.255.254 C类分配给任何需要的人,范围:192.0.0.1223.255.255.254 D类用于组播,范围:224.0.0.1239.255.255.254 E类用于实验,范围:240.0.0.1255.255.255.254,专有地址,10/8 地址范围:10.0.0.0到10.255.255.255 共有2的24次方个地

7、址; 172.16/12 地址范围:172.16.0.0至172.31.255.255 共有2的20次方个地址; 192.168/16 地址范围:192.168.0.0至192.168.255.255 共有2的16次方个地址。,IP地址设置,网络地址规则 网络地址必须唯一 网络标识不能以数字127开头 网络标识的第一个字节不能为255。数字255作为广播地址 网络标识的第一个字节不能为“0”,“0”表示该地址是本地主机,不能传送 主机地址规则 主机标识在同一网络内必须是唯一的 主机标识的各个位不能都为“1”,如果所有位都为“1”,则该机地址是广播地址,而非主机的地址 主机标识的各个位不能都为“

8、0”,如果各个位都为“0”,则表示“只有这个网络”,而这个网络上没有任何主机,子网掩码,子网掩码的设定必须遵循一定的规则。与IP地址相同,子网掩码的长度也是32位,左边是网络位,用二进制数字“1”表示;右边是主机位,用二进制数字“0”表示。只有通过子网掩码,才能表明一台主机所在的子网与其他子网的关系,使网络正常工作。 网络IP地址xxx.xxx.xxx.xxx和子网掩码 hhh.hhh.hhh.hhh有时会被简写为xxx.xxx.xxx.xxx/n,n指的是子网掩码的长度。,地址计算,示例:网络IP地址10.20.237.15和子网掩码 255.255.248.0计算网络身份标识码和主机标识码

9、,网络身份标识码,主机标识码,二、网络安全规划,网络安全规划,1、网络安全体系结构,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,地震、火灾、设备损坏、电源故障、被盗,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,在传输线路 上窃取数据,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,Internet、系统内网络、系统外网络、内部局域网、拨号网络,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,

10、操作系统的脆弱性、漏洞、错误配置,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,应用软件、数据库,包括资源共享、Email、病毒等,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,设备冗余、线路冗余、数据备份,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,VPN加密技术,技术措施,系统安全,应用安全,管

11、理安全,物理安全,传输安全,网络互联安全,防火墙、物理隔离、AAA认证,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,漏洞扫描、入侵检测、病毒防护,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、病毒防护、数据备份、灾难恢复,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、访问控制及授权,网络安全规划,2、网络安全整体防护思路,木桶原则,最大容积取决于最短的木块攻击者“最易渗透原则” 目标:提高整个系统的“安全最低点”。,整体性原则,建立预警、防护、恢复机制 构成闭环系统,动态性原则,安全是相对的,不可

12、能一劳永逸; 道高一尺,魔高一丈; 安全策略不断变化完善; 安全投入不断增加(总投入的30%)。,事前检测:隐患扫描,通过模拟黑客的进攻手法, 先于黑客发现并弥补漏洞,防患于未然。也称为漏洞扫描、脆弱性分析、安全评估。,网络结构,专网或公网,Internet,公司总部,分公司,分公司,总出口的门户安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,各子网的边界安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,入侵检测产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,防病毒产品的部署,专网或公网,Internet,公司总部,分公司,

13、分公司,防火墙,加密传输产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,身份认证(3A)产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,3A:认证、授权、审计,确认身份,防止抵赖,事后恢复机制,灾难恢复技术 日志查询,关键产品,关键产品,防火墙产品,防病毒产品,身份认证产品(3A),加密产品(VPN),入侵检测产品,物理隔离网闸,抗攻击网关,漏洞扫描产品,灾难恢复产品,注意事项,关闭不必要的服务(如关闭SNMP、UPS、RAS); 关闭不必要的服务端口(80、21、161); 不轻易点击不熟悉的网页或链接; 不轻易下载不了解的软件运行;

14、不打开不熟悉的邮件附件; 不要将硬盘设置为共享; 要将IE等软件的安全等级设置为高等级; 及时下载及安装补丁程序.,三、常见网络设备,常用网络设备,防火墙的部署,防火墙的部署,防火墙的工作模式 透明网桥模式 NAT及路由模式 代理模式,防火墙的部署,透明网桥模式,Internet,客户机,客户机,内网区 192.168.0.0/32,202.94.1.1,防火墙的部署,NAT及路由模式,Internet,客户机,客户机,内网区 192.168.0.0/32,服 务 器 区,202.94.1.1,172.16.0.0/32,NAT,PAT,路由,防火墙的部署,代理模式,Internet,客户机,

15、客户机,内网区 192.168.0.0/32,服 务 器 区,202.94.1.1,172.16.0.0/32,proxy,PAT,路由,常用网络设备,IDS设备的部署,IDS设备的部署,IDS设备的部署,内部网络,IDS,关键子网,外部网络,IDS在DMZ区部署,DMZ区,IDS设备的部署,内部网络,IDS,关键子网,外部网络,IDS在外网入口部署,IDS设备的部署,内部网络,IDS,关键子网,外部网络,IDS在内网主干部署,IDS设备的部署,内部网络,IDS,关键子网,外部网络,IDS在关键子网部署,四、NAT、VPN及VLAN技术,1、NAT技术,NAT技术,NAT(网络地址转换)属接入

16、广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中 NAT技术不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,NAT实现,静态转换 动态转换 端口多路复用,静态转换,是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。,动态转换,是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Intern

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号