信息安全技术(HCIA-Security)-第二次课-网络基本概念和常见网络设备课件.pptx

1、网络基本概念第1页前言l在学习安全技术之前，首先我们应该了解网络的基本概念，如网络的基本通信原理，网络的组成和常见的网络协议等。在了解网络协议的基础上，能够理解网络安全威胁，从而部署安全防御策略。第2页目标l学完本课程后，您将能够：p描述TCP/IP的工作原理p描述常见协议的工作原理p描述常见协议可能存在的安全威胁第3页目录1.TCP/IP架构架构2.常见网络协议介绍第4页典型园区网络架构核心层核心层汇聚层汇聚层接入层接入层出口区出口区第5页OSI模型的提出lOSI模型提出的目的lOSI模型设计原则lOSI模型的优点第6页OSI七层模型应用层表示层会话层传输层网络层数据链路层物理层123456

2、7提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输APDUPPDUSPDUSegmentPacketFrameBit上上三三层层下下四四层层第7页对等层通讯l每一层利用下一层提供的服务与对等层通信。Host AHost BAPDUPPDUSPDUSegmentPacketFrameBit应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层第8页TCP/IP和OSI的对应关系lTCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。OSITCP/IP物理层数据链

3、路层网络层传输层会话层表示层应用层网络接口层网络层传输层应用层第9页TCP/IP协议栈各层作用提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问HTTP,Telnet,FTP,TFTP,DNS网络接口层网络层传输层应用层Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP第11页TCP/IP协议栈封装解封装过程用户数据APPTCPIPEth1010101101010100101010001110封装过程解封装过程发送方接收方IP用户数据用户数据用户数据APPAPPAPPTCPTCP网络接口层网络层传输层应用层网络接口层网络层传输层应

4、用层第12页五元组SNMPFTPHTTPTelnetSMTPDNSTFTPTCPUDPIP 数 据 包五元组五元组8020/2123255369161l源IP地址目的IP地址协议源端口+目的端口第13页目录1.TCP/IP架构2.常见常见TCP/IP协议介绍协议介绍n网络层协议p传输层协议p应用层协议第14页常见网络层协议ICMPOSPF/RIPNMSNetstreamARPSNMPPC 1PC 1第15页ARP简介l主机A发送一个数据包给主机C之前，首先要获取主机C的MAC地址。10.0.0.1/2400-01-02-03-04-AA10.0.0.3/2400-01-02-03-04-CC1

5、92.168.1.2/2400-01-02-03-04-BB第16页ARP请求主机 A192.168.1.2/2400-01-02-03-04-BB主机 C主机 B10.0.0.3/2400-01-02-03-04-CC10.0.0.1/2400-01-02-03-04-AA源MAC：00-01-02-03-04-AA 目的MAC:FF-FF-FF-FF-FF-FFARP目的IP:10.0.0.3源IP:10.0.0.1目的MAC:00-00-00-00-00-00 源MAC:00-01-02-03-04-AA操作类型:RequestETH_IIFCS第17页ARP响应(1)主机 A192.1

6、68.1.2/2400-01-02-03-04-BB主机 C主机 B10.0.0.3/2400-01-02-03-04-CC10.0.0.1/2400-01-02-03-04-AAHost Carp-aInternet address Physical address Type 10.0.0.1 00-01-02-03-04-AA Dynamic第18页ARP响应(2)主机 A192.168.1.2/2400-01-02-03-04-BB主机 C主机 B10.0.0.3/2400-01-02-03-04-CC10.0.0.1/2400-01-02-03-04-AA源MAC：00-01-02-0

7、3-04-CC 目的IP:10.0.0.1源IP:10.0.0.3目的MAC:00-01-02-03-04-AA 源MAC:00-01-02-03-04-CC操作类型:Reply目的MAC：00-01-02-03-04-AA ARPETH_IIFCS第19页免费ARPl免费ARP可以用来探测IP地址是否冲突。主机 A10.0.0.1/2400-01-02-03-04-AA目的IP:10.0.0.1源IP:10.0.0.1目的MAC:00-00-00-00-00-00源MAC:00-01-02-03-04-AA源MAC：00-01-02-03-04-AA 目的MAC：FF-FF-FF-FF-FF

8、-FFARPETH_IIFCS第20页ICMP简介lICMP用来传递差错、控制、查询等信息。MessageReturn Message主机 A第21页ICMP应用-Ping(1)Router ARouter B192.168.1.1/24192.168.1.2/24ping?STRING IP address or hostname of a remote system-a Select source IP address,the default is the IP address of the output interface-c Specify the number of echo req

9、uests to be sent,the default is 5-d Specify the SO_DEBUG option on the socket being used-f Set Dont Fragment flag in packet(IPv4-only)-h Specify TTL value for echo requests to be sent,the default is 255-i Select the interface sending packets第22页ICMP应用-Ping(2)Router Aping 192.168.1.2 PING 192.168.1.2

10、:56 data bytes,press CTRL_C to break Reply from 192.168.1.2:bytes=56 Sequence=1 ttl=255 time=340 ms Reply from 192.168.1.2:bytes=56 Sequence=2 ttl=255 time=10 ms Reply from 192.168.1.2:bytes=56 Sequence=3 ttl=255 time=30 ms Reply from 192.168.1.2:bytes=56 Sequence=4 ttl=255 time=30 ms Reply from 192

11、.168.1.2:bytes=56 Sequence=5 ttl=255 time=30 ms -192.168.1.2 ping statistics-5 packet(s)transmitted 5 packet(s)received 0.00%packet loss round-trip min/avg/max=10/88/340 ms第23页ICMP应用-Tracert(1)主机A主机BRouter ARouter CRouter B10.0.0.2/2420.0.0.2/2430.0.0.2/24tracert?STRING IP address or hostname of a r

12、emote system-a Set source IP address,the default is the IP address of the output interface-f First time to live,the default is 1-m Max time to live,the default is 30-name Display the host name of the router on each hop-p Destination UDP port number,the default is 33434-q Number of probe packet,the d

13、efault is 3-s Specify the length of the packets to be sent.The default length is 12 bytes第24页ICMP应用-Tracert(2)lTracert显示数据包在网络传输过程中所经过的每一跳。tracert 30.0.0.2Tracert to 30.0.0.2(30.0.0.2),max hops:30,packet length:40,press CTRL_C to break 1 10.0.0.2 130 ms 50 ms 40 ms 2 20.0.0.2 80 ms 60 ms 80 ms 3 30.

14、0.0.2 80 ms 60 ms 70 ms 主机A主机BRouter ARouter CRouter B10.0.0.2/2420.0.0.2/2430.0.0.2/24第25页路由协议综述l路由是数据通信网络中最基本的要素。路由信息就是指导报文发送的路径信息，路由的过程就是报文转发的过程。路由协议PC 1PC 2第27页OSPF简介l无环路l收敛快l扩展性好l支持认证Site BSite ASite COSPFRTBRTARTCOSPFOSPF第28页SNMP简介lSNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。NMSSNMP第29页SNMP架构lSNMP包括NMS，Age

15、nt和MIB等。lAgent是被管理设备中的一个代理进程。lMIB是一个数据库，它包含了被管理设备所维护的变量。AgentMIBSNMPExecuteNotify被管理设备NMS第30页企业网络运维l掌握所有分支的流量趋势，主动发现需要扩容的设备和分支。l分析分支增加流量的应用分布，找出扩容价值点。l整理分支流量变化，合理分配现有网络资源。IT工程师工程师：分支一 的*设备端口带宽使用饱和，需要购置新设备进行网络扩容。主管主管：又要扩容？是网络优化不彻底，还是确实业务应用发展快？IT工程师工程师：我这里有各分支详细的网络应用发展报告.总部分支一分支二第31页NTA概念及功能l基本概念peSig

16、ht NTA即网流分析系统（Network Traffic Analyzer）是纯软件解决方案，无需硬件探针，不会额外增加用户投资；通过NetFlow、NetStream、sFlow协议，对常见的IP报文进行采集和分析，提供贴近客户的分析报表，能实时准确的监控全网流量，是企业运维管理的一大利器。l功能简介peSight NTA提供了一种便捷的网络监控、分析的方法，利用支持NetFlow/NetStream/sFlow等技术的网络设备提供的IP网络流量信息，深入分析全网流量，提供及时的流量分析报告，通过丰富的图表来展示流量分析结果，帮助用户全面了解全网流量，第一时间发现网络异常流量，了解整个网络

17、中的流量分布。第32页NetStream简介lNetStream是华为技术有限公司的专利技术，是一种网络流信息的统计与发布技术。NDE把获得的统计信息定期向NSC发送，由NSC进行进一步的处理，然后交给后续的NDA进行数据分析，分析的结果为网络计费与规划提供依据。NDENDENSCNSCNDANetstream流第33页目录1.TCP/IP架构2.常见网络协议常见网络协议介绍介绍p网络层协议n传输层协议p应用层协议3.常用网络设备介绍第34页建立TCP连接l三次握手ClientServerSYN(seq=a)SYN,ACK(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)第

18、35页断开TCP连接l四次挥手ClientServerFIN(seq=a)ACK(seq=b,ack=a+1)ACK(seq=a+1,ack=c+1)FIN,ACK(seq=c,ack=a+1)第36页目录1.TCP/IP架构2.常见网络协议常见网络协议介绍介绍p网络层协议p传输层协议n应用层协议3.常用网络设备介绍第37页常见应用层协议SIP 服务器WEB 服务器Mail 服务器FTP 服务器DNS 服务器PC第38页FTP原理lFTP 提供了一种在服务器和客户机之间上传和下载文件的有效方式。l使用FTP传输数据时，需要在服务器和客户机之间建立控制连接和数据连接。用户用户接口控制进程数据传输

19、进程文件系统控制进程数据传输进程文件系统客户端服务器控制连接数据连接第39页FTP传输模式(1)lFTP连接的建立分为主动模式和被动模式，两者的区别在于数据连接是由服务器发起还是由客户端发起。缺省情况下采用主动模式，用户可以通过命令切换。l主动模式下FTP连接建立：临时端口临时端口端口21端口20控制连接数据连接FTP ClientFTP Server第40页FTP传输模式(2)l被动模式FTP连接建立:临时端口临时端口端口21临时端口控制连接数据连接FTP ClientFTP Server第41页HTTP/HTTPS-Web应用基本组成部分lWeb基于客户端（Client）服务器（Serve

20、r）架构实现，包含三个部分：p使用HTML（HyperText Mark-up Language）描述文件p使用URL（Uniform Resource Locator）指定文件的所在p透过HTTP（HyperText Transfer Protocol）协议与服务器沟通服务器（Server）客户端（Client）访问访问URL：www.HHTTP/HTTPSHTML文件文件URL指定服务器文件对客户端显示第42页HTTP工作原理lHTTP（Hypertext Transfer Protocol）是一种无状态的协议，基于简单的请求-响应模式（requests/responses）。lHTTP有

21、两类报文：p请求报文从客户端向服务器发送请求报文。p响应报文从服务器到客户端的回答。您好！请问有什么事么？我需要XXX文件！GET/http:/class/xxxx HTTP/1.1请问你有通关密语吗？有，&%（#OK，这就是你要的文件！HTTP/1.1 200 OK第43页DNS工作原理l域名解析要由专门的域名解析系统（Domain Name System，简称DNS）来完成。在DNS系统中，涉及以下几种类型的服务器：p根服务器p顶级域名服务器p递归服务器p缓存服务器客户端缓存服务器我想访问的IP地址是Z.Z.Z.Z这个，我也不清楚，得问问明白人根服务器顶级域名服务器递归服务器对应的IP地址

22、是什么.com的域名服务器IP地址是X.X.X.X对应的IP地址是什么的域名服务器IP地址是Y.Y.Y.Y对应的IP地址是什么的IP地址是Z.Z.Z.ZIP:X.X.X.XIP:Y.Y.Y.Y客户端缓存服务器我又要访问的IP地址是Z.Z.Z.Z这次我记得第一次访问第二次访问第45页SMTP/POP3/IMAP-邮件收发机制lSMTP定义了计算机如何将邮件发送到SMTP Server，SMTP Server之间如何中转邮件。lPOP3（Post Office Protocol 3，邮局协议版本3）和IMAP（Internet Mail Access Protocol，交互式邮件存取协议）规定计算

23、机如何通过客户端软件管理、下载邮件服务器上的电子邮件。l基于该种方式，网络管理员需要在邮件服务器上部署SMTP服务、POP3服务（或IMAP服务）；终端用户需要在PC上安装邮件客户端软件（例如MicroSoft OutLook、FoxMail等邮件管理软件）。第46页思考题1.以下哪个不属于TCP/IP协议簇？（）A.数据链路层B.传输层C.会话层D.应用层2.以下哪个报文是TCP三次握手的首包？（）A.SYN+ACKB.SYNC.ACKD.FIN第47页本章总结lTCP/IP架构l常见网络协议介绍第48页谢谢常见网络设备第50页前言l网络设备是网络的基础构成，我们在规划和组建网络时，往往需要

24、部署网络设备，并且需要在网络设备上进行相关配置已连通网络或达到满足网络安全需求的目的。第51页目标l学完本课程后，您将能够：p描述华为常见网络基础设备p描述网络设备的功能p登录网络设备并对网络设备进行基础配置第52页目录1.网络基础设备网络基础设备2.设备初始登录第53页园区网络安全部署场景出差员工分支/合作伙伴病毒DMZ区办公区办公区数据中心NIPvNGFWAnti-DDoSATIC第54页交换机l交换机工作在数据链路层，转发数据帧。SWA主机A主机C主机BIP:10.1.1.1/24MAC:00-01-02-03-04-AAIP:10.1.1.2/24MAC:00-01-02-03-04-

25、BBIP:10.1.1.3/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3第55页交换机的转发行为泛洪（Flooding）转发（Forwarding）丢弃（Discarding）第56页交换机初始状态l初始状态下，交换机MAC地址表为空。MAC地址表MAC接口接口SWA主机A主机C主机BIP:10.1.1.1/24MAC:00-01-02-03-04-AAIP:10.1.1.2/24MAC:00-01-02-03-04-BBIP:10.1.1.3/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3第57页学习MAC地址l交换机

26、将收到的数据帧的源MAC地址和对应接口记录到MAC地址表中。MAC接口接口00-01-02-03-04-AAG0/0/1MAC地址表SWA主机A主机C主机BIP:10.1.1.1/24MAC:00-01-02-03-04-AAIP:10.1.1.2/24MAC:00-01-02-03-04-BBIP:10.1.1.3/24MAC:00-01-02-03-04-CCG0/0/1 G0/0/2G0/0/3ARPDec.MacSrc.Mac第58页MAC接口接口00-01-02-03-04-AAG0/0/1转发数据帧l当数据帧的目的MAC地址不在MAC表中，或者目的MAC地址为广播地址时，交换机会泛

27、洪该帧。Dec.MacMAC地址表SWA主机A主机C主机BIP:10.1.1.1/24MAC:00-01-02-03-04-AAIP:10.1.1.2/24MAC:00-01-02-03-04-BBIP:10.1.1.3/24MAC:00-01-02-03-04-CCG0/0/1 G0/0/2G0/0/300-01-02-03-04-AAFF-FF-FF-FF-FF-FFARPSrc.Mac第59页目标主机回复l交换机根据MAC地址表将目标主机的回复信息单播转发给源主机。MAC接口接口00-01-02-03-04-AAG0/0/100-01-02-03-04-CCG0/0/3Dec.MacSr

28、c.MacMAC地址表SWA主机A主机C主机BIP:10.1.1.1/24MAC:00-01-02-03-04-AAIP:10.1.1.2/24MAC:00-01-02-03-04-BBIP:10.1.1.3/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2 G0/0/3ARP00-01-02-03-04-AA00-01-02-03-04-CC第60页路由器l功能：在不同的网络之间转发数据包。网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层Router ARouter BRouter C应用层传输层网络层数据链路层物理层Host AHost B应用层传输

29、层网络层数据链路层物理层Router CRouter BRouter A第61页路由选路l路由器负责为数据包选择一条最优路径，并进行转发。RTARTBRTCRTD第62页防火墙l防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。第63页防火墙与交换机、路由器对比l路由器与交换机的本质是转发，防火墙的本质是控制。交换机汇聚组建局域网二/三层快速转发报文防火墙控制报文转发防攻击病毒木马路由器寻址和转发保证网络互联互通第64页防火墙的发展历史198919941995200420052009访问控制代理技术会话机制专用设备多功能叠加DPI技术基于用户+应用+内容进行管控包过

30、滤应用代理状态检测UTM下一代防火墙NGFW第66页防火墙安全区域l安全区域（Security Zone），或者简称为区域（Zone）。pZone是本地逻辑安全区域的概念。pZone是一个或多个接口所连接的网络。DMZ区域Trust区域Untrust区域第67页防火墙安全区域与接口关系l安全区域与接口关系p防火墙是否存在两个具有完全相同安全级别的安全区域？p防火墙是否允许同一物理接口分属于两个不同的安全区域？p防火墙的不同接口是否可以属于同一个安全区域？G0/0/2DMZ区域G0/0/3Untrust区域 G0/0/0Trust区域G0/0/1Trust区域第68页目录1.网络基础设备2.设备

31、初始登录设备初始登录n基础业务配置p基础系统设置第69页VRP简介lVRP:Versatile Routing Platform，通用路由平台。p网络操作系统p支撑多种设备的软件平台p提供TCP/IP 路由服务第70页命令行简介l系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。-用户视图system-viewNGFW -系统视图NGFWinterface GigabitEthernet 0/0/1NGFWGigabitEthernet0/0/1quit -接口视图NGFWospf 1 NGFW-ospf-1 -协议

32、视图第71页命令行帮助-完全帮助l应用完全帮助，系统可以协助您在输入命令行时，给予全部关键字或参数的提示。p在任一命令视图下，键入“?”获取该命令视图下所有的命令及其简单描述。p键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。?User view commands:anti-ddos Defend against DDoS attacks arp Specify ARP configuration informationdisplay firewall?blacklist Indicate the blacklist command group datap

33、lane Indicate dataplane to manageplane defend Indicate attack defense第72页命令行帮助-部分帮助l应用部分帮助，系统可以协助您在输入命令行时，给予以该字符串开头的所有关键字或参数的提示。p键入一字符串，其后紧接“?”，列出以该字符串开头的所有关键字。p键入一命令，后接一字符串紧接“?”，列出命令以该字符串开头的所有关键字。d?debugging delete dir display download display b?backup-configuration bfd bgp bridge buffer bulk-stat第

34、73页命令行帮助-Tab键l如果与不完整的关键字匹配的关键字唯一。l如果不匹配或者匹配的关键字不唯一。NGFWinfo-NGFWinfo-center NGFWinfo-center lNGFWinfo-center loNGFWinfo-center loghostNGFWinfo-center localNGFWinfo-center logbufferNGFWinfo-center logfile第74页配置接口l选择“网络 接口”，选择对应接口的编辑。l配置接口IP地址，切换接口模式。通过切换接口模式。路由：三层接口交换：二层接口：配置IP地址，子网掩码加入安全区域第75页配置路由l选

35、择“网络 路由 静态路由”，单击“新建”。12第76页设备登录管理综述l设备登录管理 pConsole登录ptelnet登录pSSH登录pWeb登录第77页通过Console口登录设备(1)l查看本机端口参数第78页通过Console口登录设备(2)l设置连接端口和通信参数参数参数取值取值每秒位数（波特率）9600数据位8奇偶校验无停止位1数据流控制（流量控制）无第79页Web登录-功能简介l设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。p将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。p将PC的以太网口与设备的缺省管理接口直接相连，或者通过

36、交换机中转相连。p在PC的浏览器中访问http:/192.168.0.1，进入Web界面的登录页面。p缺省用户名为admin，密码为Admin123.第80页Web登录-配置管理(1)l如果需要从业务口通过web方式登录设备，则需要在设备上配置web方式登录的功能。p并启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。12第81页Web登录-配置管理(2)l配置Web管理员。123第82页Web登录-配置管理(3)l配置登录接口。123第83页Telnet登录-配置管理(1)lNGFW缺省不允许通过telnet登录，需要配置telnet服务，需要先通过其他方式登录

37、到设备上进行telnet服务配置。p启用telnet服务。12第84页Telnet登录-配置管理(2)l配置Telnet管理员。123第85页Telnet登录-配置管理(3)l配置登录接口。第86页SSH登录-配置管理(1)lSSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。配置USG接口SSH设备管理，管理员根据实际的需要打开。l配置命令：p启用STelnet服务p配置USG接口允许SSH管理p配置RSA本地密钥对p配置VTY用户界面NGFWstelnet server enableNGFW-GigabitEthernet1/0/1service-manage enableNG

38、FW-GigabitEthernet1/0/1service-manage ssh permitsystem-view NGFWrsa local-key-pair create USGuser-interface vty 0 4 USG-ui-vty0-4protocol inbound allUSG-ui-vty0-4authentication-mode aaa第87页SSH登录-配置管理(2)p创建SSH管理员账号，指定认证方式为Password，服务方式为Stelnetp创建SSH用户p以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。p若华为设备作为SSH客户端，需要使能

39、客户端的SSH登录功能。NGFWaaaNGFW-aaamanager-user sshadminNGFW-aaa-manager-user-sshadminservice-type sshNGFW-aaa-manager-user-sshadminlevel 3NGFW-aaa-manager-user-sshadminpassword cipher huaweiNGFWssh user sshadminNGFWssh user sshadmin authentication-type passwordNGFWssh user sshadmin service-type stelnetNGFW

40、ssh client first-time enable第88页目录1.网络基础设备2.设备初始登录设备初始登录p基础业务配置n基础系统设置第89页设备文件管理综述l设备文件管理p配置文件管理p系统文件管理（软件升级）pLicense管理第90页配置文件管理l配置文件类型psaved-configuration：USG设备下次上电启动时所用的配置文件，存储在USG的Flash或者CF卡，重启不会丢失。pcurrent-configuration：USG设备当前生效的配置，命令行和Web操作都是修改current-configuration。存储在USG的内存中，重启丢失。l配置文件操作p保存配置文件p擦除配置文件（恢复出厂配置）p配置下次启动时的系统软件和配置文件p重启设备第91页版本升级l一键式升级12第92页License配置lLicense是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，License可以动态控制产品的某些特性是否可用。l激活License12第93页思考题1.采用默认web方式登录时，默认登录的地址为（）？A.192.168.0.1/24B.192.168.1.1/24C.172.16.0.1/16D.172.16.1.1/16第94页本章总结l常见网络设备的功能和型号l网络设备登录方式l安全设备基础配置第95页谢谢