CISP0204协议及网络架构安全课件.ppt

1、网络协议及架构安全中国信息安全测评中心2012-10课程内容2网络安全网络安全网络架构安全网络架构安全网络安全设备网络安全设备网络协议安全网络协议安全无线数据网络协议安全无线数据网络协议安全 无线蜂窝网络协议安全无线蜂窝网络协议安全 防火墙防火墙入侵检测系统入侵检测系统其它网络安全设备其它网络安全设备网络架构安全的概念网络架构安全的概念 TCP/IPTCP/IP协议簇安全协议簇安全 网络架构安全的实践网络架构安全的实践 知识体知识体知识域知识域知识子域知识子域知识域：网络协议安全v知识子域：TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协议面临安全威胁及

2、安全对策 理解无线网络安全协议的原理和应用 了解IPV6的安全优势vOSI七层结构模型vOSI参考模型的各层ISO/OSI开放互联模型4ISO/OSI七层模型结构5表示层表示层应用层（高）应用层（高）数据流层数据流层7654321分层结构的优点v降低复杂性v促进标准化工作v各层间相互独立，某一层的变化不会影响其他层v协议开发模块化v简化理解与学习6v 作用 定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；v 典型物理层设备 光纤、双绞线、中继器、集线器等；v 常见物理层标准（介质与速率）100BaseT,OC-3,O

3、C-12,DS1,DS3,E1,E3；第一层：物理层7表示层表示层v 作用 物理寻址，网络拓扑，线路规章等；错误检测和通告（但不纠错）；将比特聚成帧进行传输；流量控制（可选）v 寻址机制 使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）v 典型数据链路层设备 网卡、网桥和交换机v 数据链路层协议 PPP,HDLC,FR,Ethernet,Token Ring,FDDI第二层：数据链路层8表示层表示层第二层：以太网协议标准（两个子层）vLLC（Logical Link Control）IEEE 802.2 为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；vMAC（M

4、edia Access Control）IEEE 802.3 烧录到网卡ROM；48比特；唯一性；表示层表示层9第三层：网络层v 作用 逻辑寻址 路径选择v 寻址机制 使用网络层地址进行寻址（如IP地址）v 网络层典型设备 路由器 三层交换机10表示层表示层第四层：传输层v 作用 提供端到端的数据传输服务；建立逻辑连接；v 寻址机制 应用程序的界面端口（如端口号）v 传输层协议 TCP(Transmission Control Protocol)状态协议；按序传输；纠错和重传机制；Socket；UDP(User Datagram Protocol)无状态协议；SPX11表示层表示层第五层：会话

5、层v作用 不同应用程序的数据隔离；会话建立，维持，终止；同步服务；会话控制（单向或双向）12表示层表示层第六层：表示层v作用 数据格式表示；协议转换；字符转换；数据加密/解密；数据压缩等；v表示层数据格式 ASCII,MPEG,TIFF,GIF,JPEG；13表示层表示层第七层：应用层v作用 应用接口；网络访问流处理；流控；错误恢复；v应用层协议 FTP,Telnet,HTTP,SNMP,SMTP,DNS；14表示层表示层数据发送过程-数据封装SegmentSegmentPacketPacketBitsBitsFrameFramePDUPDU数据接收过程-数据解封OSI安全体系结构定义的安全攻

6、击OSI安全体系结构定义了被动攻击和主动攻击被动攻击:监听 流量分析主动攻击:假冒 重放 篡改 拒绝服务OSI安全体系结构定义的安全服务OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务鉴别；访问控制；数据机密性；数据完整性；抗抵赖；OSI安全体系结构定义的安全机制加密；数字签名；访问控制；数据完整性；鉴别；流量填充（用于对抗通信流量分析，在加密时才是有效的）；路由控制（可以指定路由选择说明，回避某些特定的链路或子网）；公证（notarization）；vTCP/IP与OSI模

7、型的对应关系vTCP/IP 常用协议与安全威胁TCP/IP协议模型20TCP/IP协议与OSI模型的对应21表示层表示层TCP/IP协议结构22应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层安全损坏干扰电磁泄漏搭线窃听欺骗23拒绝服务嗅探网络接口层安全v损坏：自然灾害、动物破坏、老化、误操作v干扰：大功率电器/电源线路/电磁辐射v电磁泄漏：传输线路电磁泄漏v搭线窃听：物理搭线v欺骗：ARP欺骗v嗅探：常见二层协议是明文通信的（以太、arp等）v拒绝服务：mac flooding，arp flooding等24AR

8、P 欺骗 DAI（Dynamic ARP Inspection）是思科交换机的一个安全特性。DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。利用DAI防御arp欺骗互联网络层体系结构27应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPvIP是TCP/IP协议族中最为核心的协议v不可靠（unreliable）通信v无连接（connectionless）通信v提供分层编址体系（ip地址）IP协议简介28IP 报头结构IP 地址类别*127(01111111)是保留用于环回测试的 A 类地址，不能将其分配给网络。D类

9、224-2391110 0000 到 1110 1111 组播通信地址 E类 240-2551111 0000 到 1111 1111保留地址，用于测试国际互联网私有IP地址范围类私有地址范围A10.0.0.0 到 10.255.255.255B172.16.0.0 到 172.31.255.255C192.168.0.0 到 192.168.255.255v特点：构建在IP报文结构上，但被认为是与IP在同一层的协议IP报头ICMP报文8位类型8位代码16位校验和内容ICMP协议32internetICMP查询报文网关ICMP差错报文pingping 1.1.1.1ICMP查询报文ICMP差错

10、报文Couldnt find 1.1.1.1v传递差错报文及其他需要注意的信息vICMP地址掩码请求与应答vICMP时间戮请求与应答ICMP协议的作用33IP层安全拒绝服务欺骗窃听伪造34互联网络层安全v拒绝服务：分片攻击（teardrop）/死亡之pingv欺骗：IP源地址欺骗v窃听：嗅探v伪造：IP数据包伪造35分片攻击（teardrop）vTeardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。v例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。v理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/

11、IPS的安全特性能够防御tear drop攻击。36smurf攻击v攻击者使用广播地址发送大量的欺骗icmp echo请求，如果路由器执行了三层广播到二层广播转换（定向广播），那么，同一ip网段的大量主机会向该欺骗地址发送icmp echo 应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。v防御方法为关闭路由器或三层交换机的定向广播功能。37防御IP源地址欺骗（rfc3704过滤）v大多数攻击都伴随着ip源地址欺骗。38172.16.0.0/12172.16.0.0/12传输层体系结构39应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICM

12、PIPIGMPARP硬件接口RARPvTCP:传输控制协议v作用：TCP提供一种面向连接的、可靠的字节流服务v功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 TCP协议4016位源端口号16位目的端口号32位序号32位确认序号偏移量保留U A P R S F16位窗口大小16位紧急指针16位校验和数 据TCP包头数据结构TCP首部41U U R G 紧急指针（u rgent pointer）有效A A C K 确认序号有效P P S H 接收方应该尽快将这个报文段交给应用层R R S T 重建连接S S Y N 同步序号，用来发起一个连接。F F I N 发送端完成发

13、送任务 TCP首部-标记位42vTCP/UDP 通过16bit端口号来识别应用程序 知名端口号由Internet号分配机构（Internet Assigned Numbers Authority,IANA）来管理v现状 1255端口号分配给知名的网络服务 2561023分配给Unix操作系统特定的服务 10245000 临时分配的端口号 5000以上端口号保留给应用服务TCP首部-端口号43TCP建立连接过程三次握手CTL=TCP 报头中设置为 1 的控制位v特点：UDP是一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资

14、源少，效率高 UDP协议4516位源端口号16位目的端口号16位UDP长度16位UDP校验和数据UDP协议包头46v相同点 同一层的协议，基于IP报文基础上v不同点 TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销 UDP是不可靠，但是高效的传输协议UDP与TCP比较47传输层安全拒绝服务欺骗窃听伪造48传输层安全问题v拒绝服务：syn flood/udp flood、Smurfv欺骗：TCP会话劫持v窃听：嗅探v伪造：数据包伪造49TCP syn flood攻击v攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求，导致目标主机无法完成tcp三次握手，导致目标主

15、机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp服务。v可以在路由器、防火墙或IPS启用ip源地址过滤（rfc3704），并启用tcp最大连接数和连接速率限制等特性进行防御。50TCP会话劫持v攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。v最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术（如ipsec等）。51TCP 序列号和确认号应用层协议v域名解析：DNSv电子邮件：SMTP/POP3v文件传输：FTPv网页浏览：HTTPv网络终端协议:TE

16、LENETv简单网络管理协议:SNMPv网络文件系统:NFS v路由协议:BGP53应用层安全拒绝服务欺骗窃听伪造暴力破解54应用层协议的安全问题v 拒绝服务：超长URL链接、v 欺骗：跨站脚本、钓鱼式攻击、cookie欺骗v 窃听：嗅探v 伪造：应用数据篡改v 暴力破解：应用认证口令暴力破解等v 55实现加密通信56v 使用ssh替代telnetv 使用https替代httpv 使用S/MIME安全多用途英特网邮件扩展v 部署ipsec vpn嗅探攻击利用各种工具收集目标网络或系统的信息.常用攻击工具:Sniffers（数据包嗅探）端口扫描Ping扫描嗅探攻击的防御方法用户和设备身份鉴别AA

17、A服务、dot1x、NAC等。数据加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交换机基础架构使用交换机基础架构能够减少数据包嗅探攻击。访问攻击特点访问攻击的目的:获取数据获取访问特权常见的访问攻击和工具口令攻击（各种口令破解工具、嗅探、病毒、木马）信任关系利用端口重定向中间人攻击缓冲区溢出访问攻击的防御方法使用强口令、一次性口令,AAA服务等部署严格的边界信任和访问控制防火墙或路由器Window域或活动目录Linux、Unix部署加密技术部署IDS/IPS部署路由协议鉴别AAA 服务Authentication（身份鉴别）Authorization（授权）

18、Accounting（记账）DoS 攻击特点DoS攻击的目的是导致目标网络、系统或服务不可用.Distributed DoS 攻击能够协同大量的攻击主机向同一个目标进行集群攻击。DoS 和 DDoS 攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者.DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害（互联网公共道德和安全意识）。Distributed DoS 示例DoS 攻击的防御方法在路由器和防火墙部署防ip源地址欺骗在路由器和防火墙启用防御DoS安全特性路由器Tcp拦截、常用acl策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防

19、御DoS攻击在互联网服务提供商（ISP）部署流量限速TCP/IP协议簇的安全架构 IPv6安全特性 IPv6 IPv6安全特性安全特性66vIPv6与IPv4的地址数量差异 IPv4地址数量：232，共4294967296个地址 IPv6地址数量：2128，共3.402823*1038 每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址vIPv6 提供的许多增强功能 增强的 IP 编址 简化的报头 移动性和安全性 多种过渡方式IP地址安全特性67 IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段，然后是选项字段和数据部分（通常是传输层数据段）

20、IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字段和五个附加报头字段简单报文结构68大多数应用协议需要进行升级FTP,SMTP,Telnet,Rlogin 需要对下列标准进行修改全部51个Internet标准中27个20个草案中的6个130个标准建议中的25个IPv6应用问题69知识域：网络协议安全知识子域：无线数据网络协议安全无线局域网协议安全无线局域网协议安全 理解802.11无线网络协议原理及其安全特性理解802.11i无线网络协议原理及其安全特性了解WAPI的原理和安全特性无线应用协议安全理解WAP的产生背景、原理和架构理解WTLS协议架构理解WAP END-TO-

21、END 安全的实现原理70无线局域网协议安全v无线网络体系及标准v无线局域网国际标准802.11简介v无线局域网国际标准802.11安全问题vIEEE 802.11i无线局域网安全协议介绍vWAPI标准介绍71无线技术72PAN(Personal Area Network)LAN(Local Area Network)WAN(Wide Area Network)MAN(Metropolitan Area Network)PANLANMANWANStandardsBluetooth802.15.3UltraWideBand(WiMedia)802.11802.11(Wi-Fi)802.16(Wi

22、-Max)802.20GSM,CDMA,SatelliteSpeed 1 Mbps11 to 54 Mbps10-100+Mbps10 Kbps2 MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-PeerDevice-to-DeviceEnterprise NetworksLast Mile AccessMobile Data Devices无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有

23、偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）无线局域网基本概念73IEEE 802.11简介 WLAN是通过无线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。在WLAN中，当前使用最为广泛的为IEEE指定的802.11.802.11 标准（组）包括 802.11a，802.11b，802.11g及802.11n（草案），加上安全方面的 802.11i，以及 QoS 方面的 802.11e。使用802.11系列协议的局域网又称Wi-Fi(Wireless-Fidelity)802.11局域网网络结构75无线局域网无线

24、局域网安全风险安全风险 无线局域网安全问题76传统无线安全防护措施服务集标识符SSID极易暴露和伪造，没有安全性可言物理地址（MAC）过滤 MAC地址容易伪造，扩展性差有线等效加密（WEP）IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解AirSnort的工具程序，利用WEP弱密钥的缺陷，可以在分析100万帧之后破解RC4的40 位或者104位密钥。经过改进，它可以在分析20000帧之后破解。77问题示例：“中间人”攻击攻击者利用伪造攻击者利用伪造APAP进行中间人攻击：进行中间人攻击：伪造伪造APAP对用户（终端）相当于合法对用户（终端）相当于合法AP

25、AP；对合法；对合法APAP相当于用户（终端）相当于用户（终端）78802.11i简介 在在WEPWEP之后，之后，802.11i802.11i任务组完成了提高任务组完成了提高WLANWLAN安全能力的开发工作安全能力的开发工作 为了尽快提高为了尽快提高WLANWLAN的安全能力，的安全能力，Wi-FiWi-Fi联盟颁布了联盟颁布了Wi-Fi Protected Access Wi-Fi Protected Access(WPA)(WPA)作为作为Wi-Fi Wi-Fi 标准标准 802.11i802.11i标准的最终版本称作标准的最终版本称作RSNRSN（Robust Security Ne

26、tworkRobust Security Network）。）。Wi-Fi Wi-Fi 的的WPA2WPA2完整的实现了完整的实现了802.11i802.11i标准标准 。802.11i的网络架构 规定了二种网络架构：规定了二种网络架构：过渡安全网络过渡安全网络(TSN)(TSN)：可以兼容现有的使用：可以兼容现有的使用WEPWEP方式工作的设备，使现有方式工作的设备，使现有的无线局域网系统可以向的无线局域网系统可以向802.11i802.11i网络平稳过渡。网络平稳过渡。强健的安全网络强健的安全网络(RSN)(RSN)：针对：针对WEPWEP加密机制的各种缺陷做了多方面的改加密机制的各种缺陷

27、做了多方面的改进进 ，大大增强，大大增强WLANWLAN的数据加密和认证性能。的数据加密和认证性能。IEEE 802.11i RSN 的运行三种加密方式的比较 WEPTKIPCCMP核心算法RC4RC4AES密钥长度40/104bit128bit128/192/256bit完整性确认CRC校验MIC检验码CCM算法认证无EAP协议EAP协议WAPI标准简介WAPI(WLAN Authentication and Privacy Infrastructure)是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准832001200320042005200620082009启动标准编制标准推出

28、并准备强制启用无限期退出强制执行并申请国际标准政府发文促进标准体系完善，国际标准投票失败启动第二次国际标准申请，可能成为独立标准标准化组织达成共识，推动成为独立标准计算机计算机 WAPIWAPIGB 15629.11-2003GB 15629.11-2003/XG1-2006GB 15629.1102-2003GB 15629.1101-2006GB 15629.1104-2006GB/T 15629.1103-2006 5.8 GHz5.8 GHz54 Mbps54 Mbps2.4 GHz2.4 GHz11 Mbps11 Mbps不同国家不同国家之间漫游之间漫游2.4 GHz2.4 GHz5

29、4 Mbps54 Mbps 2006 2006年年6 6月颁布四项新的无线月颁布四项新的无线局域网国家标准。局域网国家标准。形成全面采用形成全面采用WAPIWAPI我国无线局我国无线局域网国家标准体系域网国家标准体系 基于WAPI的无线局域网标准体系842009-3-09基于三元结构和对等鉴别的访问控制方法 可普遍适用于无线、有线网络 WAPI目的：“合法用户接入合法网络”用户用户 网络网络 WAPI的技术思想85全IP架构下的接入网三元结构86二元安全架构对应二元安全架构对应二物理实体二物理实体单向鉴别单向鉴别无法保证安全无法保证安全 三元安全架构对三元安全架构对应三物理实体应三物理实体接入

30、点接入点/基站有独立身份基站有独立身份完整双向认证完整双向认证 有效保证安全有效保证安全“元元”在网络安全接入领域指具有认证功能的功能体在网络安全接入领域指具有认证功能的功能体 二元安全架构对应二元安全架构对应三物理实体三物理实体APAP无独立身份，无独立身份，易被攻击易被攻击 仍无法保证安全仍无法保证安全 WAPI构筑三元安全架构87STA 其他网络设备 AS 服务器 AP 鉴别激活接入鉴别请求证书鉴别请求证书鉴别响应接入鉴别响应访问网络资源（链路加密）通信过程身份鉴别过程密钥协商请求组播密钥响应密钥协商响应组播密钥通告WAPI-WLANWAPI-WLAN安全接入协议采用公钥证书机制，通安全

31、接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入控过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。制和保密通信。WAPI安全协议流程88无线应用协议安全 WAP概况 WAPWAP基础设施基础设施 WAPWAP程序设计模型程序设计模型 无线标识语言（无线标识语言（WMLWML）WAPWAP协议体系结构协议体系结构 无线网传输层安全无线网传输层安全(WTLS)(WTLS)WAP END-TO-END 安全 WAP 产生背景 1997年中期，世界几个主要的移动设备制造商Motorola、Nokia Ericsson和美国一家软件公司P作为最初的发起者成立了WAP论坛，开始

32、进行WAP协议的开发。WAP协议设计目标是，基于Internet中广泛应用的标准（如HTTP,TCP/IP,SSL,XML等），提供一个对空中接口和无线设备独立的无线设备独立的无线Internet全面解决方案，同时支持未来的开放标准。移动终端的局限设备的限制 较弱的处理器能力不足的内存大小较短的电池寿命较小的显示屏较弱的数据输入能力无线网络的限制 窄带宽大延迟低稳定性 WAP规范的主要内容与WWW 程序设计兼容的程序设计模型，B/S结构符合XML规范的语言：WML（Wireless Markup Language）适合移动无线终端的微浏览器轻量级的通信协议栈无线电话应用（wireless te

33、lephony applications，WTAs）框架，提供电话和Internet 访问功能的集成 WAP基础设施 WAP程序设计模型 无线标识语言（WML）WML的重要特征支持文本和图像 支持用户输入 支持导航 窄带优化 WAP协议体系结构 WTLS协议体系结构 WAP END-TO-END 安全 基于TLS的安全架构 基于IPSec的安全架构 为什么提出WAP END-TO-END 安全基于TLS的安全架构基于IPSec的安全架构知识域:网络协议安全 知识子域:无线蜂窝网络协议安全 GSM的安全性 了解GSM的安全机制和安全缺陷 CDMA的安全性 了解CDMA的安全机制和安全缺陷 3G系

34、统的安全性 了解3G系统的安全机制和安全缺陷102GSM 的安全措施 访问访问AUCAUC（Authentication CenterAuthentication Center，鉴权鉴权中心），进行用户认证，进行用户认证 无线通道加密无线通道加密 移动设备确认移动设备确认 IMSI IMSI临时身份临时身份TMSITMSI的使用的使用 （用户号码保密和避免被别人对用户定位（用户号码保密和避免被别人对用户定位）103GSM 的安全缺陷 安全系统内在的弱点 固定网络中的数据和信令传输并未得到充分的保护入侵者轻易能得到的全部有关安全的信息.SIM卡易受一种称为“SIM克隆”的攻击.数据业务的弱点 短

35、信信息在传输时未加密 加密算法的弱点 David Wagner 和 Ian Goldberg曾用不到一天的时间破解了COMP128算法。104CDMA 的安全措施用防篡改的UIM（User Identify Module）卡代替了GSM的SIM卡 CDMA认证 CDMA的保密性 105 CDMA 的安全缺陷 当前的许多系统不支持认证功能 手机既没有认证算法也无法输入 A-KEY参数的管理存在问题 1063G 的安全措施用户身份保密在无线链路上窃听用户身份IMSI是不可能的；确保不能够通过窃听方式获取当前用户的位置；不能在无线链路上获知用户正在使用的不同的业务 3G认证 完成了网络和用户间的双向

36、认证；防止重放攻击;数据保密性数据完整性107 3G系统的安全漏洞 3G允许将比较弱的加密算法标准化以便于出口;不支持公钥密码体制，难以实现用户数字签名 终端存储能力和处理能力的增强更有利于病毒的传播 108知识域：网络架构安全知识子域：网络架构安全的概念 理解网络架构安全的含义 理解网络架构的安全需求（安全域、安全边界、用户接入控制、数据安全访问和控制等）109网络架构安全的含义 网络架构的定义：定义一：指对网络系统中物理部件的规划、规格描述以及布署 定义二：为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。定义三：指对由软件、互联设备、通信协议和传输模式等构成的网络的结构和布署，

37、用以确保可靠的信息传输，满足的业务需要。网络架构安全是网络架构在安全方面的考虑，是网络规划和设计的重要内容之一 网络架构的安全需求 安全域划分安全域划分边界安全策略 路由交换设备安全配置要求路由交换设备安全配置要求 防火墙安全配置要求防火墙安全配置要求 网闸安全配置要求网闸安全配置要求 入侵检测安全配置要求入侵检测安全配置要求 抗抗DDoSDDoS攻击安全配置要求攻击安全配置要求 虚拟专用网（虚拟专用网（VPNVPN）攻能要求）攻能要求 流量管理部署与功能要求流量管理部署与功能要求 网络监控与审计部署与功能要求网络监控与审计部署与功能要求访问控制的功能要求访问控制的功能要求 网络安全域 v定义

38、定义 安全域是遵守相同安全策略的用户和系统的集合v安全域划分的目的安全域划分的目的 把大规模系统安全问题化解为更小区域的安全保护问题v安全域的分类安全域的分类 按信息资产划分 按业务类型划分 按区域划分 按组织架构划分112同级别安全域同级别安全域 同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访不同级别安全域不同级别安全域 不同级别安全域之间的边界实际设计实施时又分为高等级安全域和低等级安全域的边界和防护远程连接用户远程连接用户 远程连接的用户对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护同级别安全域之间的边界远程接入边界的安全网络安全域防护网络安

39、全域防护113网络边界的概念网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 网络常见边界：网络常见边界：核心网络与互联网的边界 核心网络与部门、分支机构网络的边界 核心网络与异地容灾中心边界安全 不同部门、分支机构网络的边界114网络边界防护路由器路由器防火墙；防火墙；IDSIDS。VPNVPN设备。设备。软件软件DMzDMz和被屏蔽的于网和被屏蔽的于网 隔离网闸。115网络边界防护部件路由交换设备安全配置要求每台设备上要求安装经认可的操作系统，并及时修补漏洞路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。路由器密码不得以明文形式出现在纸制材料上，密码

40、应隐式记录，记录材料应存放于保险柜中。限制逻辑访问，合理处置访问控制列表，限制远程终端会话。监控配置更改。定期备份配置和日志。明确责任，维护人员对更改路由器配置时间、操作方式、原因和权限需要明确。入侵检测安全配置要求 中大型网络平台应部署基于网络的入侵检测系统（NIDS）网络入侵检测系统应对核心局域网、DMZ区域进行检测。对大型网络、分支机构网络的入侵检测，应采用分布式方式部署入侵检测系统。入侵检测产品应有国家相关安全部门的证书。监控配置更改时要进行监控。、定期备份配置和日志。入侵检测系统设置加长口令。如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。访问控制的功能要求 网络边

41、界部署访问控制设备，启用访问控制功能。能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。在会话处于非活跃一定时间或会话结束后终止网络连接。限制网络最大流量数及网络连接数。重要网段应采取技术手段防止地址欺骗。按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。知识域：网络架构安全知识子域：网络架构安全实践掌握IP地址规划、VLAN划分的基本安全原则掌握网络设备安全功能和安全配置的基本原则掌握网络安全设备部署和配置的基本

42、原则119网络架构安全 IP地址规划 VLAN规划和实施 网络设备的安全功能和配置 网络安全设备的功能和配置IP地址规划从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。121v为什么需要进行为什么需要进行IPIP规划规划提高路由协议的运行效率确保网络的性能确保网络可扩展确保网络可管理v核心设备使用相对较小的地址核心设备使用相对较小的地址v所有网关地址使用相同的末位数字，所有网关地址使用相同的末位数字，如如.254.254都是网关或都是网关或.1.1都是网关都是网关vIPIP地址通常要聚合后发布，在规划时要充地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合

43、地址。分考虑使用连续的可聚合地址。IP地址规划的技巧122非体系化的ip编址 主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。体系化的ip编址 主干网只需维护每个分支网络的一条汇总路由 每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分支网络只需维护一条汇总路由。路由表题目数量很少，明显减少了路由协议运行开销。vVLANVLAN定义定义 VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。125VLAN规划v划

44、分划分VLANVLAN的作用的作用有效的宽带利用安全性多路径负载均衡隔离故障域vVLANVLAN的分类的分类基于端口划分的VLAN基于MAC地址划分VLANPVLAN（private vlan）126VLAN实施交换机安全功能和配置127v802.1x802.1x安全认证安全认证v流量控制流量控制 v虚拟局域网虚拟局域网VLANVLANv基于访问控制列表基于访问控制列表 v入侵检测入侵检测IDS IDS v设备冗余设备冗余 MACMAC功能功能 虚拟专用网(VPN)功能 DMZ功能 访问控制列表功能 路由认证技术 路由器安全功能和配置128v无线安全类型的选择无线安全类型的选择 v无线无线MA

45、CMAC地址过滤地址过滤 v虚拟服务器功能虚拟服务器功能 v特殊应用程序功能特殊应用程序功能 vDMZDMZ主机功能主机功能 129无线局域网安全配置防火墙的布署与配置 确定要保护的对象 防火墙接口类型 按不同保护对象确定网络拓朴图 防火墙配置步骤：为区域分配网卡 设置网卡参数 配置路由 启用NAT功能 启动安全策略 入侵检测系统的配置和布署 NIDS布署 位于因特网防火墙内的NIDS 位于因特网防火墙外的NIDS 位于重要骨干网络上的NIDS 位于关键子网上的NIDS HIDS部署 HIDS全面部署宜从关键服务器开始 使用具备中央管理和报告功能的HIDS 向信息安全管理服务商外包其HIDS操

46、作和维护 VPN的布署 VPN有三种解决方案 远程访问虚拟网（Access VPN）企业内部虚拟网（Intranet VPN）企业扩展虚拟网（Extranet VPN）不同VPN的布署 IPSec VPN 的布署 SSL VPN的布署 一个企业网络架构安全的实例 企业网络拓扑企业网络拓扑网络架构安全需求网络架构安全需求 总体安全设计目标总体安全设计目标 网络架构安全设计网络架构安全设计 企业网络拓扑图 网络架构安全需求 互联网域的安全需求 外部互联网 内部互联域 办公域的安全需求 接入域的安全需求 服务器域的安全需求 互联网域的安全需求外部互联域有以下安全需求：出口统一的需求。冗余设备的需求。

47、避免单点故障的需求。部署安全策略的需求。互联网域的安全需求内部互联域有以下安全需求：集团和分公司与核心交换机的连接为三层连接，其网关设在集团和分公司的交换机上，一旦爆发网络病毒后，不会影响核心交换机的正常使用。部署安全策略的需求。传输安全的需求。办公域的安全需求 用户安全需求：把用户安全分成两个层次即二管理员用户安全和业务用户安全 网络防病毒安全需求 接入域的安全需求 病毒隔离避免网络风暴 服务器域的安全需求 部署防病毒软件定期修复系统漏洞 通过备份策略防止数据的丢失 总体安全设计目标 部署互联网边界防火墙和重要安全区域边界防火墙 部署SSL VPN设备 在DMZ区和核心交换区部署入侵检测系统

48、 在办公域部署防病毒网关，实现网关级病毒防护 网络架构安全设计 外部互联域安全方案设计 内部互联域安全方案设计 内网安全域安全方案设计内网安全域服务器域的安全方案设计 办公域的网络安全方案设计外部互联域安全方案设计内部互联域安全方案设计 内网安全域安全方案设计VLAN技术的采用采用VTP技术 内网安全域服务器域的安全方案设计 安装补丁 关闭多余的服务 口令安全 办公域的网络安全安全方案设计 在内网出口边界部署专门的病毒过滤网关系统 服务器和工作站需要安装防病毒网关客户端 148总结总结vOSIOSI七层模型七层模型vTCP/IP TCP/IP 协议及安全威胁协议及安全威胁v无线数据网络协议安全无线数据网络协议安全v 无线蜂窝网络协议安全无线蜂窝网络协议安全v网络架构安全网络架构安全谢谢，请提问题！感谢下感谢下载载