CISP0204协议及网络架构安全.ppt

网络协议及架构安全,中国信息安全测评中心 2012-10,课程内容,2,网络安全,网络架构安全,网络安全设备,网络协议安全,无线数据网络协议安全,无线蜂窝网络协议安全,防火墙,入侵检测系统,其它网络安全设备,网络架构安全的概念,TCP/IP协议簇安全,网络架构安全的实践,知识体,知识域,知识子域,知识域：网络协议安全,知识子域：TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协议面临安全威胁及安全对策 理解无线网络安全协议的原理和应用 了解IPV6的安全优势,OSI七层结构模型 OSI参考模型的各层,ISO/OSI开放互联模型,4,ISO/OSI七层模型结构,5,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,应用层（高）,数据流层,7 6 5 4 3 2 1,分层结构的优点,降低复杂性 促进标准化工作 各层间相互独立，某一层的变化不会影响其他层 协议开发模块化 简化理解与学习,6,数据链路层,作用 定义物理链路的电气、机械、通信规程、功能要求等； 电压，数据速率，最大传输距离，物理连接器； 线缆，物理介质； 将比特流转换成电压； 典型物理层设备 光纤、双绞线、中继器、集线器等； 常见物理层标准（介质与速率） 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3；,第一层：物理层,7,物理层,网络层,传输层,会话层,表示层,应用层,作用 物理寻址，网络拓扑，线路规章等； 错误检测和通告（但不纠错）； 将比特聚成帧进行传输； 流量控制（可选） 寻址机制 使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址） 典型数据链路层设备 网卡、网桥和交换机 数据链路层协议 PPP, HDLC, FR, Ethernet, Token Ring, FDDI,第二层：数据链路层,8,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第二层：以太网协议标准（两个子层）,LLC（Logical Link Control） IEEE 802.2 为上层提供统一接口； 使上层独立于下层物理介质； 提供流控、排序等服务； MAC（Media Access Control） IEEE 802.3 烧录到网卡ROM； 48比特； 唯一性；,LLC MAC,物理层,网络层,传输层,会话层,表示层,应用层,9,第三层：网络层,作用 逻辑寻址 路径选择 寻址机制 使用网络层地址进行寻址（如IP地址） 网络层典型设备 路由器 三层交换机,10,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第四层：传输层,作用 提供端到端的数据传输服务； 建立逻辑连接； 寻址机制 应用程序的界面端口（如端口号） 传输层协议 TCP (Transmission Control Protocol) 状态协议； 按序传输； 纠错和重传机制； Socket； UDP (User Datagram Protocol) 无状态协议； SPX,11,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第五层：会话层,作用 不同应用程序的数据隔离； 会话建立，维持，终止； 同步服务； 会话控制（单向或双向）,12,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第六层：表示层,作用 数据格式表示； 协议转换； 字符转换； 数据加密/解密； 数据压缩等； 表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG；,13,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第七层：应用层,作用 应用接口； 网络访问流处理； 流控； 错误恢复； 应用层协议 FTP, Telnet, HTTP, SNMP, SMTP, DNS；,14,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,数据发送过程-数据封装,Segment,Packet,Bits,Frame,PDU,数据接收过程-数据解封,OSI安全体系结构定义的安全攻击,OSI安全体系结构定义了被动攻击和主动攻击 被动攻击: 监听 流量分析 主动攻击: 假冒 重放 篡改 拒绝服务,OSI安全体系结构定义的安全服务,OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务 鉴别； 访问控制； 数据机密性； 数据完整性； 抗抵赖；,OSI安全体系结构定义的安全机制,加密； 数字签名； 访问控制； 数据完整性； 鉴别； 流量填充（用于对抗通信流量分析，在加密时才是有效的）； 路由控制（可以指定路由选择说明，回避某些特定的链路或子网）； 公证（notarization）；,TCP/IP与OSI模型的对应关系 TCP/IP 常用协议与安全威胁,TCP/IP协议模型,20,TCP/IP协议与OSI模型的对应,21,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,互联网络层,传输层,应用层,网络接口层,TCP/IP协议结构,22,网络接口层安全,损坏,干扰,电磁泄漏,搭线窃听,欺骗,23,拒绝服务,嗅探,网络接口层安全,损坏：自然灾害、动物破坏、老化、误操作 干扰：大功率电器/电源线路/电磁辐射 电磁泄漏：传输线路电磁泄漏 搭线窃听：物理搭线 欺骗：ARP欺骗 嗅探：常见二层协议是明文通信的（以太、arp等） 拒绝服务：mac flooding，arp flooding等,24,ARP 欺骗,DAI（Dynamic ARP Inspection）是思科交换机的一个安全特性。 DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。,利用DAI防御arp欺骗,互联网络层体系结构,27,IP是TCP/IP协议族中最为核心的协议 不可靠（unreliable）通信 无连接（connectionless）通信 提供分层编址体系（ip地址）,IP协议简介,28,IP 报头结构,IP 地址类别,*127 (01111111) 是保留用于环回测试的 A 类地址，不能将其分配给网络。,国际互联网私有IP地址范围,特点：构建在IP报文结构上，但被认为是与IP在同一层的协议,ICMP协议,32,传递差错报文及其他需要注意的信息 ICMP地址掩码请求与应答 ICMP时间戮请求与应答,ICMP协议的作用,33,IP层安全,拒绝服务,欺骗,窃听,伪造,34,互联网络层安全,拒绝服务：分片攻击（teardrop）/死亡之ping 欺骗：IP源地址欺骗 窃听：嗅探 伪造：IP数据包伪造,35,分片攻击（teardrop）,Teardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。 例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。 理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/IPS的安全特性能够防御tear drop攻击。,36,smurf攻击,攻击者使用广播地址发送大量的欺骗icmp echo请求，如果路由器执行了三层广播到二层广播转换（定向广播），那么，同一ip网段的大量主机会向该欺骗地址发送icmp echo 应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。 防御方法为关闭路由器或三层交换机的定向广播功能。,37,防御IP源地址欺骗（rfc3704过滤）,大多数攻击都伴随着ip源地址欺骗。,38,172.16.0.0/12,传输层体系结构,39,TCP:传输控制协议 作用：TCP提供一种面向连接的、可靠的字节流服务 功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 ,TCP协议,40,TCP首部,41,U R G 紧急指针（u rgent pointer ）有效 A C K 确认序号有效 P S H 接收方应该尽快将这个报文段交给应用层 R S T 重建连接 S Y N 同步序号，用来发起一个连接。 F I N 发送端完成发送任务,TCP首部-标记位,42,TCP/UDP 通过16bit端口号来识别应用程序 知名端口号由Internet号分配机构（Internet Assigned Numbers Authority,IANA）来管理 现状 1255端口号分配给知名的网络服务 2561023分配给Unix操作系统特定的服务 10245000 临时分配的端口号 5000以上端口号保留给应用服务,TCP首部-端口号,43,TCP建立连接过程三次握手,CTL = TCP 报头中设置为 1 的控制位,特点：UDP是一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资源少，效率高 ,UDP协议,45,UDP协议包头,46,相同点 同一层的协议，基于IP报文基础上 不同点 TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销 UDP是不可靠，但是高效的传输协议,UDP与TCP比较,47,传输层安全,拒绝服务,欺骗,窃听,伪造,48,传输层安全问题,拒绝服务：syn flood/udp flood、Smurf 欺骗：TCP会话劫持 窃听：嗅探 伪造：数据包伪造,49,TCP syn flood攻击,攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求，导致目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp服务。 可以在路由器、防火墙或IPS启用ip源地址过滤（rfc3704），并启用tcp最大连接数和连接速率限制等特性进行防御。,50,TCP会话劫持,攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。 最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术（如ipsec等）。,51,TCP 序列号和确认号,应用层协议,域名解析：DNS 电子邮件：SMTP/POP3 文件传输：FTP 网页浏览：HTTP 网络终端协议:TELENET 简单网络管理协议:SNMP 网络文件系统:NFS 路由协议:BGP,53,应用层安全,拒绝服务,欺骗,窃听,伪造,暴力破解,54,应用层协议的安全问题,拒绝服务：超长URL链接、 欺骗：跨站脚本、钓鱼式攻击、cookie欺骗 窃听：嗅探 伪造：应用数据篡改 暴力破解：应用认证口令暴力破解等 ,55,实现加密通信,56,使用ssh替代telnet 使用https替代http 使用S/MIME安全多用途英特网邮件扩展 部署ipsec vpn,嗅探攻击,利用各种工具收集目标网络或系统的信息. 常用攻击工具: Sniffers（数据包嗅探） 端口扫描 Ping扫描,嗅探攻击的防御方法,用户和设备身份鉴别 AAA服务、dot1x、NAC等。 数据加密 IPSec、SSL、SSH、WAPI、802.11i等。 部署IDS/IPS 部署交换机基础架构 使用交换机基础架构能够减少数据包嗅探攻击。,访问攻击特点,访问攻击的目的: 获取数据 获取访问特权 常见的访问攻击和工具 口令攻击（各种口令破解工具、嗅探、病毒、木马） 信任关系利用 端口重定向 中间人攻击 缓冲区溢出,访问攻击的防御方法,使用强口令、一次性口令,AAA服务等 部署严格的边界信任和访问控制 防火墙或路由器 Window域或活动目录 Linux、Unix 部署加密技术 部署IDS/IPS 部署路由协议鉴别,AAA 服务,Authentication（身份鉴别） Authorization（授权） Accounting（记账）,DoS 攻击特点,DoS攻击的目的是导致目标网络、系统或服务不可用. Distributed DoS 攻击能够协同大量的攻击主机向同一个目标进行集群攻击。 DoS 和 DDoS 攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者. DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害（互联网公共道德和安全意识）。,Distributed DoS 示例,DoS 攻击的防御方法,在路由器和防火墙部署防ip源地址欺骗 在路由器和防火墙启用防御DoS安全特性 路由器Tcp拦截、常用acl策略 防火墙tcp连接监控 部署网络和主机IDS/IPS检测和防御DoS攻击 在互联网服务提供商（ISP）部署流量限速,TCP/IP协议簇的安全架构,IPv6安全特性,IPv6安全特性,支持移动性,地址数量大,支持端到端业 务模式,支持QoS和性 能问题,强制IPSEC,简化的路由表,配置简单,66,IPv6与IPv4的地址数量差异 IPv4地址数量：232，共4294967296个地址 IPv6地址数量：2128，共3.402823*1038 每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址 IPv6 提供的许多增强功能 增强的 IP 编址 简化的报头 移动性和安全性 多种过渡方式,IP地址安全特性,67,IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段，然后是选项字段和数据部分（通常是传输层数据段） IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字段和五个附加报头字段,简单报文结构,68,大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin 需要对下列标准进行修改 全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个,IPv6应用问题,69,知识域：网络协议安全,知识子域：无线数据网络协议安全 无线局域网协议安全 理解802.11无线网络协议原理及其安全特性 理解802.11i无线网络协议原理及其安全特性 了解WAPI的原理和安全特性 无线应用协议安全 理解WAP的产生背景、原理和架构 理解WTLS协议架构 理解WAP END-TO-END 安全的实现原理,70,无线局域网协议安全,无线网络体系及标准 无线局域网国际标准802.11简介 无线局域网国际标准802.11安全问题 IEEE 802.11i无线局域网安全协议介绍 WAPI标准介绍,71,无线技术,72,无线局域网的传输媒质分为无线电波和光波两类 无线电波主要使用无线电波和微波，光波主要使用红外线 无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）,无线局域网基本概念,73,IEEE 802.11简介,WLAN是通过无线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。在WLAN中，当前使用最为广泛的为IEEE指定的802.11 . 802.11 标准（组）包括 802.11a ， 802.11b ， 802.11g及802.11n（草案） ，加上安全方面的 802.11i ，以及 QoS 方面的 802.11e 。 使用802.11系列协议的局域网又称Wi-Fi (Wireless - Fidelity),802.11局域网网络结构,75,无线局域网安全问题,76,传统无线安全防护措施,服务集标识符SSID 极易暴露和伪造，没有安全性可言 物理地址（MAC）过滤 MAC地址容易伪造，扩展性差 有线等效加密（WEP） IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解 AirSnort的工具程序，利用WEP弱密钥的缺陷，可以在分析100万帧之后破解RC4的40 位或者104位密钥。经过改进，它可以在分析20000帧之后破解。,77,问题示例：“中间人”攻击,后台AS,合法AP,伪造AP,用户（终端）,攻击者,攻击者利用伪造AP进行中间人攻击： 伪造AP对用户（终端）相当于合法AP；对合法AP相当于用户（终端）,78,802.11i简介,在WEP之后，802.11i任务组完成了提高WLAN安全能力的开发工作 为了尽快提高WLAN的安全能力，Wi-Fi联盟颁布了Wi-Fi Protected Access (WPA)作为Wi-Fi 标准 802.11i标准的最终版本称作RSN（Robust Security Network）。Wi-Fi 的WPA2完整的实现了802.11i标准 。,802.11i的网络架构,规定了二种网络架构： 过渡安全网络(TSN) ：可以兼容现有的使用WEP方式工作的设备，使现有的无线局域网系统可以向802.11i网络平稳过渡。 强健的安全网络(RSN) ：针对WEP加密机制的各种缺陷做了多方面的改进 ，大大增强WLAN的数据加密和认证性能。,IEEE 802.11i RSN 的运行,三种加密方式的比较,WAPI标准简介,WAPI(WLAN Authentication and Privacy Infrastructure)是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准,83,启动标准编制,标准推出并准备强制启用,无限期退出强制执行并申请国际标准,政府发文促进,标准体系完善，国际标准投票失败,启动第二次国际标准申请，可能成为独立标准,标准化组织达成共识，推动成为独立标准,计算机,WAPI,GB 15629.11-2003,GB 15629.11-2003 /XG1-2006,GB 15629.1102 -2003,GB 15629.1101 -2006,GB 15629.1104 -2006,GB/T 15629.1103 -2006, ,5.8 GHz 54 Mbps,2.4 GHz 11 Mbps,不同国家 之间漫游,2.4 GHz 54 Mbps,2006年6月颁布四项新的无线局域网国家标准。 形成全面采用WAPI我国无线局域网国家标准体系,基于WAPI的无线局域网标准体系,84,2009-3-09,基于三元结构和对等鉴别的访问控制方法 可普遍适用于无线、有线网络 WAPI目的：“合法用户接入合法网络”,用户,网络,合法,合法,WAPI的技术思想,85,WLAN（AP）,终端,终端,终端,WMAN（基站）,有线连接,2公里,50米,LAN（交换机/路由器）,后台网络,终端,接入点,后台AS,全IP架构下的接入网三元结构,86,WEP,802.1x+EAP(802.11i) 、WiMAX,WAPI,二元安全架构对应 二物理实体 单向鉴别 无法保证安全,三元安全架构对应三物理实体 接入点/基站有独立身份 完整双向认证 有效保证安全,“元”在网络安全接入领域指具有认证功能的功能体,二元安全架构对应 三物理实体 AP无独立身份， 易被攻击 仍无法保证安全,WAPI构筑三元安全架构,87,WAPI-WLAN安全接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。,WAPI安全协议流程,88,无线应用协议安全,WAP概况 WAP基础设施 WAP程序设计模型 无线标识语言（WML） WAP协议体系结构 无线网传输层安全(WTLS) WAP END-TO-END 安全,WAP 产生背景,1997年中期，世界几个主要的移动设备制造商Motorola、Nokia Ericsson和美国一家软件公司Phone. com作为最初的发起者成立了WAP论坛，开始进行WAP协议的开发 。 WAP协议设计目标是，基于Internet中广泛应用的标准（如HTTP,TCP/IP,SSL,XML等），提供一个对空中接口和无线设备独立的无线设备独立的无线Internet全面解决方案，同时支持未来的开放标准。,移动终端的局限,设备的限制 较弱的处理器能力 不足的内存大小 较短的电池寿命 较小的显示屏 较弱的数据输入能力 无线网络的限制 窄带宽 大延迟 低稳定性,WAP规范的主要内容,与WWW 程序设计兼容的程序设计模型，B/S结构 符合XML规范的语言：WML（Wireless Markup Language） 适合移动无线终端的微浏览器 轻量级的通信协议栈 无线电话应用（wireless telephony applications，WTAs）框架，提供电话和Internet 访问功能的集成,WAP基础设施,WAP程序设计模型,无线标识语言（WML）,WML的重要特征 支持文本和图像 支持用户输入 支持导航 窄带优化,WAP协议体系结构,WTLS协议体系结构,WAP END-TO-END 安全,基于TLS的安全架构 基于IPSec的安全架构,为什么提出WAP END-TO-END 安全,基于TLS的安全架构,基于IPSec的安全架构,知识域: 网络协议安全,知识子域:无线蜂窝网络协议安全 GSM的安全性 了解GSM的安全机制和安全缺陷 CDMA的安全性 了解CDMA的安全机制和安全缺陷 3G系统的安全性 了解3G系统的安全机制和安全缺陷,102,GSM 的安全措施,访问AUC（Authentication Center，鉴权中心），进行用户认证 无线通道加密 移动设备确认 IMSI临时身份TMSI的使用 （用户号码保密和避免被别人对用户定位 ）,103,GSM 的安全缺陷,安全系统内在的弱点 固定网络中的数据和信令传输并未得到充分的保护 入侵者轻易能得到的全部有关安全的信息. SIM卡易受一种称为“SIM克隆”的攻击. 数据业务的弱点 短信信息在传输时未加密 加密算法的弱点 David Wagner 和 Ian Goldberg曾用不到一天的时间破解了COMP128算法。,104,CDMA 的安全措施,用防篡改的UIM（User Identify Module）卡代替了GSM的SIM卡 CDMA认证 CDMA的保密性,105,CDMA 的安全缺陷,当前的许多系统不支持认证功能 手机既没有认证算法也无法输入 A-KEY参数的管理存在问题,106,3G 的安全措施,用户身份保密 在无线链路上窃听用户身份IMSI是不可能的； 确保不能够通过窃听方式获取当前用户的位置； 不能在无线链路上获知用户正在使用的不同的业务 3G认证 完成了网络和用户间的双向认证； 防止重放攻击; 数据保密性 数据完整性,107,3G系统的安全漏洞,3G允许将比较弱的加密算法标准化以便于出口; 不支持公钥密码体制，难以实现用户数字签名 终端存储能力和处理能力的增强更有利于病毒的传播,108,知识域：网络架构安全,知识子域：网络架构安全的概念 理解网络架构安全的含义 理解网络架构的安全需求（安全域、安全边界、用户接入控制、数据安全访问和控制等）,109,网络架构安全的含义,网络架构的定义： 定义一：指对网络系统中物理部件的规划、规格描述以及布署 定义二：为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。 定义三：指对由软件、互联设备、通信协议和传输模式等构成的网络的结构和布署，用以确保可靠的信息传输，满足的业务需要。 网络架构安全是网络架构在安全方面的考虑，是网络规划和设计的重要内容之一,网络架构的安全需求,安全域划分 边界安全策略 路由交换设备安全配置要求 防火墙安全配置要求 网闸安全配置要求 入侵检测安全配置要求 抗DDoS攻击安全配置要求 虚拟专用网（VPN）攻能要求 流量管理部署与功能要求 网络监控与审计部署与功能要求 访问控制的功能要求,网络安全域,定义 安全域是遵守相同安全策略的用户和系统的集合 安全域划分的目的 把大规模系统安全问题化解为更小区域的安全保护问题 安全域的分类 按信息资产划分 按业务类型划分 按区域划分 按组织架构划分,112,同级别安全域 同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访 不同级别安全域 不同级别安全域之间的边界实际设计实施时又分为高等级安全域和低等级安全域的边界和防护 远程连接用户 远程连接的用户对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护,同级别安全域之间的边界,远程接入边界的安全,网络安全域防护,113,网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 网络常见边界： 核心网络与互联网的边界 核心网络与部门、分支机构网络的边界 核心网络与异地容灾中心边界安全 不同部门、分支机构网络的边界,114,网络边界防护,路由器 防火墙； IDS。 VPN设备。 软件 DMz和被屏蔽的于网 隔离网闸 。,115,网络边界防护部件,路由交换设备安全配置要求,每台设备上要求安装经认可的操作系统，并及时修补漏洞 路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。 路由器密码不得以明文形式出现在纸制材料上，密码应隐式记录，记录材料应存放于保险柜中。 限制逻辑访问，合理处置访问控制列表，限制远程终端会话。 监控配置更改。 定期备份配置和日志。 明确责任，维护人员对更改路由器配置时间、操作方式、原因和权限需要明确。,入侵检测安全配置要求,中大型网络平台应部署基于网络的入侵检测系统（NIDS） 网络入侵检测系统应对核心局域网、DMZ区域进行检测。 对大型网络、分支机构网络的入侵检测，应采用分布式方式部署入侵检测系统。 入侵检测产品应有国家相关安全部门的证书。 监控配置更改时要进行监控。、 定期备份配置和日志。 入侵检测系统设置加长口令。 如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。,访问控制的功能要求,网络边界部署访问控制设备，启用访问控制功能。 能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 在会话处于非活跃一定时间或会话结束后终止网络连接。 限制网络最大流量数及网络连接数。 重要网段应采取技术手段防止地址欺骗。 按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。,知识域：网络架构安全,知识子域：网络架构安全实践 掌握IP地址规划、VLAN划分的基本安全原则 掌握网络设备安全功能和安全配置的基本原则 掌握网络安全设备部署和配置的基本原则,119,网络架构安全,IP地址规划 VLAN规划和实施 网络设备的安全功能和配置 网络安全设备的功能和配置,IP地址规划,从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。,121,为什么需要进行IP规划 提高路由协议的运行效率 确保网络的性能 确保网络可扩展 确保网络可管理,核心设备使用相对较小的地址 所有网关地址使用相同的末位数字，如.254都是网关或.1都是网关 IP地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。,IP地址规划的技巧,122,非体系化的ip编址,主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。,体系化的ip编址,主干网只需维护每个分支网络的一条汇总路由 每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分支网络只需维护一条汇总路由。 路由表题目数量很少，明显减少了路由协议运行开销。,VLAN定义 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网“。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。,125,VLAN规划,划分VLAN的作用 有效的宽带利用 安全性 多路径负载均衡 隔离故障域 VLAN的分类 基于端口划分的VLAN 基于MAC地址划分VLAN PVLAN（private vlan）,126,VLAN实施,交换机安全功能和配置,127,802.1x安全认证 流量控制 虚拟局域网VLAN 基于访问控制列表 入侵检测IDS 设备冗余,MAC功能 虚拟专用网(VPN)功能 DMZ功能 访问控制列表功能 路由认证技术,路由器安全功能和配置,128,无线安全类型的选择 无线MAC地址过滤 虚拟服务器功能 特殊应用程序功能 DMZ主机功能,129,无线局域网安全配置,防火墙的布署与配置,确定要保护的对象 防火墙接口类型 按不同保护对象确定网络拓朴图 防火墙配置步骤 ： 为区域分配网卡 设置网卡参数 配置路由 启用NAT功能 启动安全策略,入侵检测系统的配置和布署,NIDS布署 位于因特网防火墙内的NIDS 位于因特网防火墙外的NIDS 位于重要骨干网络上的NIDS 位于关键子网上的NIDS HIDS部署 HIDS全面部署宜从关键服务器开始 使用具备中央管理和报告功能的HIDS 向信息安全管理服务商外包其HIDS操作和维护,VPN的布署,VPN有三种解决方案 远程访问虚拟网（Access VPN） 企业内部虚拟网（Intranet VPN） 企业扩展虚拟网（Extranet VPN） 不同VPN的布署 IPSec VPN 的布署 SSL VPN的布署,一个企业网络架构安全的实例,企业网络拓扑 网络架构安全需求 总体安全设计目标 网络架构安全设计,企业网络拓扑图,网络架构安全需求,互联网域的安全需求 外部互联网 内部互联域 办公域的安全需求 接入域的安全需求 服务器域的安全需求,互联网域的安全需求,外部互联域有以下安全需求： 出口统一的需求。 冗余设备的需求。 避免单点故障的需求。 部署安全策略的需求。,互联网域的安全需求,内部互联域有以下安全需求： 集团和分公司与核心交换机的连接为三层连接，其网关设在集团和分公司的交换机上，一旦爆发网络病毒后，不会影响核心交换机的正常使用。 部署安全策略的需求。 传输安全的需求。,办公域的安全需求,用户安全需求 ：把用户安全分成两个层次即二管理员用户安全和业务用户安全 网络防病毒安全需求,接入域的安全需求,病毒隔离 避免网络风暴,服务器域的安全需求,部署防病毒软件 定期修复系统漏洞 通过备份策略防止数据的丢失,总体安全设计目标,部署互联网边界防火墙和重要安全区域边界防火墙 部署SSL VPN设备 在DMZ区和核心交换区部署入侵检测系统 在办公域部署防病毒网关，实现网关级病毒防护,网络架构安全设计,外部互联域安全方案设计 内部互联域安全方案设计 内网安全域安全方案设计 内网安全域服务器域的安全方案设计 办公域的网络安全方案设计,外部互联域安全方案设计,内部互联域安全方案设计,内网安全域安全方案设计,VLAN技术的采用 采用VTP技术,内网安全域服务器域的安全方案设计,安装补丁 关闭多余的服务 口令安全,办公域的网络安全安全方案设计,在内网出口边界部署专门的病毒过滤网关系统 服务器和工作站需要安装防病毒网关客户端,148,总结,OSI七层模型 TCP/IP 协议及安全威胁 无线数据网络协议安全 无线蜂窝网络协议安全 网络架构安全,谢谢，请提问题！,