信息网络安全员培训.ppt
《信息网络安全员培训.ppt》由会员分享,可在线阅读,更多相关《信息网络安全员培训.ppt(67页珍藏版)》请在三一文库上搜索。
1、信息网络安全员培训,内容概述,计算机网络基础 局域网技术及解决方案 广域网技术及解决方案 网络安全相关技术及解决方案 问题&应答,计算机网络基础,OSI 七层参考模型,Application,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,内容分发 负载均衡,路由器,交换机,TCP会话连接,SYN received,主机A:客户端,主机 B:服务端,发送TCP SYN分段 (seq=100 ctl=SYN),TCP连接的终止,主机B:服务端,主机 A:客户端,关闭A到B的连接,关闭A到B的连接,局域网技术及解决方案,局域网技术,1、局域网(LAN)的定义: LA
2、N是一个覆盖地理位置相对较小的高速数据网络,通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。,2、LAN 拓扑结构: 电脑连接的方式叫“网络拓扑”,常见的LAN物理拓扑结构有三种:总线型、环型和星型。而逻辑拓扑结构只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。,局域网技术,3、以太网类型: 1)标准以太网:速率为10Mbps,传输介质为同轴电缆或双绞线; 2)快速以太网:速率为100Mbps,传输介质为双绞线或光纤; 3)千兆以太网:速率为1000Mbps,传输介质为双绞线或光纤; 4)万兆以太网:速率为10000
3、Mbps,传输介质为双绞线或光纤.,4、局域网(以太网)设备: 1)网络线缆:同轴电缆、双绞线、光纤。 2)网卡:一种电脑辅助板卡,一面插入电脑母板的扩展槽,另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡,电脑才能通过网络进行通信。 目前常用的以太网卡:10M、10/100M自适应、1000M。 3)集线器:是一种连接多个用户节点的物理层设备,每个经集线器连接的节点都需要一条专用电缆,用集线器可以建立一个物理的星型网络结构。 常用的集线器按速率分有10M、100M、10/100M自适应三种,支持的端口数从8口到24口不等。集线器令所有端口共享10M(或100M)带宽。,局域
4、网技术,4、局域网(以太网)设备: 4)交换机:是数据链路层设备,它将较大的局域网分解成较小的子网,另每个端口下连接的单个设备或子网独享10M(或100M)分段,然后再实现分段间通信。 交换机对大网进行细分,减少了从一个分段到另一个分段时不必要的网络信息流,从而解决了网络拥塞问题,提高网络整体性能。 常见交换机类型:10M、10/100M、1000M,端口从8口到48口不等。 交换机还有可堆叠、不可堆叠,可网管、不可网管以及是否带三层路由功能之分。,局域网技术,5、虚拟局域网(VLAN)简介: 1)所谓VLAN,是指一个由多个段组成的物理网络中的结点的逻辑分组,利用VLAN,工作组应用可以象所
5、有工作组成员都连接到同一个物理网段上一样进行工作,而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。,部门A,部门B,部门A,部门B,局域网技术,2)VLAN的优点: 改进管理的效率:VLAN提供了有效的机制来控制由于企业结构、人事或资源变化对网络系统所造成的影响。例如,当用户从一个地点移到另一个地点时,只需对交换机的配置稍做改动即可,大大简化了重新布线。配置和测试的步骤。 控制广播活动:VLAN可保护网络不受由广播流量所造成的影响,一个VLAN内的广播信息不会传送到VLAN之外,网络管理人员可以通过设置VLAN灵活控制广播域。 增强网络安全:VLAN创造了虚拟边界,它只能
6、通过路由跨越,因此通过将网络用户划分到不同VLAN并结合访问控制,可控制VLAN外部站点对VLAN内部资源的访问,提高网络的安全性。,3)VLAN的划分方法: MAC地址、IP地址、交换机端口,5、虚拟局域网(VLAN)简介:,局域网络的设计需求,更高的可靠性 冗余的网络结构:STP,PVST 高速故障链路切换:Uplink fast, Backbone fast, Port fast 更高的安全性 完整的网络安全策略:VLAN, 基于交换机端口的安全性, 更高的性能 基于光纤和UTP的千兆以太网及以太网通道 高效的第三层交换 更好的可管理性 强大的网络管理工具:CiscoWorks2000
7、支持未来业务的发展,局域网网络解决方案特点,1.系统稳定可靠;采用Catalyst4506/4507组成双中心,且链路冗余; 2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板64Gbps,二层和三层交换性能为48MPPS; 3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能; 4.边缘交换机采用10/100M端口连接终端用户,Catalyst 3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Catalyst 2950采用UTP千兆上联,投资保护 5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈 6.系统安全, 保密性高; A
8、CL,VLAN等网络安全策略 7.管理简单,浏览器方式无需专门培训; 配置 CiscoWorks 2000或CiscoWorks Windows网管软件 8.良好的扩充性 9.支持多媒体应用,视频点播、IP电话机供电,局域网网络解决方案,CiscoWorks for Windows 网管,OA/邮件服务器,4GB GEC,中心两台Catalyst3550T交换机,通过千兆连接,支持VLAN和高速三层交换,1000M,业务服务器,Catalyst 2950T,1000M,1000M,Catalyst 2950T,工作站 10/100M 接入,1000M,1000M,Catalyst 2950T,
9、企业中型分支机构局域网网络解决方案特点,1.系统稳定可靠;采用Catalyst 3550T组成双中心,且链路冗余; 2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板24Gbps; 性能价格比高; 17Mpps的二、三层转发速率; 3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能; 4.边缘交换机采用10/100M端口连接终端用户,Catalyst 3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Catalyst 2950T采用UTP千兆上联,投资保护 5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈 6.系统安全, 保密性
10、高; ACL,VLAN等网络安全策略 7.管理简单,浏览器方式无需专门培训; 配置 CiscoWorks Windows网管软件 8.良好的扩充性 9.支持多媒体应用,视频点播,网络安全技术及相关解决方案,防火墙技术,防火墙:是加载于可信网络与不可信网络之间的安全设备,是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 防火墙可以是软件、硬件和软硬件结合的 发展历经简单包过滤、应用代理、状态检测(状态包过滤)防火墙 最新技术是具有数据流过滤功能的防火墙 对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙 防火墙本身必须建立在
11、安全操作系统的基础上,防火墙的控制能力,服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为,防火墙主要功能,过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能: 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转
12、换 4、日志记录,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能: 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录,内部子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,发起访问请求,拨号用户对内部网的访问控制,拨号服务器 Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,将访问记录写进日志
13、文件,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙
14、,内部接口,外部接口,根据策略检查应用层的数据,符合策略,IP与MAC绑定,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,流量控制,Host C,Host D,Host B,Host A,
15、受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,199.168.1.2:80202.102.1.3:80,199.168.1.3:21202.102.1.3:21,199.168.1.4:25202.102.1.3:25,199.168.1.5:53202.102.1.3:53,http:/199.168.1.2,http:/202.102.1.3,NAT网关和IP复用,防火
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息网络 安全员 培训
链接地址:https://www.31doc.com/p-2785080.html