国家信息安全测评中心CISP培训201007.ppt
《国家信息安全测评中心CISP培训201007.ppt》由会员分享,可在线阅读,更多相关《国家信息安全测评中心CISP培训201007.ppt(149页珍藏版)》请在三一文库上搜索。
1、国家信息安全测评中心CISP培训,主讲:樊山 QQ:86485660 电话:15918780740 E_Mail:,大纲,网络与通信安全基础 网络安全应用(防火墙、入侵检测技术、漏洞扫描),大纲,KA(知识域):电信和网络安全 SA:OSI 分层模型和TCP/IP 协议族; 理解 OSI 的七层模型、TCP/IP 协议族及其特征,理解OSI 分层模型和TCP/IP 协议族的对应关系; 理解各种相关协议同 OSI 和TCP/IP 的对应关系。 SA:通信和网络技术 理解各种物理介质(例如:光纤/同轴电缆/双绞线等)的特征; 理解各种链路层协议和技术,例如:HDLC/SDLC/帧中继等。 理解各种
2、网络拓扑结构(总线/星型/环型)等的特征; 理解各种局域网/城域网/广域网的各种通信网络,例如:帧中继/ATM 网络等的特征; 理 解 各 种 远 程 拨 号 访 问 协 议 和 技 术 , 例 如 :RADIUS/TACACS/TACACS+/Diameter 等。,大纲,SA:互联网技术和服务 理解 TCP/IP 协议族中的相关基础协议, 包括:SLIP/PPP/CHAP/PAP 协议,ARP/RARP 协议,IP 协议,TCP/UDP协议; 理解各种网络设备分类及其特征,包括:复用器/集线器/交换机/路由器/网关等; 理解 IP 地址划分和编址技术,理解RIP/OSPF 等路由协议和技术
3、; 理解 DNS/SNMP/Telnet/SMTP/WWW 等互联网重要协议的原理和应用; 理解 SSL/S/MIME/SSL/SET/PEM 等重要的安全协议; 理解各种VPN 技术,例如PPTP、MPLS 等VPN 技术(IPSec VPN技术在密码系统及其应用中详细讨论)。,大纲,SA:网络安全设备:防火墙/入侵检测和入侵防御系统等 理解各种网络安全设备的概念和基本原理; 理解防火墙的分类、应用和实践。,网络与通信安全基础,OSI模型和TCP/IP协议簇 通信和网络技术 互联网技术与服务 主要网络安全协议和机制,OSI模型和TCP/IP协议簇,OSI模型,即开放式通信系统互联参考模型(O
4、pen System Interconnection),是国际标准化组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架,简称OSI。 OSI模型-层次划分 OSI将计算机网络体系结构(architecture)划分为以下七层: 7 应用层:Application Layer 6 表示层:Presentation Layer 5 会话层:Session Layer 4 传输层:Transport Layer 3 网络层:Network Layer 2 数据链路层:Data Link Layer 1 物理层:Physical Layer,OSI模型和TCP/IP协议簇,OSI
5、模型和TCP/IP协议簇,7 应用层:老板 6 表示层:相当于公司中简报老板、替老板写信的助理 5 会话层:相当于公司中收寄信、写信封与拆信封的秘书 4 传输层:相当于公司中跑邮局的送信职员 3 网络层:相当于邮局中的排序工人 2 数据链路层:相当于邮局中的装拆箱工人 1 物理层:相当于邮局中的搬运工人,OSI模型和TCP/IP协议,OSI模型-历史 在制定计算机网络标准方面,起着重大作用的两大国际组织是:国际电报与电话咨询委员会(CCITT),与国际标准化组织(ISO),虽然它们工作领域不同,但随着科学技术的发展,通信与信息处理之间的界限开始变得比较模糊,这也成了CCITT和ISO共同关心的
6、领域。1974年,ISO发布了著名的ISO/IEC 7498标准,它定义了网络互联的7层框架,也就是开放式系统互连参考模型。 OSI模型-影响 OSI是一个定义良好的协议规范集,并有许多可选部分完成类似的任务。 它定义了开放系统的层次结构、层次之间的相互关系以及各层所包括的可能的任务。是作为一个框架来协调和组织各层所提供的服务。 OSI参考模型并没有提供一个可以实现的方法,而是描述了一些概念,用来协调进程间通信标准的制定。即OSI参考模型并不是一个标准,而是一个在制定标准时所使用的概念性框架。,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,物理层定义物理链路的电气、机械、通信规程
7、、功能要求等; 电压,数据速率,最大传输距离,物理连接器; 线缆,物理介质; 将比特流转换成电压; 物理层设备 Repeater, Hub, Multiplexers, NIC; 物理层协议 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3;,OSI模型和TCP/IP协议,物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据的比特流,而不是指连接计算机的具体的物理设备或具体的传输媒体。现有的计算机网络中的物理设备和传输媒体的种类繁多,而通信手段也有许多不同方式。物理层的作用正是要尽可能地屏蔽掉这些差异,使物理层上面的数据链路层感觉不到这些差异,这样可使数据链
8、路层只需要考虑如何完成本层的协议和服务,而不必考虑网络具体的传输媒体是什么。 功能特性:主要定义各条物理线路的功能 规程特性:主要定义各条物理线路的工作规程和时序关系,OSI模型和TCP/IP协议,数据链路层 物理寻址,网络拓扑,线路规章等; 错误检测和通告(但不纠错); 将比特聚成帧进行传输; 流量控制(可选); 数据链路层设备 网桥和交换机; 数据链路层协议 PPP, HDLC, F.R, Ethernet, Token Ring, FDDI, ISDN, ARP, RARP, L2TP, PPTP.,OSI模型和TCP/IP协议,两个子层MAC(Media Access Control)
9、物理地址; 烧录到网卡ROM; 48比特; 唯一性; LLC(Logical Link Control)为上层提供统一接口; 使上层独立于下层物理介质; 提供流控、排序等服务;,OSI模型和TCP/IP协议,数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层来的数据可靠地传输到相邻节点的目标机网络层。 为达到这一目的,数据链路必须具备一系列相应的功能,主要有: 如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位; 如何控制帧在物理信道上的传输,包括如何处理
10、传输差错,如何调节发送速率以使与接收方相匹配; 在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。,OSI模型和TCP/IP协议,网络层逻辑寻址; 路径选择; 网络问题管理(如拥塞); MTU; 网络层设备 路由器,三层交换机; 网络层协议 IP, IPX, RIP, OSPF, EIGRP, IS-IS, ICMP;,OSI模型和TCP/IP协议,网络层是OSI参考模型中的第三层,介于运输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若直干个中间节点传送到目的端,从而向运输层提供最基本的端到端的数据传送
11、服务。主要内容有:虚电路分组交换和数据报分组交换、路由选择算法、阻塞控制方法、X.25协议、综合业务数据网(ISDN)、异步传输模式(ATM)及网际互连原理与实现。,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,传输层 端到端数据传输服务; 建立逻辑连接; 传输层协议 TCP (Transmission Control Protocol)状态协议; 按序传输; 纠错和重传机制; Socket; UDP (User Datagram Protocol)无状态协议; SPX,OSI模型和TCP/IP协议,传输层是OSI中最重要,最关键的一层,是唯一负责总体的数据传输和数据控制的一层。
12、传输层提供端到端的交换数据的机制,传输层对会话层等高三层提供可靠的传输服务,对网络层提供可靠的目的地站点信息。 传输层功能的最终目的是为会话提供可靠的,无误的数据传输.传输层的服务一般要经历传输连接建立阶段,数据传送阶段,传输连接释放阶段3个阶段才算完成一个完整的服务过程.而在数据传送阶段又分为一般数据传送和加速数据传送两种。传输层服务分成5种类型.基本可以满足对传送质量,传送速度,传送费用的各种不同需要。,OSI模型和TCP/IP协议,会话层不同应用的数据隔离; 会话建立,维持,终止; 同步服务; 名称标识和识别; 会话控制(单向或双向); 会话层协议 NFS, SQL, RPC; SSL/
13、TLS,SSH;,OSI模型和TCP/IP协议,会话层(Session)提供的服务可使应用建立和维持会话,并能使会话获得同步。会话层使用校验点可使通信会话在通信失效时从校验点继续恢复通信。这种能力对于传送大的文件极为重要。,OSI模型和TCP/IP协议,表示层数据格式表示; 协议转换; 字符转换; 数据加密/解密; 数据压缩等; 表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG;,OSI模型和TCP/IP协议,表示层的作用之一是为异种机通信提供一种公共语言,以便能进行互操作。这种类型的服务之所以需要,是因为不同的计算机体系结构使用的数据表示法不同。例如,IBM主机使用EB
14、CDIC编码,而大部分PC机使用的是ASCII码。在这种情况下,便需要会话层来完成这种转换。,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,应用层应用接口; 网络访问流处理; 流控; 错误恢复; 应用层协议 FTP, Telnet, HTTP, SNMP, SMTP, DNS;,OSI模型和TCP/IP协议,应用层也称为应用实体(AE),它由若干个特定应用服务元素(SASE)和一个或多个公用应用服务元素(CASE)组成。每个SASE提供特定的应用服务,例如文件运输访问和管理(FTAM)、电子文电处理(MHS)、虚拟终端协议(VAP)等。 CASE提供一组公用的应用服务,例如联系控
15、制服务元素(ACSE)、可靠运输服务元素(RTSE)和远程操作服务元素(ROSE)等。,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,认证; 访问控制; 数据机密性; 数据完整性; 抗抵赖;,OSI模型和TCP/IP协议,加密; 数字签名; 访问控制; 数据完整性; 认证; 流量填充; 路由控制; 公证(notarization);,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,OSI模型和TCP/IP协议,IP地址 A类:1-126; B类:128-191; C类:192-223; D类:224-239; E类:240-254; RF
16、C1918;,通信和网络技术,局域网(LAN) 特点高数据传输率; 短距离; 低误码率; 线缆 光纤(Fiber Optic) 非屏蔽双绞线(Unshielded Twisted Pair, UTP); 屏蔽双绞线(Shielded Twisted Pair, STP); 同轴电缆(Coaxial Cable); 介质:以太网、令牌环、FDDI; 拓扑:总线,星形,环形,网状;,通信和网络技术,同轴电缆(Coaxial Cable) 构成 Copper conductor; Shielding layer; Grounding wire; Outer jacket; 类型 50 ohm -以太
17、网; 75 ohm -视频; 规范 10Base2(thinnet) 10Mbs; Baseband; 185 meters; 10Base5(thicknet),通信和网络技术,双绞线(Twisted Pair) 构成多对铜线; Outer jacket; 类型 UTP(Unshielded Twisted Pair); STP(Shielded Twisted Pair);,通信和网络技术,光纤(Fiber Optics) 构成 Core; Cladding; Buffer coating; Outer jacket; 类型 单模(9micron); 多模(62.5micron); 光源
18、激光(Laser); 发光二极管(LED);,通信和网络技术,物理拓扑 总线(Bus); Ethernet; 星形(Star); Ethernet(逻辑上是总线); Token Ring(逻辑上是环形); 环形(Ring); FDDI; 网状(Mesh); Internet;,互联网技术与服务,集线器(Hub) 集线器的英文称为“Hub”。“Hub”是“中心”的意思,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。它工作于OSI(开放系统互联参考模型)参考模型第一层,即“物理层”。集线器与网卡、网线等传输介质一样,属于局域网中的基
19、础设备,采用CSMA/CD访问方式。 集线器常见端口 集线器通常都提供三种类型的端口,即RJ-45端口、BNC端口和AUI端口,以适用于连接不同类型电缆构建的网络。一些高档集线器还提供有光纤端口和其他类型的端口。,互联网技术与服务,当一个集线器提供的端口不够时,一般有以下两种拓展用户数目的方法。 (1)堆叠 堆叠是解决单个集线器端口不足时的一种方法,但是因为堆叠在一起的多个集线器还是工作在同一个环境下,所以堆叠的层数也不能太多。然而,市面上许多集线器以其堆叠层数比其他品牌的多而作为卖点,如果遇到这种情况,要区别对待:一方面可堆叠层数越多,一般说明集线器的稳定性越高;另一方面可堆叠层数越多,每个
20、用户实际可享有的带宽则越小。 (2)级连 级连是在网络中增加用户数的另一种方法,但是此项功能的使用般是有条件的,即Hub必须提供可级连的端口,此端口上常标为“Uplink”或“MDI”的字样,用此端口与其他的Hub进行级连。如果没有提供专门的端口而必须要进行级连时,连接两个集线器的双绞线在制作时必须要进行错线。,互联网技术与服务,网桥(Bridge) 网桥是一种对帧进行转发的技术,根据MAC分区块,可隔离碰撞。网桥将网络的多个网段在数据链路层连接起来。 网桥的基本特征 1、网桥在数据链路层上实现局域网互连; 2、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络; 3、网
21、桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信; 4、网桥需要互连的网络在数据链路层以上采用相同的协议; 5、网桥可以分隔两个网络之间的广播通信量,有利于改善互连网络的性能与安全性。,互联网技术与服务,1、透明网桥 第一种802网桥是透明网桥(transparentbridge)或生成树网桥(spanningtreebridge)。支持这种设计的人首要关心的是完全透明。按照他们的观点,装有多个LAN的单位在买回IEEE标准网桥之后,只需把连接插头插入网桥,就万事大吉。不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。 2、源路由选择网桥 透明网桥的优点是易于安装,只需
22、插进电缆即大功告成。但是从另一方面来说,这种网桥并没有最佳地利用带宽,因为它们仅仅用到了拓扑结构的一个子集(生成树)。这两个(或其他)因素的相对重要性导致了802委员会内部的分裂。支持CSMA/CD和令牌总线的人选择了透明网桥,而令牌环的支持者则偏爱一种称为源路由选择(sourcerouting)的网桥(受到IBM的鼓励)。,互联网技术与服务,交换机(英文:Switch,意为“开关”) 是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。 交换机的传输模式 全双工,半双工,全双工/半
23、双工自适应,互联网技术与服务,几种交换技术 1. 端口交换 端口交换技术最早出现在插槽式的集线器中,这类集线器的背板通常划分有多条以太网段(每条网段为一个广播域),不用网桥或路由连接,网络之间是互不相通的。根据支持的程度,端口交换还可细分为: 模块交换:将整个模块进行网段迁移。 端口组交换:通常模块上的端口被划分为若干组,每组端口允许进行网段迁移。 端口级交换:支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的,具有灵活性和负载平衡能力等优点。如果配置得当,那么还可以在一定程度进行容错,但没有改变共享传输介质的特点,自而未能称之为真正的交换。,互联网技术与服务,2. 帧
24、交换 帧交换是目前应用最广的局域网交换技术,它通过对传统传输媒介进行微分段,提供并行传送的机制,以减小冲突域,获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异,但对网络帧的处理方式一般有以下几种: 直通交换:提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上。 存储转发:通过对网络帧的读取进行验错和控制。 3. 信元交换 ATM技术采用固定长度53个字节的信元交换。由于长度固定,因而便于用硬件实现。ATM采用专用的非差别连接,并行运行,可以通过一个交换机同时建立多个节点,但并不会影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家 信息 安全 测评 中心 CISP 培训 201007
链接地址:https://www.31doc.com/p-2803675.html