網(wǎng)絡(luò)安全基礎(chǔ)-培訓(xùn)資料課件

網(wǎng)絡(luò)安全基礎(chǔ)

網(wǎng)絡(luò)安全基礎(chǔ)目錄網(wǎng)絡(luò)基礎(chǔ)概念網(wǎng)絡(luò)基礎(chǔ)TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念什么是網(wǎng)絡(luò)網(wǎng)絡(luò)就是一群通過一定形式連接起來的計(jì)算機(jī)?；ヂ?lián)網(wǎng)就是由多個(gè)局域網(wǎng)和廣域網(wǎng)組成的網(wǎng)絡(luò)。什么是網(wǎng)絡(luò)網(wǎng)絡(luò)就是一群通過一定形式連接起來的計(jì)算機(jī)?；ヂ?lián)網(wǎng)就網(wǎng)絡(luò)的組成計(jì)算機(jī)網(wǎng)絡(luò)也是由硬件和軟件構(gòu)成的。硬件系統(tǒng)包括網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)工作站網(wǎng)絡(luò)適配器傳輸介質(zhì)其他網(wǎng)絡(luò)硬件設(shè)備（交換機(jī)、路由器、防火墻、入侵檢測系統(tǒng)等。）軟件系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)軟件（windows、unix等系統(tǒng)）網(wǎng)絡(luò)通信協(xié)議（TCP/IP、IPX等）網(wǎng)絡(luò)工具軟件（網(wǎng)絡(luò)瀏覽器、網(wǎng)絡(luò)下載工具等）網(wǎng)絡(luò)應(yīng)用軟件（酒店管理系統(tǒng)、訂單管理系統(tǒng)等）網(wǎng)絡(luò)的組成計(jì)算機(jī)網(wǎng)絡(luò)也是由硬件和軟件構(gòu)成的。OSI七層模型OSI七層模型OSI七層模型物理層（PhysicalLayer）

為上層協(xié)議提供了一個(gè)傳輸數(shù)據(jù)的物理媒體數(shù)據(jù)的單位稱為比特（bit）典型代表：EIA/TIARS-232、V.35、RJ-45等數(shù)據(jù)鏈路層（DataLinkLayer）

在不可靠的物理介質(zhì)上提供可靠的傳輸。該層的作用包括：物理地址尋址、數(shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯(cuò)、重發(fā)等。數(shù)據(jù)的單位稱為幀（frame）典型代表：SDLC、HDLC、PPP、STP、幀中繼等網(wǎng)絡(luò)層（NetworkLayer）

負(fù)責(zé)對子網(wǎng)間的數(shù)據(jù)包進(jìn)行路由選擇。此外，網(wǎng)絡(luò)層還可以實(shí)現(xiàn)擁塞控制、網(wǎng)際互連等數(shù)據(jù)的單位稱為數(shù)據(jù)包（packet）典型代表：IP、IPX、RIP、OSPF等OSI七層模型物理層（PhysicalLayer）OSI七層模型傳輸層（TransportLayer）

負(fù)責(zé)將上層數(shù)據(jù)分段并提供端到端的、可靠的或不可靠的傳輸，此外，傳輸層還要處理端到端的差錯(cuò)控制和流量控制問題數(shù)據(jù)的單位稱為數(shù)據(jù)段（segment）典型代表：TCP、UDP等會話層（SessionLayer）

管理主機(jī)之間的會話進(jìn)程，即負(fù)責(zé)建立、管理、終止進(jìn)程之間的會話典型代表：NETBIOS、ZIP（appletalk區(qū)域信息協(xié)議）等表示層對上層數(shù)據(jù)或信息進(jìn)行變換以保證一個(gè)主機(jī)應(yīng)用層信息可以被另一個(gè)主機(jī)的應(yīng)用程序理解典型代表：ASCII、JPEG、MPEG等應(yīng)用層（ApplicationLayer）為操作系統(tǒng)或網(wǎng)絡(luò)應(yīng)用程序提供訪問網(wǎng)絡(luò)服務(wù)的接口代表包括：telnet、ftp、http、snmp等OSI七層模型傳輸層（TransportLayer）TCP/IP協(xié)議簡介TCP協(xié)議和IP協(xié)議指兩個(gè)用在Internet上的網(wǎng)絡(luò)協(xié)議（或數(shù)據(jù)傳輸?shù)姆椒ǎ?。它們分別是傳輸控制協(xié)議和互連網(wǎng)協(xié)議。這兩個(gè)協(xié)議屬于眾多的TCP/IP協(xié)議組中的一部分。TCP/IP協(xié)議組中的協(xié)議保證Internet上數(shù)據(jù)的傳輸，提供了幾乎現(xiàn)在上網(wǎng)所用到的所有服務(wù)。這些服務(wù)包括：電子郵件的傳輸

文件傳輸

新聞組的發(fā)布

訪問萬維網(wǎng)。TCP/IP協(xié)議準(zhǔn)確的說是一個(gè)協(xié)議組（協(xié)議集合），其中包含了TCP協(xié)議和IP協(xié)議及其他的一些協(xié)議。TCP/IP協(xié)議簡介TCP協(xié)議和IP協(xié)議指兩個(gè)用在Inter目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式TCP/IP協(xié)議族模型TCP/IP模型與OSI模型七層VS四層TCP/IP四層模型網(wǎng)絡(luò)接口層；(PPP、ARP)互聯(lián)層；(IP、ICMP)傳輸層；(TCP、UDP)應(yīng)用層；(HTTP，SNMP，F(xiàn)TP，SMTP，DNS，Telnet)TCP/IP協(xié)議族模型TCP/IP模型與OSI模型IP數(shù)據(jù)報(bào)格式01631versionhdrlnthtypeofservicetotallengthofdatagramidentificationnumberfragmentoffsettime-to-live(ttl)protocolheaderchecksumsourceIPaddress(4bytes)destinationIPaddress(4bytes)optionsfield(variablelength,maxlength40bytes)data20bytesRDFMFIP數(shù)據(jù)報(bào)格式01631versionhdrlnthty數(shù)據(jù)封裝與傳送所有TCP,UDP,ICMP數(shù)據(jù)通過IP數(shù)據(jù)包封裝進(jìn)行傳輸。IP數(shù)據(jù)報(bào)的傳輸是不可靠的。IP網(wǎng)絡(luò)是面向無連接的。數(shù)據(jù)封裝與傳送所有TCP,UDP,ICMP數(shù)據(jù)通過ITCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式IP地址劃分IP地址劃分IP地址濫用在同一個(gè)網(wǎng)段里，用戶可以隨意改變自己的IP地址；黑客可以利用工具構(gòu)建特殊的IP報(bào)，并指定IP地址。IP偽裝能做什么？DoS(主機(jī)、路由器）偽裝成信任主機(jī)切斷并接管連接繞過防火墻IP偽裝給黑客帶來的好處獲得訪問權(quán)。不留下蹤跡。（synflooding工具）IP地址濫用在同一個(gè)網(wǎng)段里，用戶可以隨意改變自己的IP地址；TCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式數(shù)據(jù)報(bào)的分片與組裝MTUlimiteddatagramsfragments數(shù)據(jù)報(bào)到達(dá)目的地時(shí)才會進(jìn)行組裝需要組裝在一起的數(shù)據(jù)分片具有同樣的標(biāo)志號通過分片位移位標(biāo)志數(shù)據(jù)分片在的數(shù)據(jù)報(bào)組裝過程中的序列位置除了最后的數(shù)據(jù)片，其他的數(shù)據(jù)片均會置“MF”位receivingcomputer’sfragmentreassemblybuffer數(shù)據(jù)報(bào)的分片與組裝MTUlimiteddatagramsfPingo’Death攻擊攻擊者構(gòu)建分片目標(biāo)接收分片重組分片Internetbuffer65535byteslastfragistoolargecausing16-bitvariablestooverflowPingo’Death攻擊攻擊者構(gòu)建分片目標(biāo)接收分片重firstfrag:36bytes03524secondfrag:4bytes當(dāng)前包的段偏移在前一包數(shù)據(jù)內(nèi)計(jì)算出來的len竟變成了一個(gè)負(fù)數(shù)，于是memcpy()最終將會把大量的數(shù)據(jù)拷貝到內(nèi)核中

offsetendnewoffsetlen=end-newoffset<0memcpy(*dest,*src,len)unsignedintorunsignedlongTearDrop攻擊firstfrag:36bytes03524secoTCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式ICMP消息格式081631typecodechecksumcontentsdependontypeandcodeexamplespecificformat:echo

request/reply

081631typecodechecksumidentifiersequencenumberoptionaldata

ICMP（InternetControlMessageProtocol）ICMP消息格式081631typecodechecksu基于ICMP的欺騙ICMPsweeps原理：Ping命令在測試下一臺主機(jī)時(shí)，先等待當(dāng)前系統(tǒng)給出響應(yīng)或超時(shí)；ICMPSweep技術(shù)在發(fā)送ICMPechorequest時(shí)不等待。工具：fping,gping,nmap,Pinger(Rhino9);PingSweep(SolarWinds);WS_PingProPack(IPSwitch)實(shí)例：（FakePing工具）基于ICMP的欺騙ICMPsweeps基于ICMP的欺騙BroadcastICMPSmurf攻擊，向網(wǎng)絡(luò)的廣播地址發(fā)送echorequset請求，將得到網(wǎng)絡(luò)中所有主機(jī)的echoreply響應(yīng)。對策：根據(jù)具體需要，可將邊界路由器配置deny進(jìn)入內(nèi)網(wǎng)的ICMPechorequest；配置關(guān)鍵的UNIX系統(tǒng)不響應(yīng)ICMPechorequest；配置路由器不響應(yīng)directed-broadcast;基于ICMP的欺騙BroadcastICMPSmurf攻擊攻擊者目標(biāo)發(fā)送一個(gè)echorequest的廣播包源地址偽造成目標(biāo)主機(jī)的地址因?yàn)橹虚g網(wǎng)絡(luò)的眾多機(jī)器都響應(yīng)廣播包，目標(biāo)主機(jī)會接收到大量的echoreplies中間網(wǎng)絡(luò)Smurf攻擊攻擊者目標(biāo)發(fā)送一個(gè)echorequestTCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式UDP協(xié)議UDP是不可靠的:是指UDP協(xié)議不保證每個(gè)數(shù)據(jù)報(bào)都能到達(dá)希望的目的端口號區(qū)分發(fā)送進(jìn)程與接收進(jìn)程DNS、QQ、TFTP、SNMP……clientserverport=33987/udpport=53/udpDNSport=7070/udpport=7070/udpRealAudioUDP協(xié)議UDP是不可靠的:是指UDP協(xié)議不保證每個(gè)數(shù)UDP數(shù)據(jù)報(bào)格式sourceportnumber01631destinationportnumberUDPdatagramlengthUDPchecksumoptionaldataUDP數(shù)據(jù)報(bào)格式sourceportnumber016echoport7攻擊者chargenport19intermediary目標(biāo)NetworkCongestion

UDPFlood攻擊（udpflooding工具）echo攻擊者chargenintermediary目標(biāo)NTCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式TCP協(xié)議TCP提供一種可靠的、面向連接的服務(wù):在規(guī)定的時(shí)間內(nèi)沒有收到“收到確認(rèn)”信息，TCP將重發(fā)數(shù)據(jù)報(bào)。每個(gè)TCP數(shù)據(jù)報(bào)都有唯一的sequencenumber，用于排序與重傳。與UDP一樣,使用portnumbers來區(qū)分收發(fā)進(jìn)程由標(biāo)志位的組合指明TCP分組的功能TCP協(xié)議TCP提供一種可靠的、面向連接的服務(wù):簡單的TCP會話(三次握手)client(port=33623/tcp)server(port=23/tcp)SYNSYN-ACK

ACK[sessionproceeds][ACKsetforremainderofsession]ACKFINACKFINACKACK客戶端與服務(wù)器端都可以發(fā)起關(guān)閉序列簡單的TCP會話(三次握手)client(port=33正常用戶登錄通過普通的網(wǎng)絡(luò)連線，用戶傳送信息要求服務(wù)器予以確定,服務(wù)器接收到客戶請求后回復(fù)用戶。用戶被確定后，就可登入服務(wù)器。

正常用戶登錄通過普通的網(wǎng)絡(luò)連線，用戶傳送信息要求服務(wù)器予以確SYN欺騙用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址（synflooding工具）SYN欺騙用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充SYN欺騙達(dá)到“拒絕服務(wù)”攻擊的效果：當(dāng)服務(wù)器試圖回傳時(shí)，卻無法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。服務(wù)器切斷連接時(shí)，黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)。SYN欺騙達(dá)到“拒絕服務(wù)”攻擊的效果：SYNflood（洪水攻擊）防御辦法：增加連接隊(duì)列大小縮短建立連接超時(shí)期限應(yīng)用廠家的相關(guān)軟件補(bǔ)丁應(yīng)用網(wǎng)絡(luò)IDSSYNflood（洪水攻擊）防御辦法：目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念路由器概要路由器簡介路由器的優(yōu)缺點(diǎn)路由器分類路由器的功能路由器概要路由器簡介路由器簡介路由器工作在OSI模型的第三層，即網(wǎng)絡(luò)層路由器利用網(wǎng)絡(luò)層定義的“邏輯”上的網(wǎng)絡(luò)地址（即IP地址）來區(qū)別不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的互連和隔離，保持各個(gè)網(wǎng)絡(luò)的獨(dú)立性路由器的主要工作就是為經(jīng)過路由器的每個(gè)數(shù)據(jù)幀尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點(diǎn)路由器簡介路由器工作在OSI模型的第三層，即網(wǎng)絡(luò)層路由器的優(yōu)點(diǎn)優(yōu)點(diǎn)：適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境適應(yīng)復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全性高子網(wǎng)隔離，抑制網(wǎng)絡(luò)廣播風(fēng)暴路由器的優(yōu)點(diǎn)優(yōu)點(diǎn)：路由器的缺點(diǎn)缺點(diǎn)：不支持非路由協(xié)議配置復(fù)雜價(jià)格高路由器的缺點(diǎn)缺點(diǎn)：路由器的分類按結(jié)構(gòu)分類：模塊化路由器和非模塊化路由器按功能分類：骨干級路由器、企業(yè)級路由器接入級路由器按網(wǎng)絡(luò)位置分類：邊界路由器和中間節(jié)點(diǎn)路由器路由器的分類按結(jié)構(gòu)分類：模塊化路由器和非模塊化路由器路由器設(shè)備路由器設(shè)備路由器的功能網(wǎng)絡(luò)互聯(lián)路由器支持各種局域網(wǎng)和廣域網(wǎng)的接口，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信。數(shù)據(jù)處理提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和簡單防火墻功能。網(wǎng)絡(luò)管理路由器提供包括配置管理、性能管理、容錯(cuò)管理和流量控制等功能。路由器的功能網(wǎng)絡(luò)互聯(lián)目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念交換機(jī)原理交換機(jī)的優(yōu)缺點(diǎn)交換機(jī)分類交換機(jī)概要交換機(jī)原理交換機(jī)概要交換機(jī)原理交換技術(shù)和交換機(jī)最早起源于電話通訊系統(tǒng)（PSTN）。交換機(jī)工作在OSI模型中的第二層，即數(shù)據(jù)鏈路層。交換機(jī)是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)通過學(xué)習(xí)MAC地址，將其存放在內(nèi)部MAC地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之間建立臨時(shí)的交換路由，使數(shù)據(jù)幀直接由源地址達(dá)到目的地址。交換機(jī)原理交換技術(shù)和交換機(jī)最早起源于電話通訊系統(tǒng)（PSTN）交換機(jī)如何學(xué)習(xí)主機(jī)的位置MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD最初加電時(shí)MAC地址表是空的交換機(jī)如何學(xué)習(xí)主機(jī)的位置MAC地址表0260.8c01.11交換機(jī)如何學(xué)習(xí)主機(jī)的位置主機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)C交換機(jī)通過學(xué)習(xí)數(shù)據(jù)幀的源MAC地址，記錄下主機(jī)A的MAC地址對應(yīng)端口E0該數(shù)據(jù)幀轉(zhuǎn)發(fā)到除端口E0以外的其它所有端口(不清楚目標(biāo)主機(jī)的單點(diǎn)傳送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBAMAC地址表交換機(jī)如何學(xué)習(xí)主機(jī)的位置主機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)C0260.8交換機(jī)如何過濾幀交換機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)C在地址表中有目標(biāo)主機(jī)，數(shù)據(jù)幀不會泛洪而直接轉(zhuǎn)發(fā)E0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMAC地址表交換機(jī)如何過濾幀交換機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)CE0:0260每段有自己的沖突域廣播信息向所有段轉(zhuǎn)發(fā)緩沖區(qū)交換交換機(jī)的優(yōu)缺點(diǎn)每段有自己的沖突域緩沖區(qū)交換交換機(jī)的優(yōu)缺點(diǎn)交換機(jī)分類交換機(jī)按工作的協(xié)議層劃分二層交換機(jī)

依賴于數(shù)據(jù)鏈路層中的信息（MAC地址）完成不同端口間數(shù)據(jù)的線速交換。三層交換機(jī)

具有路由功能，將IP地址信息提供給網(wǎng)絡(luò)路徑選擇，實(shí)現(xiàn)不同網(wǎng)段間數(shù)據(jù)的線速交換。四層交換機(jī)

支持多種網(wǎng)絡(luò)協(xié)議，如http、ftp等，為每個(gè)供搜尋使用的服務(wù)器組設(shè)立虛IP地址（VIP），每組服務(wù)器支持某種應(yīng)用。在域名服務(wù)器（DNS）中存儲的每個(gè)應(yīng)用服務(wù)器地址是VIP，而不是真實(shí)的服務(wù)器地址。當(dāng)某用戶申請應(yīng)用時(shí)，一個(gè)帶有目標(biāo)服務(wù)器組的VIP連接請求（例如一個(gè)TCPSYN包）發(fā)給服務(wù)器交換機(jī)。服務(wù)器交換機(jī)在組中選取最好的服務(wù)器，將終端地址中的VIP用實(shí)際服務(wù)器的IP取代，并將連接請求傳給服務(wù)器。

交換機(jī)分類交換機(jī)按工作的協(xié)議層劃分交換機(jī)分類按照網(wǎng)絡(luò)技術(shù)劃分以太網(wǎng)交換機(jī)令牌交換機(jī)FDDI交換機(jī)ATM交換機(jī)快速以太網(wǎng)交換機(jī)按照性能劃分百兆交換機(jī)千兆交換機(jī)交換機(jī)分類按照網(wǎng)絡(luò)技術(shù)劃分路由器與交換機(jī)的區(qū)別工作層次不同數(shù)據(jù)轉(zhuǎn)發(fā)所依據(jù)的對象不同傳統(tǒng)的交換機(jī)只能分割沖突域，不能分割廣播域路由器可以分割沖突域和廣播域路由器提供防火墻的服務(wù)路由器與交換機(jī)的區(qū)別工作層次不同目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念防火墻概要防火墻定義防火墻分類防火墻原理防火墻概要防火墻定義防火墻概念防火墻是分隔不同安全級別網(wǎng)絡(luò)的隔離設(shè)備，能夠?qū)W(wǎng)絡(luò)訪問行為進(jìn)行策略控制防火墻安全防護(hù)的特性防火墻的控制策略不能被繞過防火墻要盡可能少的對已有網(wǎng)絡(luò)產(chǎn)生影響防火墻本身難以滲透防火墻概念防火墻是分隔不同安全級別網(wǎng)絡(luò)的隔離設(shè)備，能夠?qū)W(wǎng)絡(luò)防火墻能做什么防止網(wǎng)絡(luò)攻擊通過安全策略的限制阻擋非法訪問（黑客攻擊）強(qiáng)化安全策略對內(nèi)限制網(wǎng)絡(luò)的濫用（即時(shí)聊天工具、P2P等）監(jiān)控和審計(jì)網(wǎng)絡(luò)使用可以監(jiān)控網(wǎng)絡(luò)使用狀況（帶寬,流量）和審計(jì)網(wǎng)絡(luò)使用的合法性防火墻能做什么防止網(wǎng)絡(luò)攻擊防火墻的作用兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為

Ifhavingafirewallislikehavingasecurityguard,thenhavinganIDSislikehavinganetworkofsensorsthattellyouwhensomeonehasbrokenin,wheretheyareandwhatthey’redoing.—ComputerWorld,April2001防火墻的作用兩個(gè)安全域之間通信流的唯一通道安全域1Host防火墻分類包過濾防火墻

最早的防火墻技術(shù)之一，功能簡單，配置復(fù)雜應(yīng)用網(wǎng)關(guān)防火墻

最早的防火墻技術(shù)之二，連接效率低，速度慢狀態(tài)檢測防火墻

現(xiàn)代主流防火墻，速度快，配置方便，功能較多DPI防火墻（DeepPacketInspection）

未來防火墻的發(fā)展方向，能夠高速的對第七層數(shù)據(jù)進(jìn)行檢測防火墻分類包過濾防火墻包過濾防火墻也叫分組過濾防火墻（PacketFiltering）。根據(jù)分組包的源、目的地址，端口號及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。所根據(jù)的信息來源于IP、ICMP、TCP或UDP等協(xié)議的數(shù)據(jù)包頭（PacketHeader）。優(yōu)點(diǎn)：高效、透明缺點(diǎn)：對管理員要求高、處理信息能力有限包過濾防火墻也叫分組過濾防火墻（PacketFilteri應(yīng)用網(wǎng)關(guān)型防火墻也叫應(yīng)用代理防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺運(yùn)行的服務(wù)程序，對每個(gè)新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。優(yōu)點(diǎn)：安全性高，檢測內(nèi)容缺點(diǎn)：連接性能差、可伸縮性差應(yīng)用網(wǎng)關(guān)型防火墻也叫應(yīng)用代理防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)狀態(tài)檢測防火墻從傳統(tǒng)包過濾發(fā)展而來，除了包過濾檢測的特性外，對網(wǎng)絡(luò)連接設(shè)置狀態(tài)特性加以檢測。優(yōu)點(diǎn)減少檢查工作量，提高效率連接狀態(tài)可以簡化規(guī)則的設(shè)置缺點(diǎn)：對應(yīng)用層檢測不夠深入狀態(tài)檢測防火墻從傳統(tǒng)包過濾發(fā)展而來，除了包過濾檢測的特性外，DPI防火墻從狀態(tài)檢測防火墻發(fā)展而來，能夠?qū)?shù)據(jù)包的的高層數(shù)據(jù)進(jìn)行重組和檢測，如病毒檢測，垃圾郵件檢測，網(wǎng)頁過濾等優(yōu)點(diǎn)能夠提供更高級的安全策略控制具備一定的入侵檢測和防病毒功能缺點(diǎn)：目前的技術(shù)條件下速度太慢DPI防火墻從狀態(tài)檢測防火墻發(fā)展而來，能夠?qū)?shù)據(jù)包的的高層數(shù)現(xiàn)代防火墻的特點(diǎn)狀態(tài)檢測成為主流技術(shù)，絕大多數(shù)的防火墻都采用狀態(tài)檢測技術(shù)。產(chǎn)品不僅僅包含防火墻功能，還會集成許多VPN、審計(jì)和網(wǎng)絡(luò)管理的功能，越來越體現(xiàn)出All-in-one的趨勢?，F(xiàn)代防火墻的特點(diǎn)狀態(tài)檢測成為主流技術(shù)，絕大多數(shù)的防火墻都采用目前防火墻的局限性防火墻無法防止內(nèi)部攻擊防火墻只實(shí)現(xiàn)了粗粒度的訪問控制防火墻的策略難于配置防火墻無法防御數(shù)據(jù)驅(qū)動級的攻擊目前防火墻的局限性目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念入侵檢測相關(guān)術(shù)語入侵對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測（IntrusionDetection）對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程事件

CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）入侵檢測相關(guān)術(shù)語入侵入侵檢測相關(guān)術(shù)語PatternMatchingSignature模式匹配CommonIntrusionDetectionFrame組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）響應(yīng)單元（Responseunits）事件數(shù)據(jù)庫（Eventdatabases）Honeypot(蜜罐)

蜜罐是可以模擬脆弱性主機(jī)誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對真正目標(biāo)的攻擊入侵檢測相關(guān)術(shù)語PatternMatchingSigna入侵檢測相關(guān)術(shù)語falsepositives（誤報(bào)）檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱為誤報(bào)。檢測系統(tǒng)在檢測過程中出現(xiàn)誤報(bào)的概率稱為系統(tǒng)的誤報(bào)率。falsenegatives（漏報(bào)）檢測系統(tǒng)在檢測時(shí)把某些入侵行為判為正常行為的錯(cuò)誤現(xiàn)象稱為漏報(bào)。檢測系統(tǒng)在檢測過程中出現(xiàn)漏報(bào)的概率稱為系統(tǒng)的漏報(bào)率。入侵檢測相關(guān)術(shù)語falsepositives（誤報(bào)）入侵檢測的定義IntrusionDetection：通過從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù)；IntrusionDetectionSystem：由感應(yīng)器、分析器和掃描器組成，在IT系統(tǒng)中檢測可能危害系統(tǒng)資產(chǎn)的行為并做出正確響應(yīng)。入侵檢測的定義IntrusionDetection：通過從活動數(shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通告應(yīng)急安全策略安全策略入侵檢測系統(tǒng)原理圖入侵檢測系統(tǒng)原理活動數(shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通應(yīng)急安全策攻擊模式庫入侵檢測器應(yīng)急措施配置系統(tǒng)庫數(shù)據(jù)采集安全控制系統(tǒng)審計(jì)記錄/協(xié)議數(shù)據(jù)等系統(tǒng)操作簡單的入侵檢測示意圖入侵檢測系統(tǒng)原理攻擊模式庫入侵檢測器應(yīng)急措施配置系統(tǒng)庫數(shù)據(jù)采集安全控制系統(tǒng)審%c1%1c%c1%1cDirc:\為什么需要入侵檢測系統(tǒng)%c1%1c%c1%1cDirc:\為什么需要入侵檢測系統(tǒng)防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的安全,就要對網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測,這就需要IDS無時(shí)不在的防護(hù)！為什么需要入侵檢測系統(tǒng)防火墻不能防止通向站點(diǎn)的后門。確保網(wǎng)絡(luò)的安全,就要對網(wǎng)絡(luò)內(nèi)部監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，入侵檢測系統(tǒng)的作用監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardK入侵檢測系統(tǒng)作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動響應(yīng)審計(jì)跟蹤入侵檢測系統(tǒng)作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)聯(lián)動入侵檢測防火墻入侵檢測在立體防御體系中的作用實(shí)時(shí)性協(xié)議層次應(yīng)用層表示層會話層傳輸層IP層數(shù)據(jù)鏈層物理層

實(shí)時(shí)準(zhǔn)實(shí)時(shí)事后實(shí)時(shí)分析所有的數(shù)據(jù)包，決定是否允許通過監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進(jìn)行相應(yīng)處理（如阻斷或者報(bào)警）記錄所有的操作以備事后查詢?yōu)橄到y(tǒng)提供全方位的保護(hù)審計(jì)系統(tǒng)聯(lián)動入侵檢測防火墻入侵檢測在立體防御體系中的作用實(shí)時(shí)性協(xié)議層IDS的基本結(jié)構(gòu)

IDS的基本結(jié)構(gòu)主機(jī)入侵檢測系統(tǒng)收集

過程ID:2092用戶名:Administrator

登錄ID: (0x0,0x141FA)分析處理

文進(jìn)日注冊…….

件程志表……..結(jié)果主機(jī)入侵檢測系統(tǒng)收集 過程ID:2092網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常。0101010101010101收集0101010101010101010101010101010101010分析處理結(jié)果網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn)1、實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；2、網(wǎng)絡(luò)IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；3、網(wǎng)絡(luò)IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高；4、它既可以用于實(shí)時(shí)監(jiān)測系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證；5、通過與防火墻的聯(lián)動，不但可以對攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。6、網(wǎng)絡(luò)IDS采用集中管理的分布工作方式，能夠遠(yuǎn)程監(jiān)控。可以對每一個(gè)探測器進(jìn)行遠(yuǎn)程配置，可以監(jiān)測多個(gè)網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測，并支持加密通信和認(rèn)證。。7、以安全策略模板，安全事件，安全事件響應(yīng)方式支持安全策略定義。8、探測器支持多接口，有隱蔽自身的自我保護(hù)功能。網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn)1、實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)系統(tǒng)的非網(wǎng)絡(luò)入侵檢測系統(tǒng)的缺點(diǎn)1、網(wǎng)絡(luò)局限2、不能處理加密數(shù)據(jù)3、資源及處理能力局限4、系統(tǒng)相關(guān)的脆弱性網(wǎng)絡(luò)入侵檢測系統(tǒng)的缺點(diǎn)1、網(wǎng)絡(luò)局限目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念日志審計(jì)技術(shù)什么是日志審計(jì)技術(shù)Syslog協(xié)議標(biāo)準(zhǔn)介紹操作系統(tǒng)日志審計(jì)Windows日志審計(jì)類UNIX系統(tǒng)日志審計(jì)Web服務(wù)器日志審計(jì)IIS日志審計(jì)Apache日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)日志審計(jì)技術(shù)什么是日志審計(jì)技術(shù)什么是日志審計(jì)系統(tǒng)日志審計(jì)是負(fù)責(zé)收集企業(yè)范圍內(nèi)的安全和系統(tǒng)的信息，有效的分析來自異構(gòu)系統(tǒng)的安全事件數(shù)據(jù)，通過歸類、合并、優(yōu)化、直觀的呈現(xiàn)等方法，使企業(yè)員工輕松的識別網(wǎng)絡(luò)環(huán)境中潛在的惡意威脅活動。什么是日志審計(jì)系統(tǒng)日志審計(jì)是負(fù)責(zé)收集企業(yè)范圍內(nèi)的安全和系統(tǒng)的Syslog協(xié)議標(biāo)準(zhǔn)介紹Syslog是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議，可用來記錄設(shè)備的日志。在UNIX系統(tǒng)，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備中，系統(tǒng)日志（systemlog）記錄系統(tǒng)中任何時(shí)間發(fā)生的事件，管理者可以通過查看系統(tǒng)記錄，隨時(shí)掌握系統(tǒng)運(yùn)行狀況。在UNIX系統(tǒng)里，被syslog協(xié)議接受的事件可以被記錄到不同的文件，還可以通過網(wǎng)絡(luò)實(shí)現(xiàn)運(yùn)行syslog協(xié)議的機(jī)器間的信息傳遞。Syslog協(xié)議標(biāo)準(zhǔn)介紹Syslog是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議，可Syslog協(xié)議標(biāo)準(zhǔn)介紹被傳輸?shù)膕yslog信息的格式主要有3個(gè)易識別的部分，分別是PRI、HEADER、MSG。數(shù)據(jù)包的長度大于1024字節(jié)，使用UDP的514端口。PRI部分必須有3、4、5個(gè)字符，以“<”開頭，然后是一個(gè)數(shù)字，并以“>”結(jié)尾。方括號內(nèi)的數(shù)字被稱為優(yōu)先級(Priority)。優(yōu)先級從0到7共8個(gè)級別。標(biāo)題(HEADER)部分由稱為TIMESTAMP或者HOSTNAME的兩個(gè)域組成，PRI結(jié)尾的“>”會馬上跟著一個(gè)TIMESTAMP,任何一個(gè)TIMESTAMP后面必須跟著一個(gè)空格字符。Syslog協(xié)議標(biāo)準(zhǔn)介紹被傳輸?shù)膕yslog信息的格式主要有Syslog協(xié)議標(biāo)準(zhǔn)介紹MSG部分是syslog數(shù)據(jù)包剩下的部分，通常包含了產(chǎn)生信息進(jìn)程的額外信息，及信息的文本部分。MSG有兩個(gè)域，分別是TAG和CONTENT域。TAG域的值是產(chǎn)生信息的程序或者進(jìn)程的名稱，CONTENT包含了這個(gè)信息的詳細(xì)內(nèi)容。Syslog信息的格式：

<優(yōu)先級>時(shí)間戳主機(jī)名模塊名/級別/信息摘要:內(nèi)容

<priority>timestampsysnamemodule/level/digest:content

Syslog協(xié)議標(biāo)準(zhǔn)介紹MSG部分是syslog數(shù)據(jù)包剩下的Syslog協(xié)議標(biāo)準(zhǔn)介紹日志分析系統(tǒng)架構(gòu)圖syslogd日志分析示意圖Syslog協(xié)議標(biāo)準(zhǔn)介紹日志分析系統(tǒng)架構(gòu)圖syslogd日志操作系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)操作系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Windows日志審計(jì)Windows2000服務(wù)器默認(rèn)是不打開任何審核策略。Windows系統(tǒng)包含以下策略的審核：策略更改登錄事件對象訪問過程追蹤目錄服務(wù)訪問特權(quán)使用系統(tǒng)事件帳戶登錄事件帳戶管理通過“控制面板/管理工具/本地安全策略“，在“本地策略->審核策略”中打開相應(yīng)的審核選項(xiàng)Windows日志審計(jì)Windows2000服務(wù)器默認(rèn)是Windows日志審核策略通過配置適當(dāng)?shù)膶徍瞬呗?，可以詳?xì)的記錄系統(tǒng)的相關(guān)信息。Windows日志審核策略通過配置適當(dāng)?shù)膶徍瞬呗?，可以詳?xì)的Windows日志審計(jì)事件查看器中記錄了我們需要記錄的所有系統(tǒng)日志信息。我們可以通過這些日志查出系統(tǒng)異常的蛛絲馬跡Windows日志審計(jì)事件查看器中記錄了我們需要記錄的所有系操作系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)操作系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)Linux、FreeBSD、Solaris、AIX、Hp-unix和Cisco交換機(jī)和路由器都是采用標(biāo)準(zhǔn)的Syslog協(xié)議格式進(jìn)行日志的記錄這里主要介紹Solaris9&10系統(tǒng)Solaris系統(tǒng)wtmp/utmp文件記錄了系統(tǒng)的登錄日志信息。使用last命令進(jìn)行查詢wtmp/utmp文件主要記錄的內(nèi)容包括：未授權(quán)的訪問非法登錄事件1分鐘內(nèi)多次登錄的事件帳戶登錄時(shí)間類UNIX系統(tǒng)日志審計(jì)Linux、FreeBSD、Solar類UNIX系統(tǒng)日志審計(jì)Solaris系統(tǒng)默認(rèn)不記錄錯(cuò)誤登錄嘗試，需要手動創(chuàng)建日志文件日志記錄的操作步驟如下：touch/var/adm/loginlogchmod600/var/adm/loginlogchownroot/var/adm/loginlog系統(tǒng)默認(rèn)只記錄連續(xù)5次錯(cuò)誤登錄嘗試的帳戶信息，系統(tǒng)會將其記錄到/var/adm/loginglog文件中，用戶可以通過

#cat/var/adm/loginglog命令進(jìn)行查詢類UNIX系統(tǒng)日志審計(jì)Solaris系統(tǒng)默認(rèn)不記錄錯(cuò)誤登錄嘗類UNIX系統(tǒng)日志審計(jì)Syslog進(jìn)程日志通過syslog.conf配置文件可以查看日志文件的存儲位置和記錄哪些類型的信息Error、Warning類型中記錄的是系統(tǒng)級別的信息，通過查看這兩類信息可以判斷出是否有可能被緩沖區(qū)溢出或者本地服務(wù)莫名被關(guān)閉Auth類型中記錄的是帳號登錄的信息，通過分析帳號登錄時(shí)間、次數(shù)等信息判斷有無異常登錄情況類UNIX系統(tǒng)日志審計(jì)Syslog進(jìn)程日志類UNIX系統(tǒng)日志審計(jì)歷史命令日志信息/.sh_history和/.bash_history文件記錄的是歷史操作命令信息。通過查看以上文件可以檢測類似useradd、passwd、shadow等等帶S位的各種命令的執(zhí)行信息。SU命令日志信息/var/adm/sulog記錄了su成功、失敗的時(shí)間，通過查看su的帳號、時(shí)間、狀態(tài)分析有無異常的權(quán)限提升行為。Crontab通過查看/var/cron/log記錄，分析有無異常的計(jì)劃任務(wù)。

類UNIX系統(tǒng)日志審計(jì)歷史命令日志信息WEB服務(wù)器日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)WEB服務(wù)器日志審計(jì)操作系統(tǒng)日志審計(jì)IIS服務(wù)器日志審計(jì)IIS5.0默認(rèn)使用W3C擴(kuò)充日志文件格式，可以指定每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URI資源、URI查詢、協(xié)議狀態(tài)、用戶代理等信息IIS服務(wù)器日志審計(jì)IIS5.0默認(rèn)使用W3C擴(kuò)充日志文件IIS服務(wù)器日志審計(jì)IIS5.0的WWW日志文件默認(rèn)存放位置為%systemroot%system32logfilesw3svc1建議不要使用默認(rèn)的目錄，更換一個(gè)記錄日志的路徑，同時(shí)設(shè)置日志訪問權(quán)限，只允許管理員和SYSTEM為完全控制的權(quán)限

IIS服務(wù)器日志審計(jì)IIS5.0的WWW日志文件默認(rèn)存放位IIS服務(wù)器日志審計(jì)日志文件的名稱格式是：ex+年份的末兩位數(shù)字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何編輯器打開，例如記事本程序。

#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2002-08-1201:27:21#Fields:datetimec-ipcs-usernames-ips-portcs-methodcs-uri-stemcs-uri-querysc-statuscs(User-Agent)第3行記錄了IIS啟動的時(shí)間，第4行說明了每條記錄的格式說明。2002-07-1809:53:527-80GET/index.htm-200Mozilla/4.76+[en]+(X11;+U;+Linux+2.4.2-2+i686)2002-07-1809:53:583-80GET/MyHomepage/Nethief_Notify.htm-404INTERNET2002-08-1005:13:1180-6480GET/bbs/-302Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2002-06-2808:17:33-2285GET/-401Mozilla/4.0+(compatible;+MSIE+6.0b;+Windows+NT+5.0)2002-07-1601:10:517-80GET/seek/images/ip.gif-200Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7)+Gecko/20010316IIS服務(wù)器日志審計(jì)日志文件的名稱格式是：ex+年份的末兩位WEB服務(wù)器日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)WEB服務(wù)器日志審計(jì)操作系統(tǒng)日志審計(jì)Apache服務(wù)器日志審計(jì)Apache服務(wù)器默認(rèn)安裝時(shí)，會生成access_log(windows下是access.log)和error_log(windows下是error.log)兩個(gè)文件，linux下可以在/usr/local/apache/log下找到。Apache日志中記錄了包括遠(yuǎn)程主機(jī)地址、瀏覽者標(biāo)識、瀏覽者名字、請求時(shí)間、方法、URI資源、協(xié)議類型等信息。Apache典型記錄格式：1

--

[19/Aug/2000:14:47:37

0400]

"GET

/

HTTP/1.0"

200

654

遠(yuǎn)程主機(jī)地址（1）。第一個(gè)“-”位置用于記錄瀏覽者的標(biāo)識，這不只是瀏覽者的登錄名字，而是瀏覽者的email地址或者其他唯一標(biāo)識符。第二個(gè)“-”用于記錄瀏覽者進(jìn)行身份驗(yàn)證時(shí)提供的名字。請求時(shí)間(19/Aug/2000:14:47:37)。0400”表示服務(wù)器所處時(shí)區(qū)位于UTC之前的4小時(shí)最后一項(xiàng)信息的典型格式是“METHOD

RESOURCE

PROTOCOL”，即“方法

資源

協(xié)議”，記錄收到一個(gè)什么樣的請求。

Apache服務(wù)器日志審計(jì)Apache服務(wù)器默認(rèn)安裝時(shí)，會生Apache服務(wù)器日志審計(jì)Apache日志中記錄了包括遠(yuǎn)程主機(jī)地址、瀏覽者標(biāo)識、瀏覽者名字、請求時(shí)間、方法、URI資源、協(xié)議類型等信息。Apache典型記錄格式：1

--

[19/Aug/2000:14:47:37

0400]

"GET

/

HTTP/1.0"

200

654

遠(yuǎn)程主機(jī)地址（1）。第一個(gè)“-”位置用于記錄瀏覽者的標(biāo)識，這不只是瀏覽者的登錄名字，而是瀏覽者的email地址或者其他唯一標(biāo)識符。第二個(gè)“-”用于記錄瀏覽者進(jìn)行身份驗(yàn)證時(shí)提供的名字。請求時(shí)間(19/Aug/2000:14:47:37)。0400”表示服務(wù)器所處時(shí)區(qū)位于UTC之前的4小時(shí)最后一項(xiàng)信息的典型格式是“METHOD

RESOURCE

PROTOCOL”，即“方法

資源

協(xié)議”，記錄收到一個(gè)什么樣的請求。

Apache服務(wù)器日志審計(jì)Apache日志中記錄了包括遠(yuǎn)程主Apache服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle9i數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Oracle數(shù)據(jù)庫日志審計(jì)Oracle產(chǎn)生的日志主要有重做日志文件、歸檔日志、警告日志和跟蹤日志

重做日志主要是記錄對數(shù)據(jù)庫的所有修改信息歸檔日志是重做日志切換前寫到磁盤或磁帶上的日志，用于數(shù)據(jù)恢復(fù)警告日志主要記錄數(shù)據(jù)庫的啟動、停止和日志切換信息跟蹤日志主要是ORACLE服務(wù)進(jìn)程產(chǎn)生的跟蹤文件，記錄用戶的會話行為

Oracle數(shù)據(jù)庫日志審計(jì)Oracle產(chǎn)生的日志主要有重做日Oracle數(shù)據(jù)庫日志審計(jì)Oracle數(shù)據(jù)庫建議對以下進(jìn)行審計(jì)警告日志中數(shù)據(jù)庫的啟停時(shí)間SYSTEM和SYS的登錄DBSNMP、CTXSYS、MDSYS和OUTLN等默認(rèn)帳號的登錄帳號被授予DBA權(quán)限的grant的命令DBA帳號、其他默認(rèn)帳號以及業(yè)務(wù)帳號對systemtablespace的insert、delete和update等的DML操作DBA帳號、其他默認(rèn)帳號以及業(yè)務(wù)帳號對systemtablespace的create、execute等的DDL操作Oracle數(shù)據(jù)庫日志審計(jì)Oracle數(shù)據(jù)庫建議對以下進(jìn)行審數(shù)據(jù)庫系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)Windows系統(tǒng)日志審計(jì)類UNIX系統(tǒng)日志審計(jì)WEB服務(wù)器日志審計(jì)IIS服務(wù)器日志審計(jì)Apache服務(wù)器日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)Oracle9i數(shù)據(jù)庫日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)DB2數(shù)據(jù)庫日志審計(jì)數(shù)據(jù)庫系統(tǒng)日志審計(jì)操作系統(tǒng)日志審計(jì)MS-SQL數(shù)據(jù)庫日志審計(jì)建議對以下項(xiàng)進(jìn)行審計(jì)審核數(shù)據(jù)庫登錄事件的“失敗和成功”，在實(shí)例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號的登錄事件以及是否有可疑的登錄事件發(fā)生，如@、%等

對master數(shù)據(jù)庫的insert、delete和update等操作xp_cmdshell、sp_adduser擴(kuò)展存儲的執(zhí)行Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regremovemultistring、Xp_regwrite這些擴(kuò)展存儲過程對注冊表進(jìn)行的讀寫操作除sa外的帳號被授予sysadmin、db_owner和db_securityadmin、db_backupoperator、db_accessadmin

權(quán)限的操作MS-SQL數(shù)據(jù)庫日志審計(jì)建議對以下項(xiàng)進(jìn)行審計(jì)DB2數(shù)據(jù)庫日志審計(jì)建議對以下項(xiàng)進(jìn)行審計(jì)SYSADM、SYSCTRL和SYSMAINT權(quán)限的授予DB2數(shù)據(jù)庫日志審計(jì)建議對以下項(xiàng)進(jìn)行審計(jì)目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念4A認(rèn)證技術(shù)4A認(rèn)證技術(shù)包括哪些？為什么需要4A認(rèn)證技術(shù)？4A認(rèn)證技術(shù)的現(xiàn)狀4A認(rèn)證技術(shù)4A認(rèn)證技術(shù)包括哪些？4A認(rèn)證包括哪些？賬號（Account）管理解決的是“你是誰？”授權(quán)（Authorization）管理解決的是“你能做什么？”認(rèn)證（Authentication）管理解決的是“怎樣管理用戶和資源？”安全審計(jì)（Audit）解決的是“發(fā)生了什么？”4A認(rèn)證包括哪些？賬號（Account）管理4A認(rèn)證邏輯結(jié)構(gòu)4A認(rèn)證邏輯結(jié)構(gòu)4A認(rèn)證技術(shù)框架架構(gòu)4A框架架構(gòu)

4A認(rèn)證技術(shù)框架架構(gòu)4A框架架構(gòu)賬號管理是將自然人與其擁有的所有系統(tǒng)賬號關(guān)聯(lián)，集中進(jìn)行管理，包括按照密碼策略自動更改密碼，不同系統(tǒng)間的賬號同步等。對主機(jī)、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)的賬號進(jìn)行集中管理實(shí)例：因人員流動要?jiǎng)h除一名員工在所有系統(tǒng)中的賬號信息。未采用統(tǒng)一帳號管理可能存在的風(fēng)險(xiǎn)：因操作失誤導(dǎo)致誤刪除或漏刪除情況的發(fā)生。采用統(tǒng)一賬號管理系統(tǒng)可以準(zhǔn)確的刪除相關(guān)賬號信息，避免操作失誤帶來的損失。4A認(rèn)證技術(shù)賬號管理是將自然人與其擁有的所有系統(tǒng)賬號關(guān)聯(lián)，集中進(jìn)行管理，4A認(rèn)證技術(shù)身份認(rèn)證是信息安全的第一道防線，用以實(shí)現(xiàn)支撐系統(tǒng)對操作者身份的合法性檢查。對信息統(tǒng)中的各種服務(wù)和應(yīng)用來說，身份認(rèn)證是一個(gè)基本的安全考慮。身份認(rèn)證的方式可以有多種，包括：靜態(tài)口令方式、動態(tài)口令方式、基于公鑰證書的認(rèn)證方式以及基于各種生物特征的認(rèn)證方式。實(shí)例：通過暴力破解的方式對靜態(tài)口令加密的密碼進(jìn)行破解。通過入侵檢測系統(tǒng)、SOC安全管理平臺的報(bào)警信息進(jìn)行處理通過采用其他口令方式進(jìn)行身份認(rèn)證4A認(rèn)證技術(shù)身份認(rèn)證是信息安全的第一道防線，用以實(shí)現(xiàn)支撐系統(tǒng)4A認(rèn)證技術(shù)授權(quán)是指對用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù)，實(shí)現(xiàn)不同用戶對系統(tǒng)不同部分資源的訪問審計(jì)是指收集、記錄用戶對支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計(jì)用戶對網(wǎng)絡(luò)資源的訪問情況，并且在出現(xiàn)安全事故時(shí)，可以追蹤原因，追究相關(guān)人員的責(zé)任，以減少由于內(nèi)部計(jì)算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害4A認(rèn)證技術(shù)授權(quán)是指對用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理4A認(rèn)證技術(shù)4A框架下的安全審計(jì)模塊，主要對4A框架下其它模塊的安全記錄進(jìn)行審計(jì)審計(jì)的主要內(nèi)容包括對賬號分配情況的審計(jì)對賬號授權(quán)的審計(jì)對登錄過程的審計(jì)對身份認(rèn)證的審計(jì)對登錄后用戶行為的審計(jì)4A認(rèn)證技術(shù)4A框架下的安全審計(jì)模塊，主要對4A框架下其它模4A認(rèn)證技術(shù)集中安全審計(jì)的目的發(fā)現(xiàn)、阻止私設(shè)賬號，或賬號逾期未收回發(fā)現(xiàn)、阻止賬號過度授權(quán)，或授權(quán)不足發(fā)現(xiàn)、阻止利用已經(jīng)作廢或假冒的賬號進(jìn)行登錄嘗試發(fā)現(xiàn)、阻止試圖利用合法賬號訪問未經(jīng)授權(quán)的資源將檢測到的安全事件提交給上級安全審計(jì)系統(tǒng)，輔助完成入侵檢測、故障監(jiān)測等更廣泛的審計(jì)功能4A認(rèn)證技術(shù)集中安全審計(jì)的目的4A認(rèn)證技術(shù)根據(jù)日志來源分類主機(jī)系統(tǒng)日志安全產(chǎn)品日志網(wǎng)絡(luò)設(shè)備日志應(yīng)用系統(tǒng)日志根據(jù)日志內(nèi)容分類訪問日志活動日志備份日志4A認(rèn)證技術(shù)根據(jù)日志來源分類4A認(rèn)證技術(shù)4A認(rèn)證技術(shù)4A認(rèn)證技術(shù)4A一起確保合法用戶安全、方便使用特定資源。這樣既有效地保障了合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠地運(yùn)行。4A認(rèn)證技術(shù)為什么需要4A認(rèn)證技術(shù)隨著各大電信運(yùn)營商的業(yè)務(wù)網(wǎng)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，安全問題不斷出現(xiàn)。而每個(gè)業(yè)務(wù)網(wǎng)系統(tǒng)分別維護(hù)一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號和口令，孤立的以日志形式審計(jì)操作者在系統(tǒng)內(nèi)的操作行為。現(xiàn)有的這種賬號口令管理、訪問控制及審計(jì)措施已遠(yuǎn)遠(yuǎn)不能滿足自身業(yè)務(wù)發(fā)展需求，及與國際業(yè)務(wù)接軌的需求。為什么需要4A認(rèn)證技術(shù)隨著各大電信運(yùn)營商的業(yè)務(wù)網(wǎng)發(fā)展，其內(nèi)部表現(xiàn)出的問題1、大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的部門或業(yè)務(wù)系統(tǒng)，認(rèn)證、授權(quán)和審計(jì)方式?jīng)]有統(tǒng)一，當(dāng)需要同時(shí)對多個(gè)系統(tǒng)進(jìn)行操作時(shí)，工作復(fù)雜度成倍增加2、一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知3、各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障表現(xiàn)出的問題1、大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的表現(xiàn)出的問題4、個(gè)別賬號多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時(shí)更難以確定實(shí)際使用者5、隨著系統(tǒng)增多，用戶經(jīng)常需要在各系統(tǒng)間切換，而每次切換都需要輸入該系統(tǒng)的用戶名和口令，為不影響工作效率，用戶往往會采用簡單口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，造成對系統(tǒng)安全性的威脅6、對各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)，無法進(jìn)行綜合分析，因此不能及時(shí)發(fā)現(xiàn)入侵行為

表現(xiàn)出的問題4、個(gè)別賬號多人共用，擴(kuò)散范圍難以控制，發(fā)生安全4A認(rèn)證技術(shù)的現(xiàn)狀早期以及現(xiàn)在絕大部分的支撐系統(tǒng)，都使用簡單的用戶名/密碼方式來進(jìn)行訪問控制保護(hù)，這種方式主要存在以下幾方面的不足：1、安全強(qiáng)度較低，難以真正保證系統(tǒng)的安全；2、隨著用戶名/密碼對的增多，用戶勢必采取一些不安全的輔助手段來記憶，從而造成這種保護(hù)形同虛設(shè)，極大降低了安全強(qiáng)度；3、難以實(shí)現(xiàn)企業(yè)安全策略，造成安全保護(hù)鏈中具有眾多的薄弱環(huán)節(jié)；4、極差的可伸縮性(scalability)；5、對信息資源的共享也造成了極大障礙，等等。4A認(rèn)證技術(shù)的現(xiàn)狀早期以及現(xiàn)在絕大部分的支撐系統(tǒng)，都使用簡單4A認(rèn)證技術(shù)現(xiàn)狀第一個(gè)類似于現(xiàn)在所提的4A框架的應(yīng)該算Radius系統(tǒng)。該系統(tǒng)由LivingstonEnterprises(Lucent的前身)于1992年所提出并實(shí)現(xiàn)，其核心包括了后來所提出的AAA(Authentication,Authorization,Accounting)協(xié)議，主要用于電信行業(yè)ISP及其分銷商為用戶提供網(wǎng)絡(luò)服務(wù)，主要對網(wǎng)絡(luò)設(shè)備的有效使用進(jìn)行管理4A認(rèn)證技術(shù)現(xiàn)狀第一個(gè)類似于現(xiàn)在所提的4A框架的應(yīng)該算Rad4A認(rèn)證技術(shù)中國移動是我國特大型電信運(yùn)營商之一，有三十多家分公司，其網(wǎng)絡(luò)規(guī)模龐大，應(yīng)用系統(tǒng)種類眾多、復(fù)雜。建設(shè)4A框架，保證安全、高效的利用好這些網(wǎng)絡(luò)和應(yīng)用資源，提高企業(yè)的核心競爭力，是一個(gè)非常重要的課題。4A認(rèn)證技術(shù)中國移動是我國特大型電信運(yùn)營商之一，有三十多家分目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念VLAN概要什么是VlanVlan的優(yōu)點(diǎn)Vlan的分類VLAN概要什么是Vlan什么是VlanVLAN，是英文VirtualLocalAreaNetwork的縮寫，中文名為“虛擬局域網(wǎng)”，VLAN是一種將局域網(wǎng)（LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段（或者說是更小的局域網(wǎng)LAN），從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上，另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^VLAN用戶能方便的在網(wǎng)路中移動和快捷的組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。什么是VlanVLAN，是英文VirtualLocalAVLAN示意圖VLAN示意圖Vlan概要VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征高速、靈活、管理簡便和擴(kuò)展容易四大特點(diǎn)。VLAN也可以不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個(gè)園區(qū)的任意位置，甚至是不同的國家。

Vlan概要VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征Vlan的優(yōu)點(diǎn)控制網(wǎng)絡(luò)的廣播風(fēng)暴確保網(wǎng)絡(luò)安全簡化網(wǎng)絡(luò)管理Vlan的優(yōu)點(diǎn)控制網(wǎng)絡(luò)的廣播風(fēng)暴Vlan分類基于端口的VLAN基于MAC地址的VLAN基于第三層的VLAN基于IP組播的VLAN基于用戶定義、非用戶授權(quán)的VLAN基于策略的VLANVlan分類基于端口的VLAN基于端口的VLAN

基于端口的VLAN是劃分虛擬局域網(wǎng)最簡單也是最有效的方法，這實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備。

基于端口的VLAN基于端口的VLAN是劃分虛擬局域網(wǎng)基于MAC地址的VLAN

由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來劃分VLAN實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè)VLAN。事實(shí)上，該VLAN是一些MAC地址的集合。當(dāng)設(shè)備移動時(shí)，VLAN能夠自動識別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的MAC地址，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時(shí)，會給管理帶來難度?；贛AC地址的VLAN由于只有網(wǎng)卡才分配有MAC地址基于第三層的VLAN

基于第3層的VLAN是采用在路由器中常用的方法：IP子網(wǎng)和IPX網(wǎng)絡(luò)號等。其中，局域網(wǎng)交換機(jī)允許一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對應(yīng)于多個(gè)子網(wǎng)。基于第三層的VLAN基于第3層的VLAN是采用在路由器中基于IP組播的VLANIP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個(gè)VLAN，不適合局域網(wǎng)，主要是效率不高。

基于IP組播的VLANIP組播實(shí)際上也是一種VLAN的定基于用戶定義、非用戶授權(quán)的VLAN

基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。

基于用戶定義、非用戶授權(quán)的VLAN基于用戶定義、非用戶授基于策略的VLAN

基于策略的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是采用什么樣的策略？目前，常用的策略有（與廠商設(shè)備的支持有關(guān)）：

1、按MAC地址

2、按IP地址

3、按以太網(wǎng)協(xié)議類型

4、按網(wǎng)絡(luò)的應(yīng)用等

基于策略的VLAN基于策略的VLAN是一種比較靈活有效的網(wǎng)絡(luò)安全基礎(chǔ)_培訓(xùn)資料課件

網(wǎng)絡(luò)安全基礎(chǔ)

網(wǎng)絡(luò)安全基礎(chǔ)目錄網(wǎng)絡(luò)基礎(chǔ)概念網(wǎng)絡(luò)基礎(chǔ)TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念什么是網(wǎng)絡(luò)網(wǎng)絡(luò)就是一群通過一定形式連接起來的計(jì)算機(jī)。互聯(lián)網(wǎng)就是由多個(gè)局域網(wǎng)和廣域網(wǎng)組成的網(wǎng)絡(luò)。什么是網(wǎng)絡(luò)網(wǎng)絡(luò)就是一群通過一定形式連接起來的計(jì)算機(jī)。互聯(lián)網(wǎng)就網(wǎng)絡(luò)的組成計(jì)算機(jī)網(wǎng)絡(luò)也是由硬件和軟件構(gòu)成的。硬件系統(tǒng)包括網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)工作站網(wǎng)絡(luò)適配器傳輸介質(zhì)其他網(wǎng)絡(luò)硬件設(shè)備（交換機(jī)、路由器、防火墻、入侵檢測系統(tǒng)等。）軟件系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)軟件（windows、unix等系統(tǒng)）網(wǎng)絡(luò)通信協(xié)議（TCP/IP、IPX等）網(wǎng)絡(luò)工具軟件（網(wǎng)絡(luò)瀏覽器、網(wǎng)絡(luò)下載工具等）網(wǎng)絡(luò)應(yīng)用軟件（酒店管理系統(tǒng)、訂單管理系統(tǒng)等）網(wǎng)絡(luò)的組成計(jì)算機(jī)網(wǎng)絡(luò)也是由硬件和軟件構(gòu)成的。OSI七層模型OSI七層模型OSI七層模型物理層（PhysicalLayer）

為上層協(xié)議提供了一個(gè)傳輸數(shù)據(jù)的物理媒體數(shù)據(jù)的單位稱為比特（bit）典型代表：EIA/TIARS-232、V.35、RJ-45等數(shù)據(jù)鏈路層（DataLinkLayer）

在不可靠的物理介質(zhì)上提供可靠的傳輸。該層的作用包括：物理地址尋址、數(shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯(cuò)、重發(fā)等。數(shù)據(jù)的單位稱為幀（frame）典型代表：SDLC、HDLC、PPP、STP、幀中繼等網(wǎng)絡(luò)層（NetworkLayer）

負(fù)責(zé)對子網(wǎng)間的數(shù)據(jù)包進(jìn)行路由選擇。此外，網(wǎng)絡(luò)層還可以實(shí)現(xiàn)擁塞控制、網(wǎng)際互連等數(shù)據(jù)的單位稱為數(shù)據(jù)包（packet）典型代表：IP、IPX、RIP、OSPF等OSI七層模型物理層（PhysicalLayer）OSI七層模型傳輸層（TransportLayer）

負(fù)責(zé)將上層數(shù)據(jù)分段并提供端到端的、可靠的或不可靠的傳輸，此外，傳輸層還要處理端到端的差錯(cuò)控制和流量控制問題數(shù)據(jù)的單位稱為數(shù)據(jù)段（segment）典型代表：TCP、UDP等會話層（SessionLayer）

管理主機(jī)之間的會話進(jìn)程，即負(fù)責(zé)建立、管理、終止進(jìn)程之間的會話典型代表：NETBIOS、ZIP（appletalk區(qū)域信息協(xié)議）等表示層對上層數(shù)據(jù)或信息進(jìn)行變換以保證一個(gè)主機(jī)應(yīng)用層信息可以被另一個(gè)主機(jī)的應(yīng)用程序理解典型代表：ASCII、JPEG、MPEG等應(yīng)用層（ApplicationLayer）為操作系統(tǒng)或網(wǎng)絡(luò)應(yīng)用程序提供訪問網(wǎng)絡(luò)服務(wù)的接口代表包括：telnet、ftp、http、snmp等OSI七層模型傳輸層（TransportLayer）TCP/IP協(xié)議簡介TCP協(xié)議和IP協(xié)議指兩個(gè)用在Internet上的網(wǎng)絡(luò)協(xié)議（或數(shù)據(jù)傳輸?shù)姆椒ǎ?。它們分別是傳輸控制協(xié)議和互連網(wǎng)協(xié)議。這兩個(gè)協(xié)議屬于眾多的TCP/IP協(xié)議組中的一部分。TCP/IP協(xié)議組中的協(xié)議保證Internet上數(shù)據(jù)的傳輸，提供了幾乎現(xiàn)在上網(wǎng)所用到的所有服務(wù)。這些服務(wù)包括：電子郵件的傳輸

文件傳輸

新聞組的發(fā)布

訪問萬維網(wǎng)。TCP/IP協(xié)議準(zhǔn)確的說是一個(gè)協(xié)議組（協(xié)議集合），其中包含了TCP協(xié)議和IP協(xié)議及其他的一些協(xié)議。TCP/IP協(xié)議簡介TCP協(xié)議和IP協(xié)議指兩個(gè)用在Inter目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP協(xié)議介紹TCP/IP協(xié)議族脆弱性分析常見網(wǎng)絡(luò)設(shè)備及安全技術(shù)路由器交換機(jī)防火墻入侵檢測日志審計(jì)AAAA認(rèn)證VLAN技術(shù)目錄網(wǎng)絡(luò)基礎(chǔ)概念TCP/IP脆弱性分析1、協(xié)議族模型與格式2、IP地址濫用與攻擊3、數(shù)據(jù)報(bào)分片與組裝4、基于ICMP的欺騙5、UDP協(xié)議脆弱分析6、TCP協(xié)議脆弱分析TCP/IP脆弱性分析1、協(xié)議族模型與格式TCP/IP協(xié)議族模型TCP/IP模型與OSI模型七層VS四層TCP/IP四層模型網(wǎng)絡(luò)接口層；(PPP、ARP)互聯(lián)層；(IP、ICMP)傳輸層；(TCP、UDP)應(yīng)用層；(HTTP，SNMP，F(xiàn)TP，SMTP，DNS，Telnet)TCP/IP協(xié)議族模型TCP/IP模型與OSI模型IP數(shù)據(jù)報(bào)格式01631versionhdrlnthtypeofservicetotallengthofdatagramidentificationnumberfragmentoffsettime-to-live(ttl)protocolheaderchecksumsourceIPaddress(4bytes)destinationIPaddress(4bytes)optionsfield(variablelength,maxlength40bytes)data20bytesRDFMFIP數(shù)據(jù)報(bào)格式01631versionhdrlnthty數(shù)據(jù)封裝與傳送所有TCP,UDP,ICMP數(shù)據(jù)通過IP數(shù)據(jù)包封裝進(jìn)行傳輸。IP數(shù)據(jù)報(bào)的傳輸是不可靠的。IP網(wǎng)絡(luò)是面向無連接的。數(shù)據(jù)封裝與傳送所有TCP,UDP,ICMP