大綱課件v3.0-cispv無線局域網(wǎng)協(xié)議安全

機(jī)課程網(wǎng)絡(luò)協(xié)議

無線局域網(wǎng)協(xié)議設(shè) 檢測系其 設(shè)網(wǎng)絡(luò)架構(gòu)安

網(wǎng)絡(luò)架構(gòu)安全 2知識域：網(wǎng)絡(luò)協(xié)議安了解開放系統(tǒng)互聯(lián)OS）構(gòu)及通信過程，了解每一層的功能 3ISO/OSI七層模型結(jié)應(yīng)用應(yīng)用 應(yīng)用層（高543數(shù)據(jù)鏈路數(shù)據(jù)鏈路214第一應(yīng)用應(yīng)用表示定義物理鏈路的電氣、機(jī)械、通信表示、功能要求等電壓，數(shù)據(jù)速率，最大傳輸距物理線纜，物理介質(zhì)將比特流轉(zhuǎn)換成電網(wǎng)絡(luò)網(wǎng)絡(luò)光纖、雙絞線、中繼器、集線器數(shù)據(jù)鏈100BaseT,OC-3,OC-12,數(shù)據(jù)鏈物理物理5第二層：數(shù)據(jù)鏈路應(yīng)用應(yīng)用物理尋址，網(wǎng)絡(luò)拓?fù)洌€路規(guī)錯誤檢測和通告（但不糾錯將比特聚成幀進(jìn)行流量控制（可選使用數(shù)據(jù)接收設(shè)備的硬件地址（物理址）尋址（如MAC地址數(shù)據(jù)鏈網(wǎng)卡、網(wǎng)橋和數(shù)據(jù)鏈PPP,HDLC,Ethernet,TokenRing,6第二層：以太網(wǎng)協(xié)議標(biāo)準(zhǔn)（兩個子層應(yīng)用LLC（LogicalLink應(yīng)用IEEE為上層提供統(tǒng)一接使上層獨(dú)立于下層物理介質(zhì)提供流控、排序等MAC（MediaIEEE燒錄到網(wǎng)卡48比特7第三應(yīng)用應(yīng)用路徑選使用網(wǎng)絡(luò)層地址進(jìn)行尋址（IP地址數(shù)據(jù)鏈路數(shù)據(jù)鏈路三層交換8第四應(yīng)用應(yīng)用表示提供端到端的數(shù)據(jù)傳輸表示會話建立邏輯會話傳輸傳輸數(shù)據(jù)鏈數(shù)據(jù)鏈物理UDP物理9第五應(yīng)用應(yīng)用表示表示會話會話傳輸傳輸網(wǎng)網(wǎng)絡(luò)物物理數(shù)據(jù)數(shù)據(jù)鏈第六應(yīng)用應(yīng)用協(xié)議轉(zhuǎn)數(shù)據(jù)加密數(shù)據(jù)壓縮數(shù)據(jù)鏈ASCII,MPEG,數(shù)據(jù)鏈物物理第七應(yīng)用應(yīng)用網(wǎng) 傳輸傳輸 net,HTTP,數(shù)據(jù)鏈數(shù)據(jù)鏈物物理分層結(jié)構(gòu)的優(yōu)數(shù)據(jù)封裝與分從向低層逐層向逐層傳

7往下7

6 66565432.

2.34572.34571數(shù)據(jù)流的物理傳OSI

7654321鑒別服 抗抵賴服

網(wǎng)絡(luò)

加數(shù)訪數(shù)鑒加數(shù)訪數(shù)鑒業(yè)路公密字問據(jù)別務(wù)由證簽控完交流控名制整換填制性充OSI安全體系結(jié)構(gòu)鑒別 知識域：網(wǎng)絡(luò)協(xié)議安了解TCP/IP協(xié)議模型及各層典型協(xié)議的功理解基于TCP/IP的典型安全協(xié)了解IPv6的安全特OSI模型與TCP/IP應(yīng)用網(wǎng)絡(luò)互數(shù)據(jù)鏈路應(yīng)用網(wǎng)絡(luò)互數(shù)據(jù)鏈路網(wǎng)絡(luò)接網(wǎng)絡(luò)接TCP/IP協(xié)應(yīng)用傳輸網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口損壞：自 、動物破壞、老化、誤操干擾：大功率電器/電源線路/電磁輻電磁泄漏：傳輸線路電磁泄：常見二層協(xié)議是明文通信的（以太、arp等服務(wù)：macflooding，arpflooding網(wǎng)絡(luò)互聯(lián)應(yīng)用傳輸網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)接口網(wǎng)絡(luò)互聯(lián)層協(xié) 協(xié)議-IP協(xié) 源IP地目的IP地網(wǎng)絡(luò)互聯(lián)層安全問 ：應(yīng)用傳輸網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)接口傳輸層協(xié)議-TCP協(xié)1616位目的32位序32位確認(rèn)序UARS1616位校驗(yàn)16位緊急指傳輸層協(xié)議-UDP協(xié)無連接、不可1616位目的16UDP16位校數(shù)傳輸層安全問服務(wù)：synflood/udp：應(yīng)用層協(xié)解析電子郵件文件傳網(wǎng)頁瀏覽應(yīng)用層協(xié)議安全問 基于TCP/IP協(xié)議簇的安全架網(wǎng)絡(luò)用戶網(wǎng)絡(luò)用戶IPIP物理介質(zhì)物理介質(zhì)（物理安全防護(hù)EE-MAISNMPGS/MIMPESES-HTTIKSFTSSX.50DNSSSTLTCUDIPSEC（AHIPSEC（ESPPPTL2TPPL2下一代互聯(lián)網(wǎng)協(xié)議-地址數(shù)量大量增加（32-報文頭部格式簡化，路由表簡化、處理速度內(nèi)置安全特性移動性支QoS和性良好擴(kuò)展知識域：網(wǎng)絡(luò)協(xié)議安了解無線局域網(wǎng)的基本組成與了解WEP、802.11i、WAPI等無線局域網(wǎng)安全協(xié)無線局域網(wǎng)網(wǎng)絡(luò)結(jié)無線局域網(wǎng)構(gòu)成（802.11x客戶端無線接入點(diǎn)（access分布系統(tǒng)（distribution無線局域網(wǎng)安全問傳輸信道開放開放式認(rèn)證系通過易 共享密鑰認(rèn)證（使用WEP進(jìn)行保護(hù)?? 案例：中間無線局域網(wǎng)安全協(xié)（802.11i草案2(802.11i正式發(fā)現(xiàn)AP階802.11i密鑰管理階安全傳輸階

WAPI無線安全協(xié)WPI證輸安 鑒 鑰

鑒別接入鑒別響密鑰協(xié)商響商法

組播密鑰響數(shù)據(jù)通知識域 設(shè)理 的作用、功能及分 掌 的典型部署方理 的局限的作用與功 對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信的分 形硬軟按技術(shù)濾（透明模式按體系結(jié)雙宿/多宿主主子其他分類的實(shí)現(xiàn)網(wǎng)關(guān)狀態(tài)檢測自適 技的實(shí)現(xiàn)技術(shù) 網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址傳輸層地址：端口（源端口及目的端口協(xié)議：協(xié)議類的實(shí)現(xiàn)技術(shù) 優(yōu)點(diǎn)只對數(shù)據(jù)IPTCP/UDP易于配 缺點(diǎn)安全性薄弱，不能防止 的實(shí)現(xiàn)技術(shù) 網(wǎng) 電路的實(shí)現(xiàn)技術(shù)-電路能提供NAT適用面的實(shí)現(xiàn)技術(shù)-應(yīng) 的實(shí)現(xiàn)技術(shù)-應(yīng)濾提供良好的安全支持的應(yīng)用數(shù)量性能表現(xiàn)欠的實(shí)現(xiàn)技術(shù)-一種將私有（保留IPInternet增加私有組織的可用地址空解決現(xiàn)有私有網(wǎng)絡(luò)接入的IP地址編號問的實(shí)現(xiàn)技術(shù)-動態(tài)地址轉(zhuǎn)

NAT管理方便并且節(jié)約IP隱藏內(nèi)部IP址信可用于實(shí)現(xiàn)網(wǎng)絡(luò)外部應(yīng)用程序卻不能方便地與NAT應(yīng)實(shí)現(xiàn)技術(shù)--狀態(tài) 網(wǎng)絡(luò)

網(wǎng)絡(luò)狀檢測狀動態(tài)狀實(shí)現(xiàn)技術(shù)--狀態(tài)狀態(tài)檢測技 適應(yīng)性對用戶、應(yīng)用程序透實(shí)現(xiàn)技術(shù)-自適 技根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸網(wǎng)絡(luò)數(shù)服務(wù)可以從應(yīng)用層轉(zhuǎn)發(fā)，也可以從網(wǎng)絡(luò)層轉(zhuǎn)兼有高安全性和高效部署方的工作模式-路由

的工作模式-透明

路由 的工作

的典型

防護(hù)墻的策略 所有數(shù)據(jù)需要的給予開 對明 的設(shè)置策的策略

的策略

部署結(jié)可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之不同安全級別網(wǎng)絡(luò)兩個需 的區(qū)域之 （無DMZ）部署方 （DMZ）部署方 部署方 （無DMZ）部署方

（DMZ）部署方

的部署方

的不足和局限 控 知識域 設(shè) 理 檢測系統(tǒng)的作用、功能及分了 檢測系統(tǒng)的主要技術(shù)原掌 檢測系統(tǒng)的典型部署方理 檢測系統(tǒng)的局限檢測系統(tǒng)的作用與功構(gòu) 防御體系重要環(huán)克服傳統(tǒng)防御機(jī)監(jiān)測并分析用戶和系統(tǒng)的活核查系統(tǒng)配置 檢測系統(tǒng)的分 硬 檢軟 檢網(wǎng) 檢主 檢集中分布檢測的技術(shù)架 …）檢測工當(dāng)前系統(tǒng)/

系統(tǒng)系統(tǒng)日應(yīng)用日網(wǎng)絡(luò)數(shù)審計記其他分誤用分誤用檢異常檢歷史行特定行為模其？告告警響數(shù)據(jù)檢測技建 行為模型 特征假設(shè)可以識別和表示所有可能的特基于系統(tǒng)和基于用戶的誤設(shè)定“正常假設(shè)所有 行為是異?；谙到y(tǒng)和基于用戶的異誤用算法簡有所有 特征，建立完備的特征特征庫要不斷更無法檢測異常可檢測未自適應(yīng) 習(xí)能“正?！毙袨樘卣鞯倪x統(tǒng)計算法、統(tǒng)計點(diǎn)的選

檢測系 用 交換

NIDSNIDS路由檢測系統(tǒng)

HIDS分析引擎HIDS檢 檢 檢檢 檢檢測系 知識域 設(shè) 了 防御系統(tǒng)（IPS）的原理與特了解安全管理平臺（SOC）的主要功了解統(tǒng) 管理系統(tǒng)（UTM）的功能與特了解網(wǎng)絡(luò)準(zhǔn)入控制（C安 與信息交換系統(tǒng)（網(wǎng)閘外部處理單元、內(nèi)部處理單元、仲裁斷開 之間的會話（物 、協(xié) 同時集合了其他安全防護(hù)技 處 單 交換單

防御系統(tǒng)

安全管理平臺狹義 集廣義：IT資源集風(fēng)險管系統(tǒng)管專業(yè)安全系統(tǒng) 管理系統(tǒng)

網(wǎng)絡(luò)準(zhǔn)入控

認(rèn)證服Radius知識域：網(wǎng)絡(luò)架構(gòu)安理解網(wǎng)絡(luò)架構(gòu)安理解網(wǎng)絡(luò)架構(gòu)安全設(shè)計的主要工理 域劃分應(yīng)考慮的主要因理解IP地址規(guī)劃方理解VLAN劃分的作用與策理解路由交換設(shè)備安全配置常見的要理解網(wǎng)絡(luò)邊 控制策略的類理解網(wǎng)絡(luò)冗余配置應(yīng)考慮的因網(wǎng)絡(luò)架構(gòu)安

網(wǎng)絡(luò)架構(gòu)安全 區(qū) 安全域劃安全域是遵守相同安全策略的用戶和系統(tǒng)的集 IP地址規(guī)自頂向下的方為所設(shè)計的網(wǎng)絡(luò)中的節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備分配合適的綜合考慮網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)靜態(tài)IP地址分